Kurze Frage an die Leser mit Windows 10 und Windows 11, die den Microsoft Defender dort einsetzen. Gibt es dort das Problem, dass der Defender im Sicherheitscenter (Windows-Sicherheit) als deaktiviert auftritt und sich nicht aktivieren lässt? Ein Blog-Leser hat sich bei mir gemeldet und berichtet, dass dieses Problem bei ihm auf mehreren Maschinen auftritt und fragt, ob da was bekannt sei. Mir ist bisher kein weiterer Fall untergekommen, aber das Problem zieht sich seit Jahren durch die Foren.
Eine Lesermeldung
Blog-Leser Tom hat sich gestern Nacht per E-Mail gemeldet und schrieb, dass mit dem Windows Defender etwas was im Argen sei. Er hat seit ein paar Tagen auf mehreren Maschinen das Problem, dass der Nutzer nicht mehr auf die Verwaltungsseite des Antivirus kommt. Es käme nur die Meldung das es vom Admin deaktiviert wurde und die Seite nicht aufgerufen werden kann.
Der erste Gedanke war, dass ein Antivirus-Programm eines Fremdherstellers da Ärger macht. Tom verwendet aber, laut seiner eigenen Aussage, keine Microsoft-Konten und ein anderes Antivirus-Programm war auch nie installiert. Diese Fehlerquelle scheidet demnach also aus.
Meldung seit Jahren in Foren
Geht man auf die Suche im Internet, wird dieses Problem seit mehr als sechs Jahren immer mal wieder gemeldet. Es gibt beispielsweise den Microsoft Answers-Forenbeitrag Windows Defender Aktivierung durch Systemadministrator gesperrt vom 12. Februar 2018, wo dieses Problem berichtet wurde. Dort war Kaspersky als Virenschutz installiert und es kam folgende Meldung.
In der Systemsteuerung wurde dem Anwender dann die Informationen angezeigt, dass die Einstellung vom Administrator verwaltet wurde. Es handelt sich um eine ältere Windows-Version, so dass die angezeigten Seiten von aktuellen Windows-Versionen abweichen.
Möglicherweise Richtlinieneintrag als Ursache
Falls das Problem auftaucht und Malware als Ursache ausgeschlossen werden kann, könnte eine Gruppenrichtlinie die Ursache für das Problem sein. Man kann den Registrierungseditor über Als Administrator ausführen aufrufen und dann zu folgendem Eintrag navigieren:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender
Dort ist zu prüfen, ob der 32-Bit-DWORD-Eintrag DisableAntiSpyware vorhanden ist. Diesen Wert löschen und dann Windows neu starten. Jetzt sollte der Defender wieder funktionieren. Ist der Eintrag nicht vorhanden, liegt das Problem an anderer Stelle. Auf verwalteten Systemen sollte es eine Gruppenrichtlinie mit dem Namen „Windows Defender Antivirus deaktivieren“ oder ähnlich geben, die nicht aktiviert sein darf.
Frage in die Runde: Ist bei euch das Problem ebenfalls aufgetreten? Gibt es Erkenntnisse über die Ursache?
Habe das selbe Problem seit ein paar Tagen. Registrywerte sind korrekt gesetzt. Eine Reparaturinstallation über die ISO brachte leider auch keinen Erfolg.
Wir haben keine Probleme. ich würde an seiner Stelle mal im Ereignisprotokoll unter „Defender“ nachsehen ob etwas den Defender stillgelegt hat. Hinweis wäre „Tamper Protection“ disabled.
Auf meinem System „Windows 10 Pro 22H2“ läuft der Defender einwandfrei.
Bei uns wird zum ersten Mal der 3rd-Party-Virenschutz korrekt angezeigt. Bisher wurde immer der Windows Defender angezeigt.
Und der Defender ist ausgeschaltet, bisher lief der trotzdem mit. Muss ich mal beobachten. Danke für den Hinweis.
Es wäre nicht der erste Virus, den ein Virenscanner nicht erkennt und der den Virenscanner nach der erfolgreichen Infektion deaktiviert.
Da würde die Möglichkeit bestehen von einem USB Stick zu booten und von dort einen Virus-Scanner laufen zu lassen. z.B. bietet Heise so etwas alle Jahre an. Kann man für ein paar Euro nachbestellen.
Gab es nicht auch die Möglichkeit, das Recovery Windows zu starten um von dort zu scannen?
Das man nicht mehr auf bekannte Antivirus-Seiten kommt ist auch ein ganz typisches Zeichen einer Infektion. (Hängt natürlich vom Virus/Trojaner ab.
So ein Verhalten fällt wie man sieht recht schnell auf.
Vielleicht kommt man über
http://www.trojaner-board.de
da weiter. Haben nette Tools.
Wenn man diese Webseite nicht erreichen kann oder nichts herunterladen kann, ist die Lage klar.
