WinToolkitRunOnce.exe auf der scharzen Liste vom Defender

Antworten
Benutzeravatar
Nemo
Support
Beiträge: 1268
Registriert: Di 12. Jul 2016, 12:28
Wohnort: Bad Soden am Taunus
    Windows 10 Firefox
Hat sich bedankt: 151 Mal
Danksagung erhalten: 132 Mal
Status: Offline

WinToolkitRunOnce.exe auf der scharzen Liste vom Defender

#1

Beitrag von Nemo » Fr 4. Okt 2019, 15:11

Moin moin,

Als ich heute Win10/19h2 in dieser Konstellation --- erstellt mit WTK --- in einer VM testete, musste ich feststellen, dass der Defender die C:\Windows\System32\WinToolkitRunOnce.exe aus dem Verkehr gezogen hatte, mit der ich
- KB4052623 der v4.18.1909.6 in Verbindung mit den aktuellen Signaturen und
- das Malicious Software Removal Tool (MSRT)
installieren wollte.
WTKRunOnce_blocked.png
Auszug aus LS.INI : Zeige Spoiler

Code: Alles auswählen

*AIO|v1.7.0.8|2019-06-22_21-50
...
#Silent Installs
KB4052623-x64::;NO;4,61 MB;C:\P\WIN7TOOL.KIT\DEFENDER\KB4052623-x64.exe;Always Installed
mpam-fe_x64::;NO;101,85 MB;C:\P\WIN7TOOL.KIT\DEFENDER\mpam-fe_x64.exe;Always Installed
KB890830-x64::/Q;NO;44,17 MB;C:\P\WIN7TOOL.KIT\MSRT\KB890830-x64.exe;Always Installed
#Tweaks
...
ExclusionsMSAV.REG::D:\I\OS\WIN602K8.OEM\sources\$OEM$\E\M\NT600\HKLM_ExclusionsMSAV.REG
#Updates
C:\P\WIN7TOOL.KIT\W7TKIT.UPD\WIN10GEXX64.1909\20190927.1_ALLG\SSU-windows10.0-kb4520390-x64.msu
C:\P\WIN7TOOL.KIT\W7TKIT.UPD\WIN10GEXX64.1909\20190910.2_FLASH\FP-windows10.0-kb4516115-x64.msu
C:\P\WIN7TOOL.KIT\W7TKIT.UPD\WIN10GEXX64.1909\20190926.6_NDP\NDP-windows10.0-kb4515871-x64.msu
C:\P\WIN7TOOL.KIT\W7TKIT.UPD\WIN10GEXX64.1909\20191003.9_KUM\windows10.0-kb4517245-x64.cab
C:\P\WIN7TOOL.KIT\W7TKIT.UPD\WIN10GEXX64.1909\20191003.9_KUM\windows10.0-kb4524147-x64.msu
Als Abhilfe fürs nächste Mal habe ich meine HKLM_ExclusionsMSAV.REG ergänzt:

Code: Alles auswählen

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Antimalware\Exclusions\Paths]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths]
...
"C:\\Windows\\System32\\WinToolkitRunOnce.exe"=dword:00000000
Schau'nmermal, ob die #Silent Installs dann abgearbeitet werden.
Es dürfte ja nicht mehr all zu lange dauern, bis MS die 19h2 für die Allgemeinheit freigibt.

Gruß,
Nemo
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.

Antworten