Eliminare cronologia sicurezza

Boh, perché tutta questa assurda fatica quando con una chiavetta usb live di Ubuntu faccio tutto in 2 secondi e con un comodo esplora file davanti? Pensate che i sistemisti, anche certificati MS, quando devono fare questa operazioni in azienda per un centinaio di macchine al giorno si mettano a fare tutto questo ambaradam?

Trovato.

Era come pensavo: con l'aggiornamento di novembre l'app ha una nuova build che ha modificato il comportamento.

I file sono sempre gli stessi, cambia leggermente la procedura (occorre farlo da modalità provvisoria).

Qui la guida in italiano (aggiornata a novembre 2023).

https://turbolab.it/sicurezza-13/windows-defender-come-eliminare-pulire-cronologia-protezione-malware-virus-2052

Boh, perché tutta questa assurda fatica quando con una chiavetta usb live di Ubuntu faccio tutto in 2 secondi e con un comodo esplora file davanti? Pensate che i sistemisti, anche certificati MS, quando devono fare questa operazioni in azienda per un centinaio di macchine al giorno si mettano a fare tutto questo ambaradam?

Confermo, la live Ubuntu (o altre distro) è la soluzione migliore e più rapida. Ho pulito la mia cronologia in un attimo, grazie RCVT!

No, non ci siamo: mi hai incollato una roba che dice esattamente quello che ho scritto io sopra e che uso regolarmente da un bel po' di anni. L'ultima volta la scorsa estate.

E comunque mai visto un antimalware che non consenta di eliminare la cronologia e obblighi a smanettamenti assurdi: accetto la sfida di trovarmelo uno che non sia quello di Microsoft.

Mi arrangerò, grazie.

La miglior soluzione: (testata!) Alla Portata di Tutti!

Premessa:

Prima di procedere, assicurarsi di aver completato la risoluzione degli avvisi mostrati in cronologia e di aver cancellato tutti i file in quarantena!

Aprire Windows Defender:

Premere contemporaneamente i tasti 'Logo di windows' (tasto a sx di alt) + I (Imola)

Vi apparirà la finestra Impostazioni

In basso cliccare su Aggiornamento e Sicurezza

Poi sulla sx cliccare su Sicurezza di Windows e poi su Apri Sicurezza di Windows

Quindi cliccare su Protezione da virus e minacce e quindi Cronologia della protezione

- Per ogni voce decidete cosa fare: Quarantena (non consigliato), Consenti Ripristina, Elimina.

"Scegliere Elimina o al massimo Ripristina, ma in questo caso, al successivo riavvio di Defender,

la minaccia verrà rilevata nuovamente e quindi saremmo daccapo!"

- Nelle voci che riportano già la dicitura in "In quarantena" Scegliere elimina/rimuovi/svuota.

Fatto ciò saremo sicuri di essere protetti e di poter cancellare tranquillamente la Cronologia delle Rilevazioni, la Cache e il Database di Windows Defender.

Il miglior modo per eseguire una pulizia di Windows Defender è quella di eliminare alcuni file e cartelle, da riga di comando, senza che windows sia in esecuzione.

La modalità provvisoria può funzionare, anche se non è il modo più sicuro ed efficace in quanto, seppur windows carichi solo i processi base per il suo funzionamento, è comunque in esecuzione!

Come fare?

Semplice, creare una chiavetta usb per un' installazione pulita di Windows, se non ne avete già una pronta. Non è importante che sia l' ultima versione!

Quindi riavviare il sistema e, al boot premere, il tasto per accedere al BIOS: Di solito (Canc, F2, F10. etc...), dipende dalla marca del computer, o meglio, della scheda madre che montate in caso di PC assemblato, basta una ricerca su google.

Questo link vi potrà essere molto utile: https://recoverit.wondershare.it/windows-pe/how-to-set-computer-to-boot-from-usb-drive.html

A questo punto basta avviare dal boot la chiavetta usb!

Appena avviata la chiavetta vi ritroverete davanti all' inizio della procedura di Installazione di windows. La prima schermata blu chiederà di specificare la lingua, di solito, già impostata su italiano. (Vedi Immagini inserite se disponibili). Importante Scegliere/Impostare su Italiano (o la vostra lingua) il Layout di tastiera, altrimenti i tasti non coincideranno durante la digitazione.

