Windows 10: Vergisst der Defender definierte Ausschlüsse?

[English]Kurze Frage in die Runde: Hat jemand das Problem mit dem Defender in Windows 10 festgestellt, dass der Virenschutz definierte Ausschlüsse für Scans plötzlich verliert? Hier einige Informationen zu diesem Sachverhalt. Ergänzende Hinweise zum Artikel hinzugefügt.


Anzeige

Zum Hintergrund: Mir ist über die heise-Redaktion eine Leserzuschrift zugegangen, wo jemand das merkwürdige Verhalten beobachtet. Da es bei einer schnellen Suche sonst kaum Treffer im Internet gab, stelle ich es in Absprache mit heise mal hier im Blog ein. Der Leser Rene S. schildert zum 23. Oktober 2020 folgende Beobachtung:

Ausschlüsse beim Windows Defender verschwunden

Hallo liebe heise Redaktion,

mir fiel heute auf, dass beim Windows Defender alle meine angelegten Ausschlüsse verschwunden bzw. nicht mehr ersichtlich sind. Ebenso ist es nicht möglich neue Ausschlüsse anzulegen. Bei letzteren kommt keine Fehlermeldung, sondern es wird nach der Bestätigung lediglich nichts angezeigt, so als wenn man nicht gemacht hätte.

Antimalware-Clientversion: 4.18.2010.4
Modulversion: 1.1.17500.4
Antiviren-Version: 1.325.1286.0
Antispyware-Version: 1.325.1286.0

Ich selbst vermute jedoch, dass die Ausschlüsse nicht komplett weg sind, sondern lediglich nicht ersichtlich. Denn nach einer heutigen Schnellüberprüfung erfolgte nach dem Abschluss dieses Vorgangs, die obligatorische Meldung "Während der Überprüfung Übersprungene Elemente", die ja eigentlich nur kommt, wenn Ausschlüsse hinterlegt sind.

Bisher habe ich zu dem Thema nur im Forum von deskmodder.de einen Thread vom 22. Oktober 2020 was finden können, in dem auch davon berichtet wird aber keine Lösung.

Ich selbst Windows 10 und habe gestern das Update auf 20H2 durchgeführt. Ich glaube jedoch, dass das Problem nicht an Windows selbst, sondern am Windows Defender liegt.

In der Diskussion bei deskmodder.de kristallisiert sich heraus, dass es wohl am Defender-Update der Antimalware-Clientversion: 4.18.2010.4 liegen dürfte. Das Problem hält scheinbar noch an. Irgend jemand von euch, der das Problem auch hat und bestätigen kann?

Ergänzende Hinweise zum Problem

Im englischsprachigen Artikel hat mich Blog-Leserin Julia R. auf diesen englischsprachigen Microsoft Answers-Forenbeitrag mit dem gleichen Problem hingewiesen. Zudem fragte Leser EP, wie der Betroffene an diese 'seltsame Antimalware Engine' herangekommen sei, da diese nicht durch Microsoft verteilt werde. Parallel hatte ich Blog-Leser Leser Rene S. per Mail auf meinen Blog-Beitrag hier hingewiesen. Rene hat mir noch folgende ergänzende Informationen zukommen lassen.

Das seltsame an dieser besagten Version 4.18.2010.4 des Defenders ist ja, dass diese offiziell nicht von Microsoft verteilt wird. Auch über den Update Catalog von Microsoft gibt es über das KB4052623 aktuell nur die Clientversion 4.18.2009.7 und die ältere Version 4.18.2001.10.

Laut den Foristen bei deskmodder.de bzw. dem von mir erwähnten Thread wurde diese Version des Defenders bisher nur im DEV-Channel verteilt. Da ich jedoch bei dieser Windows-Installation nur ein lokales Konto nutze und auch nicht am Insiderprogram von Microsoft angemeldet bin, stellt sich mir eher die Frage, warum diese Version vom Defender überhaupt bei mir installiert wurde und, auch nach der Einspielung eines Backups, diese Version wieder im Hintergrund erneut installiert wird, nachdem ich online ging und Windows nach Updates suchen lies.

