Microsoft Defender meldet unter Windows 10 übersprungene Dateien - Update 2

Microsoft Defender meldet unter Windows 10 übersprungene Dateien - Update 2

Eine merkwürdige Meldung verwirrt derzeit Nutzer von Windows 10: Der Microsoft Defender meldet sich und gibt an, bei der Schnellüberprüfung Dateien übersprungen zu haben – angeblich aufgrund manueller Ausschluss-Kriterien. Die betroffenen Benutzer haben aber keine derartigen Einstellungen vorgenommen.

In den Microsoft-Foren und in anderen Communities melden sich derzeit zahlreiche Nutzer von Windows 10 zu Wort, es wird vermutet, dass diese Phänomen seit dem letzten Patchday auftritt. Die Nutzer sind verunsichert und fragen sich aus verständlichen Gründen, ob der Defender denn nun die Überprüfung zu Ende gebracht hat, und welche Dateien da womöglich ausgelassen wurden.

Ich habe versucht, das Problem hier nachzustellen. Weder unter Windows 10 Version 1909 noch in den Insider-Builds 19041 und 19587 konnte ich das Verhalten bei mir nachvollziehen, aber wozu hat man denn Kollegen: Günter Born sowie Deskmodder haben den Fall untersucht und konnten das Verhalten auch reproduzieren bzw. bekamen entsprechende Nutzer-Berichte zugesandt.

Die wichtigste Erkenntnis: Der einzige Fehler scheint die Meldung selbst zu sein: Im Defender selbst und in der Ereignisanzeige finden sich nämlich keine Hinweise auf übersprungene Dateien oder gar einen Abbruch des Scans. Für den Moment kann man also davon ausgehen, dass es sich um einen Fehlalarm handelt. Nichtsdestotrotz sollte der natürlich dennoch schnellstmöglich abgestellt werden. Von Microsoft gibt es noch keine offizielle Reaktion zu dem Thema.

Update vom 24.03.2020:
Kollege Günter Born hat die Ursache herausgefunden: Der Microsoft Defender scannt keine Dateien auf Netzlaufwerken mehr (das erklärt, warum ich die Meldung nicht zu sehen bekam, hier gibt es keine). Ob es sich dabei um einen Fehler oder eine beabsichtigte Umstellung handelt, ist noch nicht ganz klar, jedenfalls beschreibt Günter in einem neuen Blogpost, wie man das Scannen von Netzlaufwerken via Gruppenrichtlinie oder per Registry-Eintrag wieder aktivieren kann.

Update vom 26.03.2020:
Nun ist klar, dass es sich bei der besagten Änderung um einen Fehler handelte. Microsoft hat das Update KB4052623 veröffentlicht, welches den ursprünglichen Zustand wiederherstellt. Die Meldung bezüglich übersprungener Dateien taucht nicht mehr auf. Wer nichts unternommen hat, der hat das Problem somit erfolgreich ausgesessen.

Über den Autor
Martin Geuß
  • Martin Geuß auf Facebook
  • Martin Geuß auf Twitter
Ich bin Martin Geuß, und wie unschwer zu erkennen ist, fühle ich mich in der Windows-Welt zu Hause. Seit mehr als zwölf Jahren lasse ich die Welt an dem teilhaben, was mir zu Windows und anderen Microsoft-Produkten durch den Kopf geht, und manchmal ist das sogar interessant. Das wichtigste Motto meiner Arbeit lautet: Von mir - für Euch!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.