Cliccate su Avanti ma non proseguite! Cliccate in basso sulla dicitura - Ripristina il computer - (Non Installa! Mi raccomando! Altrimenti si avvierà l' installazione di windows, da capo e sopra quella esistente!)

Quindi cliccate su Risoluzione dei Problemi (TROUBLESHOOT) -> poi Prompt dei Comandi (COMMAND PROMPT)

Esempio:

Ci siamo, vi apparirà una finestra con schermata nera e prompt dei comandi, già con livello di amministratore, pronto ad accettare i comandi.

Esempio:

!Aggiornamento! - Secondo Metodo -

Un' altro modo per avviare il Prompt dei Comandi senza che Windows sia in esecuzione (non avete la chievetta di installazione, non avete voglia o, non sapete come crearla) è quello di seguire i seguenti passi per raggiungere il medesimo scopo:

Premere contemporaneamente i tasti 'Logo di windows' (tasto a sx di alt) + I (Imola)

Vi apparirà la finestra Impostazioni

In basso cliccare su Aggiornamento e Sicurezza

Poi cliccate Ripristino e quindi su Riavvia

Il sistema verrà ora riavviato.

Dopo il riavvio vi troverete davanti ad una schermata con più opzioni: Cliccate su Risoluzione dei Problemi

Quindi cliccate su Opzioni Avanzate e infine su Prompt dei comandi

Ed eccoci pronti con il Command Prompt aperto in modalità amministratore!

I file da cancellare sono i seguenti:

Digitiamo cls + invio per pulire lo schermo

Digitiamo c: + invio per raggiungere il disco dove è insatllato windows. Per essere sicuri che la lettera corrisponda al disco in cui è installato windows:

Digitiamo cd\ + invio poi dir /AD + invio

Dovrebbe apparire una lista simile:

C:>dir /AD
Il volume nell'unità C è Windows
Numero di serie del volume: xxxx-2BF1

Directory di C:\

07/12/2021 00:08 <DIR> $Recycle.Bin
04/12/2023 07:39 <DIR> $WinREAgent

24/12/2021 02:23 <DIR> Captures
06/12/2021 21:44 <JUNCTION> Documents and Settings [C:\Users]
24/11/2023 07:58 <DIR> Downloads
06/12/2021 21:51 <DIR> Intel
20/10/2023 11:42 <DIR> OneDriveTemp
07/12/2019 10:14 <DIR> PerfLogs
30/11/2023 15:39 <DIR> Program Files
16/10/2023 00:59 <DIR> Program Files (x86)
30/11/2023 15:42 <DIR> ProgramData
06/12/2021 21:44 <JUNCTION> Programmi [C:\Program Files]
22/03/2022 18:17 <DIR> Recovery
24/12/2021 11:32 <DIR> SymCache
03/11/2023 20:23 <DIR> System Volume Information
06/12/2021 22:16 <DIR> Users
18/11/2023 12:48 <DIR> Windows
0 File 0 byte
19 Directory 349.867.765.760 byte disponibili

Se così è, siete nel posto giusto! (Altrimenti provate con la successiva lettera e così via D: E: ... finché non trovate una struttura simile a quella sopra riportata deve includere "<DIR> Windows")

! Aggiornamento !

Altro metodo per scoprire dove è installato windows è il seguente:

Digitiamo Diskpart + invio

Verrà avviata l' utiltà:

Microsoft DiskPart versione 10.0.19041.xxxx

Copyright (C) Microsoft Corporation.
Nel computer xxxxxxx

DISKPART>

Quindi digitiamo list disk + invio

Verrà visualizzata una tabella con tutti i dischi rilevati partendo da zero

Es.

