Windows Defender Cleaner

Windows Defender Cleaner — узкая системная утилита для Windows, оформленная как batch-файл WDC.bat. Она не заменяет антивирус, не отключает Microsoft Defender Antivirus, не лечит заражение и не управляет защитными модулями. Её задача проще и жёстче: очистить несколько журналов, в которых Microsoft Defender и Windows Security сохраняют историю сканирований, срабатываний, состояния защиты и служебной диагностики. В рабочем сценарии программа запускается с повышенными правами, выполняет очистку без мастера настроек и создаёт рядом с собой текстовый отчёт Defender_Clean_Log_...txt.

Утилита относится к тем инструментам, которые полезны не количеством функций, а предсказуемостью. Она работает не со всей системой, а с конкретными областями Defender: журналом Microsoft-Windows-Windows Defender/Operational, журналом Microsoft-Windows-Windows Defender/WHC, папкой истории защиты C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service и файлами MpCmdRun.log в пользовательском и системном временных каталогах. Эти действия прямо прописаны в коде WDC.bat, поэтому поведение программы можно проверить до запуска.

Windows Defender Cleaner особенно заметно отличается от универсальных чистильщиков вроде CCleaner, PrivaZer, Glary Disk Cleaner и Wise Disk Cleaner. Эти программы работают с браузерным кэшем, временными файлами, корзиной, системным мусором и следами приложений, а Windows Defender Cleaner не выходит за пределы журналов Defender. Такой формат удобен, когда нужна не общая уборка Windows, а точечная очистка истории защитника после ложных срабатываний, большого количества старых записей или обслуживания домашнего компьютера.

Назначение программы

Windows Defender Cleaner очищает сведения, которые Microsoft Defender накапливает в процессе обычной работы: результаты сканирований, записи о найденных угрозах, действия с карантином, события Controlled Folder Access, блокировки, связанные с Attack Surface Reduction Rules, состояние защитных компонентов и диагностические следы командной утилиты MpCmdRun.exe. В Windows Security эти данные частично видны через раздел Protection History, где отображаются действия Microsoft Defender Antivirus, удалённые потенциально нежелательные приложения и отключённые важные службы.

Программа нужна не для повышения уровня защиты, а для обслуживания истории. После запуска она уменьшает объём накопленных записей и убирает старые события из тех мест, на которые она рассчитана. Это важно разделять: очистка журнала не удаляет сам Microsoft Defender, не меняет защитные политики, не отключает Real-time protection и не превращает Windows Security в другой антивирусный продукт.

Основной сценарий Windows Defender Cleaner — убрать устаревшую историю после того, как с угрозой уже разобрались. Например, пользователь удалил проблемный архив, выполнил повторную проверку, получил чистый результат, но в Protection History всё ещё отображаются старые карточки. Другой сценарий — обслуживание системы после серии ручных или автоматических сканирований, когда журнал операций стал слишком длинным и не нужен для дальнейшего анализа. Третий сценарий — очистка диагностического MpCmdRun.log, который создаётся при работе командной утилиты Microsoft Defender. В коде Windows Defender Cleaner этот лог не удаляется полностью, а обнуляется через запись пустой строки в файл, поэтому при новой активности Defender снова сможет создавать записи.

Для расследования заражения Windows Defender Cleaner использовать не стоит. Журналы Defender помогают понять, что было найдено, где находился файл, какое действие выбрал антивирус, была ли угроза помещена в карантин, удалена, разрешена или оставлена без действия. Очистка до завершения проверки стирает часть контекста, который нужен для диагностики.

Краткая карточка Windows Defender Cleaner

Карточка показывает главное ограничение: это не программа с панелью настроек, профилями, отчётами в HTML и выбором категорий. Windows Defender Cleaner — короткий сценарий обслуживания, рассчитанный на конкретную системную область. Для пользователя это означает две вещи. С одной стороны, в ней почти нечего настраивать и сложно запутаться. С другой — после запуска она выполняет заложенные операции без отдельного окна подтверждения для каждого пункта.

