Windows 10 besitzt die Möglichkeit, den Windows Defender in einem Offline-Modus das System überprüfen zu lassen. Was aber tun, wenn der Windows Defender Offline scheinbar nicht scannt, sondern den Modus nach wenigen Sekunden beendet? Das Problem scheint bei Microsoft zu liegen – ich habe den Blog-Beitrag erstellt, um ein paar Informationen, die mir rund um das Thema aufgefallen sind, aufzubereiten.
Anzeige
Am Windows Defender Offline hatte ich mich bereits vor einiger Zeit in diesem Blog-Beitrag Windows 10: Defender Offline Scan verursacht Bootschleife abgearbeitet. Eigentlich ist der Windows Defender Offline (WDO) ja eine coole Idee – aber wenn das Teil zickt, siehst Du als Benutzer alt aus.
Blog-Leser Franky hat mir vor ein paar Tagen diesen Link auf eine Diskussion bei Dr. Windows zukommen lassen (danke dafür). Das Thema ist inzwischen als gelöst markiert – weil es aber einige Haken und Ösen bei WDO gibt, habe ich einen weiteren Blog-Beitrag drüber gemacht.
Die Fehlerbeschreibung bei Dr. Windows
Im Dr. Windows-Forenthread berichtete ein Benutzer, dass der Windows Defender Offline-Scan nicht funktioniert und gibt folgende Fehlerbeschreibung.
Ich lasse sporadisch auch mal den Defender Offline Scan laufen. Heute fällt mir auf, dass der Rechner zwar neu gestartet wird, auch der blaue Screen kommt und das kleine Fenster, in dem ein grüner Laufbalken angezeigt wird.
Aber das läuft dann etwa 1 – 2 Minuten und der Scan startet nicht, dafür fährt der Rechner herunter und startet neu.
In einem anderen Thread habe ich gelesen, dass eine fehlende Wiederherstellungspartition dafür verantwortlich sein kann, was aber bei mir nicht der Fall ist.
Zum Test habe ich es auf meinem Notebook auch versucht und auch hier ist das Verhalten exakt gleich, startet zwar neu, dann das Fenster mit Laufbalken und nach ca. 2 Minuten Neustart in die Anmeldung zurück.
Auf beiden Rechnern keine AV-, Tuning usw. Tools installiert.
Das Verhalten wurde dann von mehreren Benutzern bestätigt. In diesem Microsoft Answers-Forenthread gibt es ebenfalls Hinweise zu diesem Thema. Dort war eine nicht sauber registrierte Windows RE-Umgebung die Ursache (was logisch ist).
Anzeige
Das war dann der Punkt, wo die Mail von FrankyLE bei mir eintraf. Also mal wieder eine Windows 10 Testmaschine gebootet, um selbst nachzuschauen …
Windows 10 V1703: Defender Offline aufrufen
Nichts ist so alt wie die Zeitung von gestern – dieser Satz ging mir spontan durch den Kopf, als ich den Thread bei Dr. Windows überflog und schnell mal selbst testen wollte. Im Blog-Beitrag Windows 10: Defender Offline Scan verursacht Bootschleife hatte ich nicht nur ein paar Hintergrundinformationen zum Windows Defender Offline (WDO) gegeben, sondern auch beschrieben, wie sich die Funktion unter Windows 10 V1607 (Anniversary Update) aufrufen lässt. In der Einstellungen-App findet sich in der Kategorie Update und Sicherheit die Unterkategorie Windows Defender. Und die Seite enthielt eine Schaltfläche, über die Administratoren den Windows Defender Offline aufrufen können.
Wer inzwischen auf Windows 10 Creators Update umgestiegen ist, wird aber diese Schaltfläche vergeblich suchen. Bei den berühmten Funktionsupdates bleibt bei Microsoft kein Stein auf dem anderen – was früher einfach war, wird beim nächsten Mal versteckt – es soll ja alles einfacher werden.
Ich habe etwas gesucht, bis ich in Windows 10 Version 1703 die Option gefunden habe, denn das Suchfeld der Einstellungen-App lieferte mir keinen Treffer. Der Aufruf des Windows Defender Offline unter Windows 10 V 1703 ist alleine schon einen Blog-Beitrag wert.
Geht man in Windows 10 Version 1703 in der Einstellungen-App auf die Kategorie Update und Sicherheit die Unterkategorie Windows Defender, lässt sich nur das Windows Defender Security Center öffnen.
Im Windows Defender Security Center wird man von netten Icons 'erschlagen', aber eine Funktion zum Aufrufen des Windows Defender Offline (WDO) findet sich nicht auf Anhieb.