DISKPART> list disk

N. disco Stato Dimensioni Disponibile Din GPT

---

Disco 0 Online 3726 Gbytes 260 Gbytes *

Disco 1 Online 16 Gbytes 10 Gbytes *

Selezionate il disco che contiene Windows (Di solito il più capiente e con l' asterisco su GPT)

In questo caso il disco 0 (zero)

Digitiamo select disk 0 + invio

Ora Digitiamo list volume + invio

DISKPART> list volume

Volume ### Let. Etichetta Fs Tipo Dim. Stato Info

---

Volume 0 X DVD-ROM 0 b Nessun su
Volume 1 C Windows NTFS Partizione 488 Gb Integro Avvio
Volume 2 D Programmi NTFS Partizione 2976 Gb Integro
Volume 3 SYSTEM FAT32 Partizione 100 Mb Integro Sistema
Volume 4 RECOVERY TO NTFS Partizione 300 Mb Integro Nascosto

Come possiamo vedere dalla tabella sopra, windows è contenuto nel Volume 1 del disco 0 ed è associato alla lettera C: e sotto "Info" è riportata la dicitura "Avvio". Significa che si tratta dell' unità che avvia il sistema!

Trovato ciò che cercavamo digitiamo exit + invio per uscire da Diskpart.

Ora passiamo a cancellare i file e directory (cartelle) che in windows Defender contengono Cache e Storia (History o cronologia) delle rilevazioni.

Prima di tutto da c: (o lettera in cui è contenuto windows) dove dovremmo già trovarci {Altrimenti digitare c: [o lettera in cui è contenuto windows seguita dal carattere [ : ] (senza spazi!)] + invio poi cd\ +invio}

Digitiamo: cd ProgramData\Microsoft\Windows Defender\Scans + invio

ci ritroveremo nella cartella c:\ProgramData\Windows Defender\Scans

digitando dir + invio apparirà il seguente prompt:

Directory di C:\ProgramData\Microsoft\Windows Defender\Scans

03/12/2023 13:41 <DIR> .
03/12/2023 13:41 <DIR> ..
06/12/2021 21:42 <DIR> BackupStore
20/12/2022 12:03 <DIR> CleanFileTelemetry
20/08/2022 11:50 <DIR> FilesStash
24/06/2022 02:26 <DIR> History
03/12/2023 13:41 29.272.116 mpcache-C4F90B6959D3C12402A3A8358C0B844E994138BF.bin
03/12/2023 13:41 1.071.360 mpcache-C4F90B6959D3C12402A3A8358C0B844E994138BF.bin.01
03/12/2023 13:41 30.755.184 mpcache-C4F90B6959D3C12402A3A8358C0B844E994138BF.bin.67
03/12/2023 13:41 3.753.600 mpcache-C4F90B6959D3C12402A3A8358C0B844E994138BF.bin.6C
03/12/2023 13:41 63.438.848 mpcache-C4F90B6959D3C12402A3A8358C0B844E994138BF.bin.79
03/12/2023 13:41 8.540.160 mpcache-C4F90B6959D3C12402A3A8358C0B844E994138BF.bin.7C
03/12/2023 13:41 19.064.992 mpcache-C4F90B6959D3C12402A3A8358C0B844E994138BF.bin.7E
03/12/2023 13:41 11.167.212 mpcache-C4F90B6959D3C12402A3A8358C0B844E994138BF.bin.80
03/12/2023 13:41 2.028.520 mpcache-C4F90B6959D3C12402A3A8358C0B844E994138BF.bin.83
03/12/2023 13:41 1.748.252 mpcache-C4F90B6959D3C12402A3A8358C0B844E994138BF.bin.87
03/12/2023 13:41 17.620.032 mpcache-C4F90B6959D3C12402A3A8358C0B844E994138BF.bin.A0
03/12/2023 13:41 1.118.389 mpcache-C4F90B6959D3C12402A3A8358C0B844E994138BF.bin.DB
03/12/2023 13:41 69.564 mpcache-C4F90B6959D3C12402A3A8358C0B844E994138BF.bin.E6
03/12/2023 15:02 120 MpDiag.bin
04/12/2023 08:08 598.016 mpenginedb.db
02/12/2023 13:31 32.768 mpenginedb.db-shm
04/12/2023 08:09 8.272 mpenginedb.db-wal
14/09/2022 17:54 <DIR> RebootActions
08/12/2021 01:24 <DIR> RtSigs.
17 File 190.287.405 byte
8 Directory 349.866.450.944 byte disponibili

1) Da qui dobbiamo cancellare la mpcache:

digitando: **del mpcache\* + invio** seguito da **dir + invio** per controllare che le voci non siano più presenti

2) Poi dobbiamo cancellare il database contenuto nei files chiamati mpenginedb (3 in tutto)

digitando: **del mpenginedb.\*** seguito da **dir +invio** per verificarne la corretta eliminazione.

