Windows Defender: Bedrohungsverlauf löschen

Der Bedrohungsverlauf beim Windows Defender lässt sich nur Eintrag für Eintrag löschen. Wenn im Verlauf sehr viele Einträge enthalten sind, ist das aber unpraktikabel bis unmöglich. Und eine "Alles löschen"-Funktion sucht man leider vergebens. Hier lesen Sie, wie es trotzdem geht.

Wenn man - so wie ich gerade für ein neues Buchprojekt - mit Software hantiert, die für Penetrationstests bei der Sicherheitsüberprüfung von Netzwerken und Systemen verwendet wird, kann der Virenschutz schon mal aktiv werden. Denn solche Werkzeuge enthalten Code und Payloads, wie sie auch von Viren und Trojanern verwendet werden. Und das nicht zu knapp. Deshalb wird der Windows Defender nicht nur einmal oder zweimal fündig, sondern sehr, sehr oft. Am Ende hat man eine vierstellige Anzahl von Einträgen im Bedrohungsverlauf, wofür die Bedienoberfläche des Windows Defender offensichtlich nicht ausgelegt ist.

Diese ganzen Einträge manuell zu entfernen, wäre extrem zeitraubend. Und die „Alles löschen“-Schaltfläche, die sich hier früher mal fand, hat Microsoft zwischenzeitlich abgeschafft.Löscht man die Dateien mit dem kritischen Code von der Festplatte, bekommt der Windows Defender dies leider auch nicht mit. Das Ergebnis ist aber, dass man die Einträge nun gar nicht mehr entfernen kann. Zwar würden sie nach einiger Zeit automatisch verschwinden, aber bis dahin würde das Sicherheitscenter ständig Bedrohungen melden, so dass man nicht mehr bemerkt, wenn es wirklich eine neue Gefahr gibt.

Deshalb wollte ich nicht lange warten und habe mich auf die Suche gemacht, wie man den Bedrohungsverlauf „von Hand“ leeren kann. Und tatsächlich gibt es eine Methode, die nicht mal besonders kompliziert ist. Man muss eben nur wissen, wie:

  1. Öffnen Sie im Windows Explorer den Pfad C:\ProgramData\Microsoft\Windows Defender\Scans. Für den Zugriff sind Administratorrechte erforderlich, so dass die Benutzerkontensteuerung danach fragen wird.
  2. Wechseln Sie dann in das Unterverzeichnis History, indem die Daten des Bedrohungsverlaufs gespeichert werden.
  3. Löschen Sie darin den Unterordner Service (er wird vom Windows Defender bei der nächsten Bedrohung automatisch neu erstellt).
  4. Das alleine reicht aber noch nicht: Öffnen Sie nun die Windows-Sicherheit (beispielsweise mit dem Symbol im Infobereich).
  5. Wechseln Sie in den Bereich Viren- & Bedrohungsschutz und klicken Sie im Abschnitt Einstellungen für Viren- & Bedrohungsschutz auf Einstellungen verwalten.
  6. Deaktivieren Sie hier die Schalter bei Echtzeitschutz und Cloudbasierter Schutz (wenn letzterer überhaupt eingeschaltet ist).
  7. Windows-Sicherheit wird sich beschweren, dass die Sicherheit des Systems nun gefährdet sei. Das macht aber nichts, weil Sie die Schalter direkt wieder einschalten können.

Wenn Sie anschließend einen Blick in den Bedrohungsverlauf werfen, werden Sie feststellen, dass dieser nun leer ist.

3 Antworten

  1. Nator sagt:

    Ich mach das seit einiger Zeit anders. Ich habe eine Linux-Life-Version auf einem USB-Stick. Die starte ich beim einschalten des PC’s über F12. Von dort kann ich die Datei mpenginedb.db in ProgramDataMicrosoftWindowsDefenderScans löschen. Beim Neustart von Windows wird diese Datei wieder erstellt und ist ebenso wie der Schutzverlauf leer.
    Gleichzeitig kann ich auch alle anderen Dateien löschen, die unter Windows nicht so ohne weiteres löschbar sind.

  2. Tobi sagt:

    Auch von mir ein dickes Danke.

    Habe bewusst ein Programm installiert, das Windows allerdings als potentiell unerwünschte Anwendung erkennt.

    Ok, dachte ich mir. Mit dem Programm Defender Injector also schnell und geschmeidig eine entsprechene Aussnahme für den scheinbar unerwünschten Ordner erstellt und einen neuen Scan gestartet, im Glauben, dass damit die Warnungen des alten Scans dann nicht mehr angezeigt würden, bzw. hinfällig/aktualisiert wären – Pustekuchen, Essig wars (und sonstige altbackene Phrasen ^^).

    Dann hatte ich, wie hier beschrieben, den Service-Ordner entfernt und den Echtzeitschutz deaktiviert. Nochmals manuell gescannt (Ausnahme für den scheinbar fraglichen Ordner natürlich weiterhin aktiviert) und diesmal waren die alten nervigen Meldungen weg. Sicherheitshalber wieder Echtzeitschutz aktiviert und nochmals manuell gescannt und auch hier funktionieren die Ausnahmen vom Scan endlich, bzw. die Meldungen des alten Scans werden nicht mehr zusätzlich im neuen Scanergebnis übernommen und somit auch nicht mehr angezeigt.

    Finde das Verhalten von Windows hier albern und nervig.

    Ich: „Du, da guckst du ab jetzt aber nicht mehr nach!“
    Windows: „Na gut :(. Aber da war mal was und du hast nix gemacht, guck!“

  3. L4z4 sagt:

    Hallo,

    vielen lieben Dank für die ausführliche Beschreibung! Ich habe exakt das gleiche Problem, mit dem Unterschied, dass ich kein Buch schreibe! 😉
    Nach dem ersten Schock über die Vielzahl an Meldungen kam schnell Ernüchterung als ich bemerkte, dass alle Meldungen zu einer ISO zurückverfolgbar waren. Diese ISO hatte ich kurzzeitig auf dem Desktop, weil ich mir damit einen bootfähigen USB Stick generiert hatte. Ich hatte nicht bemerkt, dass das automatische Backup der onedrive diese ISO bereits in der Cloud gesichert hatte. Der vollständige Virenscan fand die ISO schließlich in der Cloud. Um kritische von unkritischen Meldungen unterscheiden zu können, löschte ich das Backup aus der Cloud. Und, Überraschung, die Meldungen ließen sich nun gar nicht mehr löschen!

    Nun bin ich überglücklich mit Ihrer Beschreibung dem Problem beizukommen.

    Viele Grüße

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Schließen