Windows Defender è l’antivirus di base di Windows 10 e Windows 11, si tratta di un ottimo antivirus (parere personale) che però presenta un piccolo difetto nella Cronologia protezione. Ogni tanto, senza un apparente motivo (o almeno non ne ho trovato uno), il trattamento di alcuni malware risulta incompleto, anche se tutti i file infetti sono stati cancellati o messi in quarantena. Questa cosa riesce a mandare nel panico molte persone, che non riescono a capire se il malware è stato rimosso o è ancora presente nel sistema operativo.
Update: Aggiunto nuovo metodo di cancellazione della cronologia tramite un file di comandi che rende l'operazione molto più semplice.
Alcune delle foto presenti nell’articolo sono state prese da una macchina virtuale Windows 10 e altre dal mio computer fisico con Windows 11. Non fate caso se notate delle differenze, la procedura è analoga per i due sistemi operativi.
La prima cosa da fare è controllare se nel percorso indicato del malware è presente ancora qualcosa, oppure aprendo la gestione attività di Windows se il programma sospetto è ancora attivo.
Non trovare niente è già un buon segno, perché il malware o è stato cancellato o è finito in quarantena dove non può fare danni.
Se proprio volete essere ancora più sicuri, che il computer non sia infetto, potete utilizzare dei tool come Kasperky Virus removal tool, Emsisoft emergency kit o Hitmanpro per avere un secondo parere.
Ora che siamo sicuri che il computer è pulito, vorremmo anche togliere l’avviso di queste pulizie incomplete.
Come eliminare la cronologia di Windows Defender
I file della cronologia si trovano nella cartella C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service
.
Con le versioni precedenti del sistema si potevano utilizzare dei comandi da PowerShell, o prendere possesso di queste cartelle diventandone proprietari, per poterli eliminare.
Ora tutto questo non è più possibile, il proprietario è System e non si riesce a modificarlo e i file al suo interno non sono cancellabili.
L’unico modo, grazie a rexx88p per avermelo fatto conoscere, è dalla modalità provvisoria di Windows.
Chiudete documenti e tutti i programmi possibili, aprite un prompt dei comandi, o l’Esegui di Windows, e avviate questo comando shutdown /r /o
Andate su Risoluzione dei problemi
e poi Opzioni avanzate
.
Scegliete le Impostazioni di avvio
e riavviate il computer.
Selezionate il numero quattro.
Oppure, metodo ancora più semplice, avviate il comando msconfig
, vi spostate nelle Opzioni di avvio
e mettete il flag nella casella Modalità provvisoria
e riavviate il computer. Ricordatevi solo, dopo aver fatto tutte le operazioni necessarie, di togliere questo flag prima di riavviare il computer per tornare alla modalità normale.
I file della cronologia, come abbiamo detto, si trovano nella cartella C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service
e potete provare a cancellarli tutti, cartella DetectionHistory compresa.
L’unico file che non sono riuscito a eliminare è il Detections.log ma non ha influenza sulla cancellazione delle cronologia.
Riavviate il computer dopo averlo fatto e tornerete in modalità normale.
Clear Defender History
Un secondo metodo, ancora più semplice, per pulire la cronologia della Sicurezza di Windows è quello del file di comandi ClearDefenderHistory scaricabile da Github.
Si tratta di un file ClearDefenderHistory.bat che va estratto dall’archivio scaricato dal sito, si apre un prompt dei comandi come amministratore e lo si avvia.
Non ci sono messaggi a video, a meno di qualche errore, di fine pulizia.
E' necessario un riavvio del computer per completare la pulizia e poi di verificate se la cronologia è vuota.
Come visualizzare la cronologia di Windows Defender
Per accertarsi che l'operazione sia andata a buon fine e la lista sia vuota apriamo la cronologia di Windows Defender:fare doppio click sull'icona raffigurante lo scudo presente nell'Area di notifica (in basso a destra nello schermo del PC, vicino all'orologio), selezionare Protezione da virus e minacce
e seguire il collegamento Cronologia della protezione
.
Grazie all'operazione appena svolta, la lista dovrebbe essere vuota