Tipp für Microsofts Malware-Schutz
Windows Defender: Rollback der Signatur- und Engine-Dateien
Lösung: In einem solchen Fall bietet das Kommandozeilen-Utility von Defender einen möglichen Ausweg. Dazu starten Sie die Eingabeaufforderung mit Administratorrechten und navigieren zum Ordner %ProgramFiles%\Windows Defender. Geben Sie nun MpCmdRun.exe gefolgt von einem Leerzeichen und dem Schalter -RemoveDefinitions ein. Also:
MpCmdRun.exe -RemoveDefinitions
Dieser Befehl ersetzt - anders als der Parametername vermuten lässt - nicht nur die aktuellen Definitionsdateien, sondern ebenfalls die Engine-Files durch die gesicherte vorherige Version.
- Windows Defender
Ausgangspunkt sind aktuelle Defender-Definitionsdateien. Diese sollen per Rollback auf einen früheren Stand gebracht werden. - Windows Defender
Dazu rufen Sie die Eingabeaufforderung als Admin auf und starten MpCmdRun.exe mit dem Parameter "RemoveDefinitions". - Windows Defender
Der Speicherort des Backup-Ordners, aus dem Windows sich für das Rollback bedient, lässt sich aus dem markierten Registry-Schlüssel ableiten. - Windows Defender
Im Sicherungsverzeichnis befinden sich üblicherweise drei Files: zwei Definitionsdateien und eine Engine-Datei. - Windows Defender
Um alle vorhandenen Engine- und Signaturdateien von Defender zu löschen, geben Sie in der Kommandozeile zusätzlich den Parameter -All an. - Windows Defender
Infolgedessen findet sich danach in der Defender-GUI auch keine Versionsangabe, und der Echtzeitschutz ist deaktiviert. Erst nach einem erneuten Update lässt sich das Tool wieder nutzen.
Das dazu erforderliche Backup legt Windows selbstständig an, standardmäßig unter C:\ProgramData\Microsoft\Windows Defender\Definition Updates\Backup. Den auf Ihrem PC gültigen Pfad können Sie von dem Registry-Wert SignatureLocation ableiten, der den Speicherort der aktuell verwendeten Defender-Definitionen angibt.
Bei sehr hartnäckigen Problemen kann es sich rentieren, alle installierten Engine- und Signaturdateien von Defender zu entfernen. Dazu geben Sie den Befehl
MpCmdRun.exe -RemoveDefinitions -All
ein. Anschließend meldet Windows in der Befehlszeile Starting engine and signature rollback to none.
Produkte: Der Trick funktioniert mit Windows Vista, Windows 7 und Windows 8/8.1. (mje)