Vorsicht mit dem Start-MPWDOScan Cmdlet bzw. dem Offline überprüfen bei Windows 10


Wer mit seinem Powershell auf aktuellen Windows 10 Versionen herumspielt, der könnte über das neue Cmdlet Start-MPWDOScan stolpern. Ein etwas kryptischer Name. Es gibt bereits eines mit dem Namen Start-MpScan, welches den Windows Defender aufruft und einen Scanlauf startet.

Aber für was steht nun WDO? Ganz einfach für Windows Defender Offline. Also kurz, damit kann man den Windows Defender im Offlinemodus starten. Dazu wird die aktuelle Windows Sitzung heruntergefahren und der Rechner bootet den Windows Defender Offline Scanner. Der führt seinen Scanlauf durch und bootet anschließend wieder das vorhergehend aktive Windows.

Seit der Verison v1511 von Windows 10 gab es nur das Cmdlet aber bei den aktuellen Preview-Versionen, gibt es nun bei den Windows Einstellungen bei “Update und Sicherheit” unter “Windows Defender” die Option “Windows Defender Offline” wo man den Button “Offline überprüfen” anklicken kann.

Soweit so gut und sicher eine prima Sache.

Wenn da nicht wie immer die berühmten Nebenwirkungen wären. Zunächst macht es Sinn, bevor man Start-MPWDOScan aufruft mittels Update-MpSignature die aktuellen Virendefinitionen zu laden, denn der Offline-Scanner legt einfach los und kann kein Update durchführen!

Nach dem Aufruf von Start-MPWDOScan oder anklicken von “Offline prüfen” passiert zunächst einmal nichts. Erst nach ca. einer Minute erscheint auf einmal ein Hinweisfenster, dass nun alle Anwendungen geschlossen werden. Wenn man dies nicht weiß, ist dies ziemlich verwunderlich, weil man einen Befehl absetzt und keine Reaktion bekommt und dann unvermittelt doch. Man kann zwar das Hinweisfenster schließen aber ein Abbruch des Vorgangs ist nicht direkt möglich! Nicht gespeicherte Daten gehen unweigerlich verloren! Wer schnell ist, kann allerdings per Win+R oder per Eingabeaufforderung ein “Shutdown /a” absenden, damit wird der Vorgang zunächst abgebrochen.

Wer nach einem Abbruch mittels “Shutdown /a” später dann versucht den Vorgang kontrolliert nochmal neu zu starten, der kann nach Eingabe von Start-MpWDOScan lange warten, denn es passiert einfach nichts mehr. Erst ein Neustart des Rechners mittels “Restart-Computer” bzw. normalem Neustart führt zur Offline-Prüfung, d. h. nach dem Abbruch macht der Rechner zunächst auf beleidigt.

Nächstes Problem ist die Art des Scanlaufs. Normalerweise kann man mittels “Set-MpPreference –ScanParameters FullScan” festlegen, dass man einen vollständigen Scanlauf machen möchte. Der eingebaute Windows Defender Offline ignoriert diese Einstellung und führt immer nur eine Schnellprüfung durch.

Wenn der Scanlauf beendet ist, stellt sich die Frage, wie man weiß, dass nichts gefunden wurde. Man könnte die Windows Ereignisanzeige mittels

Get-WinEvent -LogName "Microsoft-Windows-Windows Defender/Operational"|select -First 10

bemühen aber dort stehen eher wenig Infos drin. Es wird lediglich vermerkt, wann ein Offlinescan von der Anwendung “%1” initiiert wurde. Dies wird angezeigt durch die Nachricht “%1 hat Windows Defender Offline heruntergeladen und konfiguriert und führt es beim nächsten Neustart aus.”, ID 2030. Danach gibt es noch die Meldung “In der Konfiguration von Windows Defender wurde eine Änderung erkannt. Falls dies unerwartet ist, überprüfen Sie die Einstellungen, da die Änderung möglicherweise von Schadsoftware verursacht wurde…”, ID 5007. Dabei wird noch ein Registrierungskey genannt: HKLM\SOFTWARE\Microsoft\Windows Defender\Scan\OfflineScanRun, der von 0x1 auf 0x0 gesetzt wurde. Wenn es stimmt.

Da wohl niemand am Bildschirm kleben bleibt, wenn der Scan läuft, der fragt sich, wie kann man feststellen, ob der Scan ohne Probleme verlief? Dazu findet man im Verzeichnis C:\Windows\Microsoft Antimalware\Support entsprechende Log-Dateien. Die Kurzfassung steht in MSSSWrapper.LOG. Der Name MSSS steht für Microsoft Standalone System Sweeper, dem früheren Namen des Windows Defender Offline.

Es gibt auch noch Dateien mit Namen MPDetection-Datum-Uhrzeit.LOG und MPLog-Datum-Uhrzeit.LOG, dort stehen auch noch Infos.

In beiden Dateien, MSSSWrapper.LOG und MPDetection*.LOG werden Virenfunde verzeichnet, indem auf “Number of threats from scan: x”, “Found Virus:” und “DETECTION Virs:” darauf hingewiesen wird.

Wer selber die Reaktion des Windows Defender Offline testen möchte, der schaltet einfach mittels “Set-MpPreference –DisableRealtimeScanning $true” den Realtimescan-Modus ab. Danach kann man Problemlos mittels “New-Eicar –Path C:\Windows” ein Test-Virus pflanzen, der dann vom anschließenden Offline Scanlauf erkannt werden sollte. New-Eicar bekommt man hier: https://github.com/obscuresec/PowerShell/blob/master/New-Eicar.

Bleibt noch am Ende die Frage, wie sicher die Offline Methode ist. Denn wenn ein System bereits infiziert ist, könnte eine Malware auch nach dem Start des Offline-Scanners aktiv sein. Leider gibt es keine verwertbaren Infos wie dieser Vorgang vonstatten geht, so dass man hier nur spekulieren kann. Scheinbar wird ein WinPE hochgefahren, aber es wird dabei scheinbar auf Dateien aus dem bestehenden System zurückgegriffen…

Wobei es aber auch klappen könnte, wenn man Confirm-SecureUEFIBoot mit $true bestätigt bekommt, dann könnte theoretisch geprüft werden, ob das System sauber ist. Aber ob das stattfindet?

Eine Antwort to “Vorsicht mit dem Start-MPWDOScan Cmdlet bzw. dem Offline überprüfen bei Windows 10”

  1. Quirel Says:

    Hier jetzt die offizielle Beschreibung im Technet:

    https://technet.microsoft.com/en-us/itpro/windows/keep-secure/windows-defender-offline

Schreibe einen Kommentar

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s


%d Bloggern gefällt das: