Windows Defenderで履歴を消せないとき

Windows Defenderで履歴を消せなくなった時の対応をしたのでメモ。

f:id:kabukawa:20190106093030p:plain:w300

Windows Defenderとは
何が起こったか
調査と対応
その後

Windows Defenderとは

Windows DefenderはWindowsに標準でインストールされるウィルス対策プログラムです。以前はAvast!を使っていたのですが、自分自身をウィルスとみなして除去しようとするくらい敏感（笑）で、結局Defenderに落ち着きました。

昔はSymantec AntiVierusを使っていたのですが、もう10年以上前から無料のもので対策するようになりました。こう書くと「プロなのに無料のものを使うとはけしからん」みたいなことを言われるかもしれません。でも、有料のものを使っていてもパターンファイル次第なので更新していなかったりすれば一緒です。無料のものでもきちんとパターンファイルを更新していれば検出はしますし、最新のウィルスに追従する速度も有料のものと変わらないと思っています。大事なのは道具自体ではなく、それをどう使うかですよね。

元々大したアプリはインストールしていない上にメールを始めとする各種アプリはWeb化されたものも多いので、いまのところ感染などの被害はありません。 (あくまで個人の感想です。僕が書いていることを鵜呑みにせず、ご自分の判断でお願いします)

何が起こったか

以前買った M5Stackを使ってみようかなと思いたち、環境のセットアップをはじめました。

www.switch-science.com

取り敢えず、Arduino IDEで開発ができるようにセットアップをしようと思って、以下から一式をZIP形式でダウンロード。

github.com

ところがこれが何度やっても Windows Defenderに「Trojan:Win32/Spursint.F!cl」に感染していると言われてブロックされてしまう。ここまでは「ちゃんと検出しているんだな(もしくは誤検出しているんだな)」ということで動作としては納得。

該当ファイルは検疫(削除)したのですが、タスクトレイのDefenderのアイコンが「対処しろ」になっている。履歴を見ると検疫された情報が残っているので、取り敢えず再スキャンしてみると「脅威はありません」。それなのにタスクトレイのDefenderのアイコンは変わらず。

じゃぁ、履歴を削除すれば良いのかと思ったら、履歴が消えない。何度やっても消えない。

なんじゃこりゃー！、ということで、調査をはじめました。

調査と対応

どうやら同じような事象は以前から結構あるようで、ぐぐったら結構対応が出てきました。 (日本語だと大した情報が出てこないのでキーワードは英語で)

windows defender history will not clear

そうすると、Microsoft Communityのこんなスレッドが見つかりました。

answers.microsoft.com

どうやらWindowsのイベントログに情報が書かれているので、これをクリアすれば良いようです。

ただ、いきなりクリアすると後で情報を見返せないので、一旦ログをファイルにエクスポートした後でクリアします。

スタートボタンを右クリックしてイベントビューアを選択します。
次に、アプリケーションとサービスのログ> Microsoft> Windows> Windows Defender>Operationalに移動します。
[操作]ウィンドウの[現在のログをフィルタ]をクリックし、[イベントID]に「1116,1117,1119」と入力します。
- 1116 - 脅威の検出
- 1117 - 脅威の修復
- 1119 - 修復の失敗
次に、[操作]ウィンドウのフィルタされたログファイルに名前を付けて保存...をクリック
ファイルの種類をタブ区切りのテキスト（* .txt）ファイルに変更して名前をつけて保存します。