Il primo passo è fatto!

Ora bisogna addentrarci per scovare gli altri files e directory!

3) Dobbiamo eliminare in primo luogo la cacheManager

digitiamo **cd History\CacheManager + invio**

digitiamo **dir + invio** per visualizzare il contenuto

Appariranno uno o più file di tipo bin (binario) come: **9615562A-8ACB-4EB8-BD99-EC0286B1CA0A-1.bin**

ora digitiamo **del \*.bin + invio** seguito da **dir + invio** per controllare che i files siano stati cancellati.

torniamo alla directory (cartella) **ProgramData\Microsoft\Windows Defender\Scans\History**

digitiamo semplicemente **cd.. + invio**

4) Passiamo alla directory Service:

Digitiamo **cd service + invio**

****    Digitiamo **dir + invio** 

**Cancelliamo tutti i file .log** (dovrebbero essere 3: **Detections.log**, **History.log** e **Unknown.log**)

Digitiamo **del \*.log + invio**  e **** controlliamo **** con **dir +invio**

torniamo nuovamente alla directory **ProgramData\Microsoft\Windows Defender\Scans\History**

****    digitiamo, come prima, semplicemente **cd.. + invio**

5) Quindi, per ultima, dobbiamo eliminare la DetectionHistory (La storia di quello che Defender ha rilevato)

digitiamo **cd Service\DetectionHistory + invio**

digitiamo **dir + invio**

Vi apparirà una **Lista** di cartelle tipo: 00, 01 , 0A , 0D , DF.... etc (nessun files dovrebbe esserci con le cartelle)

****    

**Vanno tutte eliminate!** Come? Con il comando rd (remove directory)

Quindi per ognuna digitate **rd <Nome (Sigla/Numero) della cartella>  /S  /Q + invio** dove l' opzione S 

significa che verrà eliminata la cartella corrente e tutto ciò che in essa vi è contenuto e Q che non vi verrà chiesto 

il permesso per la cancellazione. Naturalmente al posto di <Nome (Sigla/numero) della cartella> dovete indicare 

semplicemente il numero o sigla o nome della directory visualizzata con il comando dir. ES. **rd 00 /S /Q**

Ripetete l' operazione per tutte le cartelle della **Lista** e digitate **dir + invio** per vedere se sono state rimosse o

meno.

**Le cartelle sono troppe? No problem!** Ecco come cancellarle tutte con un unico comando:

Digitate quanto segue: **for %p IN (\*) DO rd /S /Q %p + invio** dove %p è una variabile mentre Q ed S sono 

sopra descritte. (Se omettete /Q vi verrà chiesto per ogni directory il permesso di eliminazione digitando S o N + 

invio)

Finalmente abbiamo finito! Abbiamo rimosso tutti i files e cartelle (directory) interessate!

Ora non ci resta che riavviare:

Click sulla 'X' in alto a dx della finestra nera del prompt e quindi cliccare su Spegni il PC (Turn Off Your PC).

Oppure senza chiudere il Prompt digitare il comando exit + invio e quindi cliccare su Spegni il PC.

Rimuovete la chiavetta e riaccendete il pc. All' avvio windows controllerà se vi sono file mancanti e ricreerà da zero i files o le cartelle che sono necessarie per in corretto funzionamento

Per concludere: attendete qualche minuto in modo che windows avvii tutti i processi poi, seguendo le istruzioni contenute nella Premessa, accedete a Defender e controllate che tutto sia attivo (in caso contrario attivate tutte le opzioni spuntandole).

Sicuramente, come da mia esperienza, dovrete riattivare, la voce firewall e protezione rete da

Impostazioni ->Aggiornamento e Sicurezza -> Sicurezza di Windows -> firewall e protezione rete -> Clicchiamo su Attiva.

Ora controllate la cronologia: dovrebbe essere vuota, finalmente!

Spero di essere stato d' aiuto!

Saluti!