Kommentare

  1. @Bernd: Ist ein Ergebnis meines Spiels über Bande - erst einen englischsprachigen Blog-Beitrag erstellen, dann den Kollegen Lawrence Abrams bei Bleeping Computer und Woody Leonhard bei askwoody zu informieren. Zudem habe ich die Windows Update-Gruppe von Microsoft auf das Thema (samt Link auf den Beitrag) angesetzt. Mal schauen, ob sich da noch was tut. In einigen Fällen hat sich in der Vergangenheit eine Rückmeldung in Form eines KB-Beitrags oder eines Statuseintrags ergeben.
    Ok, sieht so aus, als ob jetzt klar ist, was passiert. Irgend etwas wurde am Defender geändert - der scant keine Netzwerkdateien mehr und meldet das. Es gibt zwei Möglichkeiten: Meldung ignorieren - oder den Workaround nutzen, den ich in meinem Blog-Beitrag beschrieben habe:
    https://www.borncity.com/blog/2020/03/24/windows-10-fix-fr-bersprungene-defender-scans/
    Nach Ausführen des PS-Codes gestern, aber da war das Update wohl schon durch.
    Get-MpPreference | findstr /i "net exc"
    AttackSurfaceReductionOnlyExclusions :
    DisableAutoExclusions : False
    DisableScanningMappedNetworkDrivesForFullScan : True
    DisableScanningNetworkFiles : True
    EnableNetworkProtection : 0
    ExclusionExtension :
    ExclusionPath :
    ExclusionProcess :

    Persönlich benötige ich keinen Netzwerk-Scan, weil alle Daten im Netzwerk selbst Windows 10 sind, also Rechner. Bei NAS macht das Sinn, vorausgesetzt, der Defender sucht dann nicht wie blöd nach der Ressource und wirft Fehlermeldungen aus, weil nicht erreichbar, falls abgeschaltet. Es muss ja einen Grund gehabt haben, warum MS das geändert hat.
    Auf Bleeping Computer hat Lawrence Abrams nach meinem Hinweis die Nacht noch einige Ergänzungen und Beobachtungen zusammen getragen.
    https://www.bleepingcomputer.com/news/security/windows-defender-fix-for-windows-10-enable-network-scanning/
    Ich glaube Microsoft sollte besser diese Notification einfach unterdrücken, sofern es sich bei den übersprungenen Elementen nur um Netzwerkdateien handelt. Bevor Leute auf die Idee kommen, dass wieder zu aktivieren. Ich halte das in keinem einzigen Fall, den ich mir vorstellen kann, für sinnvoll, Netzwerkfreigaben bzw. Netzlaufwerke zu scannen.
    Ich stelle mir grad vor, da ist ein NAS mit 12 TB Daten eingebunden und der Defender springt an. Dann zieht der sich beim Scan dann die gesamten 12 TB übers LAN nur um die zu scannen? Das wär ja ne Katastrophe. Praktisch der LAN-Tod über Stunden und macht über die Stunden die Schnittstelle dicht, über WLAN dauerts noch viel länger. Vor allem weil selbst wenn da irgendwo Malware auf dem NAS liegt, die dort rein gar nichts ausrichtet wenn sie inaktiv da drauf liegt. Und in dem Moment wo sie sich irgendein PC runterzieht, wird sie ja umgehend auf dem jeweiligen PC durch den Echtzeitschutz aus dem Verkehr gezogen.
    Ich bin ja ehrlich gesagt schockiert, dass das bislang wohl standardmäßig gescannt wurde. Was mich allerdings wundert ist, dass die Notification beim Schnelltest kommt. Der scannt doch eigtl. gar nicht in Regionen, wo er mit Netzwerkpfaden in Berührung kommen sollte? Bzw. der scannt gezielt in bestimmten Ordnern, wo sich Malware üblicherweise einnistet.
    Dass bei einem Custom-Scan, der den ganzen PC abgrast, auch Netzwerkfreigaben erfasst und dann übersprungen werden, ist ja einleuchtend, aber beim Schnelltest eigtl. nicht.
    Um welche Dateien geht es hier überhaupt?
    Um alle erreichbaren Freigaben, oder Netzwerklaufwerke (mit Buchstabe)?
    In beiden Fällen ist das scannen von allem aus Performancegründen keine gute Idee.
Nach oben