Ich betreibe zwar parallel eine VM mit Windows 10, bei dem ich für Testzwecke im Insiderprogram (Release Preview Channel) angemeldet bin, jedoch ist dieses Windowskonto nicht beim Hostsystem in Nutzung, sondern nur in der VW. Das Windows der VW wurde auch über einen separaten Windowskey aktiviert. Im Hostsystem, bei dem ich die Clientversion 4.18.2010.4 des Defenders erhielt und, wenn ich online gehe weiterhin erhalte, ist das Windows-Konto nur im Microsoft Store angemeldet. Jedoch sollte dies nicht die Ursache sein.

Ich selbst werde, wahrscheinlich heute Abend, den Workaround aus dem Forum von deskmodder.de versuchen und das Update KB4052623, mit der Clientversion 4.18.2010.4 des Defenders ausblenden oder – überlege ich mir noch – gleich ein Inplace Update, da ich gestern erst mal auf ein Backup mit Windows 10 2004 vom 3. Oktober 2020 zurück bin und der PC seit dem offline ist bzw. war, auf Windows 20H2 durchführen. Das Inplace Update werde ich jedoch zur Sicherheit offline tätigen, falls beim Update-Prozess ggf. doch die Clientversion 4.18.2010.4 des Defenders gezogen wird. Denn über das aktuelle MCT von 20H2 ist ja, soweit mir bekannt, die Clientversion 4.18.2009.7 integriert.

Alles sehr merkwürdig.


Anzeige

Nachtrag: Nachdem mir diverse, widersprüchliche Rückmeldungen zugegangen sind, habe ich den aktuellen Stand zum 6. Nov. 2020 im Artikel Windows 10: Ist der Defender GUI-Bug zu definierten Ausschlüssen gefixt? herausgezogen.


Anzeige

Dieser Beitrag wurde unter Virenschutz, Windows 10 abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

15 Antworten zu Windows 10: Vergisst der Defender definierte Ausschlüsse?

  1. Tom sagt:

    (Wieder einmal) *Danke* MICROSOFT!
    Genau die oben beschriebenen Symptome treten hier auf: Ausschlüsse gelöscht und neuangelegte werden nicht der Liste hinzugefügt!

    WINDOWS 10(as a ?service?) 1909 (Build 18363.1139)
    Antimalware-Clientversion: 4.18.2010.4

    Wenn ich jetzt "böse denken würde", tippe ich auf den "Hosts-Zwang" von MICROSOFT…
    Wenn es (wirklich nur) ein Fehler im Antimalwareclient sein sollte: MICROSOFT as usual (as a ?service?)…

  2. APMichael sagt:

    Auf einem meiner PCs wurde bereits ebenfalls über Windows Update die Version 4.18.2010.4 installiert. Diese Version zeigt im GUI tatsächlich keinerlei Ausschlüsse mehr an. Die Ausschlüsse sind allerdings alle noch vorhanden und auch neue Ausschlüsse können noch angelegt werden: über PowerShell können diese wie immer zuverlässig angezeigt werden.

    Get-MpPreference (Die Ausschlüsse stehen unter "Exclusion…".)

    Wobei ich noch anmerken möchte, dass die Anzeige der Ausschlüsse im GUI, zumindest bei mir, noch nie zuverlässig funktioniert hat. Mal werden diese tatsächlich vollständig angezeigt, meistens jedoch immer nur Teile davon. Bei jedem weiteren Aufruf der Seite "Ausschlüsse" im GUI wird es wieder anders angezeigt…

  3. 1ST1 sagt:

    Ich habe seit Sommer zwei Emotet-Dropper in Form von VBS-Scripten auf meinem Win 10 2004 liegen, um zu verstehen, wie der Dreck funktioniert. Bisherliegt der Dreck in dem Ordner, den ich als Ausnahme in Defender definiert habe, noch da.

  4. Ingenieurs sagt:

    Selbes bei mir
    Version 10.0.19042.572 alle Ausschlüsse gelöscht!
    Danke für den Hinweis so konnte ich schlimmeres verhindern

    Es lassen sich ebenfalls keine Aussclüsse hinzufügen! Eventuell werden sie einfach nicht angezeigt?

  5. Anonymous sagt:

    Danke für den Hinweis @Anwender und @Borncity
    hat uns hier auch das Leben schwer gemacht.

