Frage Defender bzw. EventLog

Hallo Experten,
nach langer Zeit hätte ich noch einmal eine Frage:
Um den text nicht schreiben zu müssen siehe Screens.
-
Fakt ist:
habe keine Schadsoftware oder dergleichen und kein anderes Schutzprogramm als den Defender. Immer aktuell.
Sporadisch stoße ich eine Schnell oder Gesamt Prüfung an. Immer alles unauffällig.
-
Was oll ich dann mit dieser INFO anfangen?
Auffällig ist das diese ID5007 oft protokolliert wird. Manchmal steht "geändert von 0x0 auf 0x1" aber manchmal
genau umgekehrt von 0x1 auf 0x0. Oft wenige Sekunden später.
Z.Z. steht es auf 0x1. Auch nach Neustart.
Was macht Windows hier? Was nun welcher Wert bedeutet, darüber konnte ich nichts finden.

Hier konnte ich etwas lesen, aber leider veraltet.
Vorsicht mit dem Start-MPWDOScan Cmdlet bzw. dem Offline uberprufen bei Windows 10 | Das nie endende Chaos!

Das im Text keine Umlaute angezeigt werden kann man sicher umstellen oder?

Hallo VT12
Wenn ich den Text lese wurde ich auf Malware tippen,auch wenn du schreibst, dies sei nicht der Fall.
Vielleicht mal einen Scann mit Malewarbytes free und AdwCleaner machen.Auch mit Defender online vielleicht.

Wie schon immer gesagt:
Finger weg von der Ereignisanzeige und nicht nach Fehlern suchen, die es ohnehin nicht gibt! Schon die Ereignisebene sagt aus, dass da nur eine Information geloggt wurde.

Bei diesen Werten "0x0" und "0x1" geht es einfach nur um Statusmeldungen, die in diesem Fall sagen ob der Defender Dienst zur Protokollierungszeit gerade ausgeführt wurde (0x1), oder ob er gestoppt war (0x0). Je nachdem was da gerade im Registrywert steht, kann er nämlich auch kurzeitig gestoppt sein, weil sich der Defender gerade selbst updatet (Plattformupdate) und anschliessend wieder startet. Dann protokolliert Windows in kurzer Folge erst 0x1 (läuft), 0x0 (gestoppt) und dann wieder 0x1 (läuft), weil der Defender Dienst für das Plattformupdate eben kurz gestoppt und dann wieder gestartet werden musste.

Und sowas sieht man z.B. auch bei den Protokolleinträgen für App-Updates, wo regelmässig unterschiedliche Stati zu finden sind. Hier steht nämlich oft, dass das Update mit dem Status 0x0 abgeschlossen wurde, die Statusänderung zu 0x1 fehlschlug. Dabei handelt es sich aber gar nicht um Fehler, sondern nur darum, dass das Update erfolgreich war (0x0 = kein Fehler), aber der vorgesehene Status 0x1 (Ausführung) nicht erreicht werden konnte. Einfach aus dem Grund, dass für diese App kein Hintergrundbetrieb zugelassen wurde - also scheitert die Ausführung im Hintergrund und das sorgt für die Meldung.

Solche Protokolleinträge sind nämlich einfach nur eine Momentaufnahme des aktuellen Betriebszustandes.

Nun, in einem anderen Beitrag rät man dem User doch gefälligst mal im EventLog zu suchen. Es wird zwar nicht gesagt
wonach er suchen soll, aber egal, anderes Thema.

Manchmal stosse ich einen manuellen Scan an, nur so.
Vielleicht hängt es damit zusammen.
Auch eben wieder, manuell Updates angestossen und siehe da..
Für den Defender wurde ein Update eingespielt (nicht Signaturen). Ausserdem ein kumulatives Update als optional.

So wie Alex das nachvollziehbar erklärt hat scheint es wohl zu sein. Das wäre dann aber mehr als pingelig von
Windows, wenn ein Dienst beendet wird um ihn upzudaten und dann wieder zu starten, dies festzuhalten.
Der Oberquatsch besteht meiner Meinung nach darin wenn man sich den Text im Protokoll ansieht.
"Es könnte auf Malware hindeuten". Das verunsichert den normalen User mehr als wenn der Quatsch überhaupt
nicht erscheinen würde. Aber wie an anderer Stelle schon vielfach gesagt ....Windows protokolliert jeden Pups.
-
Das ständig diese APP-Modell Runtime Fehler protkolliert werden, daran hab ich mich schon gewöhnt.
Man kann eben nix updaten was nicht mehr da ist.
Fazit: Vielleicht ist es ein Virus oder Malware, vielleicht auch nicht. Toller Defender.

Ich gehe davon aus das alles ok ist, sonst hätte sich der hochgelobte Defender schon eher gemeldet.
Wenn nicht ist das Dings wohl eher untauglich. Was ich allerdings nicht annehme.

Nein man soll eben nicht in der Ereignisanzeige suchen! Man soll verdammt nochmal im Zuverlässigkeitsverlauf nachsehen, wenn man Fehler vermutet oder feststellt. Denn der ist da wesentlich aussagekräftiger! In der Ereignisanzeige schaut man nach wenn der Zuverlässigkeitsverlauf nicht genug Information ausspuckt und dann sucht man gezielt in der Ereignisanzeige nach zugehörigen Fehlern.

Und wenn man in der Ereignisanzeige nachsieht, dann sollte man auch selbst in der Lage sein die Meldungstexte zu interpretieren. Vor allem sollte man man endlich mal verstehen, dass diese vorformuliert aus einer Systembibliothek kommen und der Hinweis "Falls dies unerwartet passiert - könnte das auf Schadsoftware hinweisen" deshalb ein Standardtext ist. Würde der Windows Defender urplötzlich deaktiviert und nicht mehr aktiviert, dann wäre sowas denkbar. Wechselt er aber nur gelegentlich kurz seinen Status, dann ist das ganz einfach durch Updates veranlasst.

Hab ich Dir alles aber schon etliche Male erklärt und jedesmal fummelst Du wieder in der Ereignisanzeige rum, ohne das von mir gesagte zu beherzigen und zu verinnerlichen - Lerneffekt Nullkommanull.