Nachdem vor 30 Jahren die Dll-Hell ja offziell abgekündigt wurde, habe ich das Gefühl, dass sie fröhliche Urständ feiert: Aktuell haben wir wieder einen Fall von ucrtbase.dll. Seit Jahren passiert es wohl immer wieder, dass Windows die Versionierung verhaut – jede C++-Runtime und jedes SDK hat eine, offenbar auch noch Abhängigkeiten vom Videotreiber – und dann scheitern Programme beim Start, weil sie von Windows die falsche ucrtbase.dll geladen bekommen. Das ist nicht zu reparieren – da hilft nur Windows neu aufzusetzen.
Sowas in der Art würde ich erstmal vermuten – manchmal weiß das Windows-Log tatsächlich auch was Hilfreiches dazu. Zumal Windows-Komponenten durchaus Windows-Komponenten nutzen… ;)
Ich hab das Problem auch mit Kunden gehabt die einen Account über uns bei der Firma haben und eigentlich nur Teams nutzen. Seit Teams 2.0 tritt das anscheinend auf. Die Geräte der Kunden haben das gleiche Problem, obwohl sie nur an der APP angemeldet sind und das Gerät überhaupt nicht in Intune registriert ist.
Ich habe gerade letzte Woche eine Firma mit 20 Mitarbeiter von Bitdefender auf Windows Defender (inkl. Intune/Security Center onboarding) umgestellt, bei 19 Mitarbeiter hatte ich kein Problem, bei 1 erhalte ich obenstehende Nachricht „Unerwartet Fehler……“. Das mit der Registry hat leider nicht geholfen, habe dann auch nochmals den Bitdefender uninstaller ausgeführt, ohne Erfolg. Hab dann auch noch mit Malwarebyte einen Scan auf Schadsoftware durchgeführt, ohne einen Treffer.
In der Ereignisanzeige erhalte ich einen Eintrag mit der ID 5007 „In der Konfiguration von Microsoft Defender Antivirus wurde eine Änderung erkannt. Falls dies unerwartet ist, überprüfen Sie die Einstellungen, da die Anderung möglicherweise von Schadsoftware verursacht wurde.
Bisheriger Wer: Default\IsServiceRunning 0x0
Neuer Wert: HKLM\SOFTWARE\Microsoft\Windows Defeder\IsServiceRunning 0x1“
Falls jemand eine Idee hat? Wir haben dann wieder den Bitdefender installiert.
Was steht den in der Ereignisanzeige bei Microsoft Defender?
Rechner neu aufsetzten – das ist nicht „normal“
Vielleicht von Nutzen: https://www.systweak.com/blogs/fix-windows-11-defender-keeps-turning-off/
Das MS-Tool könnte es richten, einfach mal durchlaufen lassen und auf eine Meldung am Ende hoffen.
Microsoft Safety Scanner (64-Bit) herunterladen
https://go.microsoft.com/fwlink/?LinkId=212732
oder wenn x86 PC
Microsoft Safety Scanner (32-Bit) herunterladen
https://go.microsoft.com/fwlink/?LinkId=212733
Am Rande: Bitte bei solchen Links deutlich herausstellen, dass der Download sofort einsetzt. Ich habe soeben umsonst 3 x 140 MB teuer gekauftes mobiles Datenguthaben verbraten. Ich ging von Weiterleitung auf eine Landing Page aus, verkannte aber, dass die leeren Seiten in Wirklichkeit im Hintergrund bereits laufende Downloads waren und nicht etwa durch meinem störrischen Browser bzw. die uBlock Origin Erweiterung verursacht wurden. Danke.
Sollte man aber wissen, oder sich vorher schlau machen. Wir können definitiv nicht den Aufpasser geben, für Leute, die mobil unterwegs sind und jeden Link antippen. Der Ball liegt dieses Mal bei dir, auch wenn ich deinen Frust verstehen kann.
Der Sicherheitsscanner läuft 10 Tage nach dem Download ab. Um eine Überprüfung mit den neuesten Anti-Malware-Definitionen erneut auszuführen, laden Sie Safety Scanner neu herunter, und führen Sie ihn erneut aus. Es wird empfohlen, vor jedem Scan immer die neueste Version dieses Tools herunterzuladen.
Ausführliche Erkennungsergebnisse finden Sie im Protokoll unter %SYSTEMROOT%\debug\msert.log
Das Tool kann automatisch Fehler bei den Windows-Defender Einstellungen finden und korrigieren.
Win 11 Canary läuft er, ohne Dritt-Anbieter.
Wie sieht das Symbol in der Taskleiste bei Tom aus, wenn er keinen Zugang hat?
Der Defender läuf und blockt auch schön. Nur verwalten kann man ihn nicht mehr. Ich kann keine Aussschlüsse machen oder dergleichen.