    DANKE!

  6. Berti sagt:

    Ich habe Version 10.0.19042.572 mit einer Server 2016 Domäne. Die Ausnahmen, die ich in den Gruppenrichtlinien definiert habe (Dateien, Pfade, Prozesse und Dateitypen) sind alle noch auf den Clients.

  7. Tom sagt:

    Mit der heutigen Aktualisierung auf Version 4.18.2010.6 sind auch die Ausschlüsse wieder sichtbar geworden!
    Also doch nur ein "Bug as a service"…

    • Anonymous sagt:

      Mit der gestern veröffentlichen Version 4.18.2010.7 ist das Problem scheinbar noch immer oder wieder da. Ich hatte aber auch selbst nicht die Version 4.18.2010.6 angeboten bekommen, sondern im Vorfeld nur die 4.18.2010.4.

      Über den Update Katalog von MS ist beim KB4052623 auch weiterhin nur die Version 4.18.2009.7 gelistet.

      • APMichael sagt:

        Kann ich bestätigen! Nach Windows Update von Version 4.18.2010.4 auf 4.18.2010.7 ist das Problem nach wie vor vorhanden. Das GUI zeigt immer noch keine der Ausschlüsse mehr an.

  8. Info sagt:

    ASUS Laptop (UEFI, SATA-HD, W10 Home OEM)
    W10 1909 x64, 2020-10(Build 18363.1139)
    —————————————————————————

    Hier ist das System weiterhin bei 4.18.2009.7. Anzeige der Ausschlüsse.

    Defender Updates nur manuell über das Tray-Icon und "automatisch"(sichtbar), 2 mal im Oktober, nach Anzeigen von Einstellungen/"Update und Sicherheit"(Windows-Update ist aber weiterhin pausiert).

    "Windows Update" wurde hier seit Monaten nicht gedrückt. Updates gab es, in der Vergangenheit, trotzdem für Defender Client/Modul/Definitionen!

    Sonstige Updates wurden manuell installiert.

    • Info sagt:

      So – nun ist die neue Version, erstmals, über manuelles Dashboard-Update gekommen. Die Probleme wurden wohl bereinigt – alles noch da!

      Client-Version 4.18.2010.7
      Modul-Version 1.1.17600.5

      Möglicherweise gibt es bei Defender inzwischen auch Previews… :-)

      • Anonymous sagt:

        Die Frage ist wohl eher, komme erst heute Abend dazu zum testen/prüfen, ob mit dem offiziellen Release der Version 4.18.2010.7 auch der Fehler in der GUI bei denen behoben wird, die zuvor betroffen waren.

        • Info sagt:

          Ich befürchte nicht, wird wohl bis 2020-11 dauern.

          Das System ist 1909 und ich habe das "Cumulative Preview-Update" nicht installiert – hatte den Braten wohl gerochen. Hier gibt es noch keine "Optionalen Treiber-Updates", IE- Edge- Defender-Änderungen…!

          Hier wurde nur das "Cumulative .NET Preview-Update installiert und alles blieb bei der altenW10 Katastrophe.

      • Info sagt:

        [DEFENDER – TRAY-ICON]

        Das Client-Update hat fehlerhafte "Autostart" Einträge unter "W10" zusätzlich zu den Korrekten etabliert! Wird in den "Einstellungen" sinnlos aktiviert angezeigt.

        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
        WindowsDefender "%ProgramFiles%\Windows Defender\MSASCuiL.exe"

        ————————————————

        Existiert dort nicht in W10 1909 – Sondern…
        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
        SecurityHealth "%windir%\system32\SecurityHealthSystray.exe"

  9. poldi sagt:

    Mit der Ausschlussliste geht es mir genauso … irgendwann war die mal da. Mit regedit mal unter HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths stehen jedenfalls bei die Ausnahmen (Dateien und Ordner). Bei Einzelüberprüfungen im Windowsexplorer im Kontextmenü werden diese Einträge vom Defender bei mir unversehrt gelassen. Zu empfehlen ist das kleine Programm dInjector (https://www.sordum.org/10636/defender-injector-v1-1/) für Dateien und Ordner.

    Viel Glück

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.