nonharderware
2025-07-24, 18:34:57
Hallo zusammen,
ich bin aktuell auf ein ziemlich merkwürdiges Verhalten von Microsoft Defender gestoßen – vielleicht hat jemand von euch eine Idee dazu.
Es geht um den Umgang mit einem Download (siehe https://www.forum-3dcenter.org/vbulletin/showthread.php?t=622049), welcher offenbar ein false-positive enthält.
Setup:
Hauptrechner (Workstation):
Windows 11 Pro, alle Updates aktuell
Defender erkennt bei einer verdächtigen Website sofort die Bedrohung (SmartScreen bzw. AV-Engine schlägt direkt an)
Zweit-PC (Wohnzimmer / Dell Optiplex):
Ebenfalls Windows 11 Pro, identisch aktualisiert
Kein Alarm, obwohl exakt dieselbe Seite im Firefox geöffnet wurde
Was bereits geprüft wurde:
Defender-Signaturen: gleiche Version (1.433.35.0, Stand: 24.07.2025)
Defender-Status: Echtzeitschutz, Verhaltensanalyse, Cloudschutz – auf beiden Geräten aktiv
PowerShell-Auswertung via Get-MpComputerStatus: identisch (alle Schutzfunktionen True)
Defender-Einstellungen via GUI & Registry: kein Unterschied
Firewall & Netzwerkkontext: gleiches Subnetz, keine Filter
Firefox in beiden Fällen – kein Unterschied in Plugins oder Konfiguration
Task Scheduler, Autoruns und verdächtige Dienste geprüft – nichts Auffälliges
Die große Frage:
Warum reagiert Defender auf dem Hauptrechner sofort mit Alarm, während auf dem Wohnzimmer-PC völlige Ruhe herrscht?
Das Verhalten ist reproduzierbar.
Hat jemand eine Idee, was Windows Defender dazu bringt, nur auf einem System anzuschlagen?
Kann es mit Telemetrie-Score, Reputation oder SmartScreen-Vorgeschichte zu tun haben?
Oder evtl. mit lokalen Reputation-Caches?
Danke für jeden Hinweis!
UPDATE: Dritter PC (Laptop eines Freundes, ebenfalls Windows 11 Pro, aktuell) zeigt ebenfalls keine Reaktion beim gleichen Download :connfused:
Auch dort Defender aktiv, Signaturen identisch. Mein QuickMalwareCheck-Skript zeigt keine verdächtigen Tasks, Autostarts oder Prozesse (bei keinem der drei Rechner)
Es scheint also ein individuell lokales Verhalten meines Hauptsystems zu sein – vielleicht Reputation-Caching, heuristisches Scoring oder eine alte lokale Bewertung der Datei?
ich bin aktuell auf ein ziemlich merkwürdiges Verhalten von Microsoft Defender gestoßen – vielleicht hat jemand von euch eine Idee dazu.
Es geht um den Umgang mit einem Download (siehe https://www.forum-3dcenter.org/vbulletin/showthread.php?t=622049), welcher offenbar ein false-positive enthält.
Setup:
Hauptrechner (Workstation):
Windows 11 Pro, alle Updates aktuell
Defender erkennt bei einer verdächtigen Website sofort die Bedrohung (SmartScreen bzw. AV-Engine schlägt direkt an)
Zweit-PC (Wohnzimmer / Dell Optiplex):
Ebenfalls Windows 11 Pro, identisch aktualisiert
Kein Alarm, obwohl exakt dieselbe Seite im Firefox geöffnet wurde
Was bereits geprüft wurde:
Defender-Signaturen: gleiche Version (1.433.35.0, Stand: 24.07.2025)
Defender-Status: Echtzeitschutz, Verhaltensanalyse, Cloudschutz – auf beiden Geräten aktiv
PowerShell-Auswertung via Get-MpComputerStatus: identisch (alle Schutzfunktionen True)
Defender-Einstellungen via GUI & Registry: kein Unterschied
Firewall & Netzwerkkontext: gleiches Subnetz, keine Filter
Firefox in beiden Fällen – kein Unterschied in Plugins oder Konfiguration
Task Scheduler, Autoruns und verdächtige Dienste geprüft – nichts Auffälliges
Die große Frage:
Warum reagiert Defender auf dem Hauptrechner sofort mit Alarm, während auf dem Wohnzimmer-PC völlige Ruhe herrscht?
Das Verhalten ist reproduzierbar.
Hat jemand eine Idee, was Windows Defender dazu bringt, nur auf einem System anzuschlagen?
Kann es mit Telemetrie-Score, Reputation oder SmartScreen-Vorgeschichte zu tun haben?
Oder evtl. mit lokalen Reputation-Caches?
Danke für jeden Hinweis!
UPDATE: Dritter PC (Laptop eines Freundes, ebenfalls Windows 11 Pro, aktuell) zeigt ebenfalls keine Reaktion beim gleichen Download :connfused:
Auch dort Defender aktiv, Signaturen identisch. Mein QuickMalwareCheck-Skript zeigt keine verdächtigen Tasks, Autostarts oder Prozesse (bei keinem der drei Rechner)
Es scheint also ein individuell lokales Verhalten meines Hauptsystems zu sein – vielleicht Reputation-Caching, heuristisches Scoring oder eine alte lokale Bewertung der Datei?