Das sind dann so spontan Stellen, wo ich den Microsoft-Leuten spontan die Füße küssen möchte – ihr seid so genial, niemanden mit Details belasten zu wollen. Ok, ein Pfund Kreide gefressen und es kann weiter gehen.
Wählt man die Option Viren- & Bedrohungsschutz, bekommt man folgende Seite.
Auf der Seite findet sich so einiges an Informationen, aber nix offensichtliches, um den Windows Defender Offline aufzurufen. Eine Websuche warf mir Beiträge aus, wo in irgend einer Insider Build genau in dieser Seite eine Schaltfläche für den Offline Scan zu finden war. Aber so leicht wollte Microsoft es dem Anwender nicht machen. Zumindest ein schlichtes Gemüt wie meine Wenigkeit brauchte ein paar Anläufe, bis der Hyperlink Erweiterte Überprüfung angewählt wurde.
Und da findet sich doch tatsächlich eine Option, um den Windows Defender Offline aufzurufen. Danke Microsoft, so lernen die Anwender wenigstens die Funktionen von Windows 10 kennen – und beim Windows 10 Fall Creators Update lernen wir wieder um. Gut, ich will fair bleiben, mit dem Windows Defender Offline ist es wie mit dem Kat beim Auto – die wenigsten Fahrer wissen überhaupt, dass das eigene Gefährt so etwas hat. Und Details, damit soll sich die Werkstatt belasten.
BTW: Man sollte sich tunlichst unter einem Benutzerkonto aus der Gruppe der Administratoren anmelden, um überhaupt die obigen Optionen zu Gesicht zu bekommen.
Logs, wenn der Windows Defender Offline versagt
Nachdem der WDO-Aufruf geklärt ist, könnte man den ja zur Prüfung nutzen. Auf Grund der Fehlerbeschreibung war für mich aber zuerst der Gedanke: Schau mal, wo die Log-Dateien liegen und lösche diese vor dem Aufruf. War auch der Vorschlag von AReiland hier. Aber wo finden sich diese? In diesem Forenthread gibt es einige Hinweise, u.a., dass die Logs unter:
C:\Windows\Windows Defender Offline\Support
zu finden seien. Bei SevenForums gibt es sogar ein Tutorial zum WDO, was sich aber auf eine Uralt-Version auf USB-Stick bezieht. Daher findet man wohl in obigem Ordner auch keine Log-Dateien bzw. keinen Einträge. Der zielführende Hinweis kam erneut von AReiland – mit ein Grund, warum ich diesen Blog-Beitrag geschrieben habe.
Der Windows Defender protokolliert in der Ereignisanzeige mit, was so alles passiert. Die Einträge finden sich unter: Anwendungs- und Dienstprotokolle im Unterzweig
Microsoft\Windows\Windows Defender\Operational
Dort sollten sich auch Einträge des Windows Defender Offline finden. AReiland führt hier noch ein paar Details aus.
Am Ende des Tages scheint es sich um einen Download-Fehler zu handeln, wie man obigen Screenshot entnehmen kann. Ziel des Blog-Beitrags war aber nicht dieses Thema abschließend zu behandeln, sondern die Schlenker aufzuzeigen, die beim Windows Defender Offline notwendig sind.
Ob das jetzt gut von Microsoft gelöst ist und ob es dem Anwender Laune macht, das Microsoft ständig was an der Bedienoberfläche ändert, mögt ihr selbst entscheiden. Denn erstens habe ich gerade ein Pfund Kreide gefressen und zweitens heißt es immer, ich lasse kein gutes Haar an Microsoft bzw. Windows 10 – also Peace, ist alles so schön bunt hier …
Anzeige
Bei mir ist der Defender-Offline anscheinend durchgelaufen. In der Ergebnis-Anzeige sind keine Fehler angezeigt (nach zweimaligem Test), nur die ausgeführten Sachen gekennzeichnet als Info von Heute. Das sind folgende:
1. Info: Die Windows Defender Antivirus-Signaturversion wurde aktualisiert.
2. Info: Windows Defender Antivirus hat Defender Offline heruntergeladen und führt es beim nächsten Neustart aus.
3. Info: In der Konfiguration von Windows Defender Antivirus wurde eine Änderung erkannt. Falls dies unerwartet ist, überprüfen Sie die Einstellungen, da die Änderung möglicherweise von Schadsoftware verursacht wurde.
Bisheriger Wert: N/A\Scan\OfflineScanRun =
Neuer Wert: HKLM\SOFTWARE\Microsoft\Windows Defender\Scan\OfflineScanRun = 0x0
(hat wohl einen Registry-Eintrag geändert bzw. neu eingefügt, hatte Defender-Offline bei Version 1703 noch nicht benutzt)
4. Info: Die Windows Defender Antivirus-Signaturversion wurde aktualisiert.
5. Info: Windows Defender Antivirus hat Windows Defender Offline heruntergeladen und konfiguriert und führt es beim nächsten Neustart aus.
Der Scan dauerte bei beiden Scans rund drei Minuten (SSD).
Hallo Hr. Born!
Der von Ihnen zitierte Beitrag bei Dr. Windows ist von mir. Areiland hat im Verlauf des Threats dankenswerterweise analysiert, dass der Offline Scan wohl doch durchgeführt wird, aber die Benutzeroberfläche nicht eingeblendet wird. Das wäre ein Zustand, mit man eventuell leben kann, aber sehr glücklich ist das dennoch nicht. Vor allem wenn die Änderung absichtlich durchgeführt worden wäre, ohne darüber zu informieren. Man bekommt im jetzigen Fall ja überhaupt keine Rückmeldung mehr über den Status des Scans.
So ist es sicher normal, hier zuerst einen Fehler zu vermuten. Und welcher Normaluser hat denn schon die Kenntnisse, die entsprechenden Logfiles zu finden und sie dann korrekt zu analysieren?
Zitat" In einem anderen Thread habe ich gelesen, dass eine fehlende Wiederherstellungspartition dafür verantwortlich sein kann, was aber bei mir nicht der Fall ist."
Ich habe auf 2 Rechnern die Wiederherstellungspartition entfernt weil ich Software von Drittanbietern zum Sichern des System nutze. An beiden Rechnern startet seitdem der Offline-Scan nicht mehr. Es passiert gar nichts, keine Fehlermeldung.
Die Vermutung, es liege an der fehlenden Partition ist also begründet.
Dass der Scan mit fehlender Wiederherstellungspartition nicht läuft, ist sicher Fakt.
Aber in meinem speziellen Fall sind auf beiden Rechnern diese vorhanden und daher mein Einwand, dass dies hier nicht der Grund für mein Problem sein kann.
Danke für die Ergänzung.
Dass der Defender offline bei fehlen der Wiederherstellungspartition nicht funktioniert, sollte nicht verwundern, denn Windows integriert ihn ja in die dortige Wiederherstellungsumgebung. Ausserdem wären schon die aktuellen Signaturen viel zu gross für die 100 MB System-reservierte Partition, denn schon der Download des aktuellen Signaturfiles umfasst 124 MB. Und laut Logs werden die Signaturen erst ins WinPE Drive kopiert, bevor der Defender sie läd.
Wenn man die Statusmeldungen von AV-Ware sieht, "Ihr Gerät ist geschützt" oder "Ihr Gerät ist sicher" usw., klappt's einem wegen dieses dreisten Betruges gleich schon wieder alle Finger- und Zehennägel hoch.
Alle Dienste des Defenders sind natürlich deaktiviert, zusätzlich ist er per Gruppenrichtlinie verboten, damit er auch ganz sicher niemals scannen kann, weder online noch offline. ;-)
Das Vorhandensein der Wiederherstellungspartition ist nicht ausreichend, sie muss auch funktionieren. Auch bei mir machte der Windows Offline Defender Probleme und brach nach wenigen Sekunden ab.
Letztlich half folgender Befehl, als Administrator eingegeben:
reagentc.exe /enable
Liebe Spezialisten, habe Wds.10 pro 64 Bit 21H2, was ich hier lese ist sowas für mich, wie ein Ochs, der in ein Bibel schaut. Bin im 87. Lj. und habe überhaupt keinen Bezug zur Technik. Nutze den PC nur, um Mails zu schreiben und mal was zu lesen. Oder Infos zu meinen Krankheiten abzurufen. Bin Pflegepatient, der auch nicht raus kann. Bis vor Wochen konnte ich noch den Offline Scann vom Defender starten. Jetzt tut sich nach Start nichts mehr. Habe auch keine Leute, die ich fragen kann. Alle alten Freunde und Bekannten sind weggestorben. Da ich auch nicht telefonieren kann, bin ich ein Eremit geworden. Alles geht heutzutage nur per Hdy oder Telefon, oder Youtube, was ich nicht hören kann. Viele Grüße Paolo
Schwierig – da sollte ein lokaler Dienstleister über das System schauen – erfahrungsgemäß liegt da mehr im Argen.