Как устроена Windows Defender Cleaner

Windows Defender Cleaner построена как обычный .bat-файл. Внутри нет скрытого графического слоя, отдельной службы, драйвера, фонового агента или собственного планировщика, который постоянно висит в памяти. Сценарий запускается, выполняет команды, выводит итоговые сообщения, выдерживает короткую паузу и завершает работу. В коде используется @echo off, setlocal enabledelayedexpansion, переменные для папки запуска, временной метки, имени лог-файла, названий каналов Event Log и путей к очищаемым данным.

Файл начинает работу с определения папки, из которой он запущен. Переменная BASE=%~dp0 нужна для сохранения отчёта рядом с самим WDC.bat. Затем сценарий формирует временную метку из %date%_%time%, заменяет символы, которые нельзя удобно использовать в имени файла, и создаёт лог Defender_Clean_Log_%TS%.txt. В отчёт сразу записываются заголовок Windows Defender Cleaner, разделительная строка и время старта.

Дальше скрипт задаёт два имени каналов Windows Event Log:

set "CH_DEFENDER=Microsoft-Windows-Windows Defender/Operational"set "CH_WHC=Microsoft-Windows-Windows Defender/WHC"

Первый канал отвечает за операционный журнал Defender. Второй связан с Windows Health Center / WHC. Оба очищаются через wevtutil cl, то есть через штатную командную утилиту Windows для работы с журналами событий. В коде эти команды записывают результат в лог-файл Windows Defender Cleaner, включая ошибки, если они появятся при выполнении.

Protection History очищается другим способом. Сценарий задаёт путь C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service, создаёт временный файл %temp%\ph_clean.bat, вписывает в него команду удаления содержимого папки и регистрирует этот временный файл в HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce под именем PHClean. Такой механизм означает, что часть очистки выполняется при следующей загрузке Windows.

Отдельный блок работает с MpCmdRun.log. Windows Defender Cleaner записывает пустую строку в %LOCALAPPDATA%\Temp\MpCmdRun.log и C:\Windows\Temp\MpCmdRun.log, подавляя ошибки вывода через 2>nul. После этого в отчёт попадает строка MpCmdRun.log truncated (if it existed). Для пользователя это важно: программа не ищет десятки копий журнала по всему диску, а работает только с двумя конкретными расположениями.

Интерфейс и элементы управления

Классического интерфейса у Windows Defender Cleaner нет. Нельзя открыть окно настроек, поставить галочки напротив отдельных журналов, включить предварительный просмотр или выбрать безопасный режим очистки. Вся работа происходит в консольном окне cmd.exe. Это не недостаток реализации, а прямое следствие формата: WDC.bat рассчитан на автоматическое выполнение заранее прописанных команд.

После завершения операций пользователь видит четыре итоговые строки:

[1] Windows Defender Security Log successfully cleaned[2] Windows Health Center or WHC log successfully cleaned[3] Protection History will be cleaned at next reboot[4] MpCmdRun.log cleaned (truncated)

Ниже выводится Log saved as: и путь к файлу отчёта. В конце сценарий выполняет timeout /t 7 >nul, поэтому окно остаётся открытым на несколько секунд, чтобы пользователь успел прочитать результат. Затем выполняются endlocal и exit /b.

Такой интерфейс хорошо подходит тем, кто понимает, зачем запускает утилиту. Он плохо подходит для пользователя, который ожидает мастер с пояснениями, выбором категорий и кнопкой отмены. В Windows Defender Cleaner нет кнопки Cancel, нет списка найденных файлов и нет отдельной кнопки Clean. Действие начинается сразу после запуска с повышенными правами.

В сравнении с Autoruns или Process Monitor Windows Defender Cleaner выглядит минималистично. Autoruns даёт таблицу автозагрузки, фильтры и отключение записей; Process Monitor показывает поток событий файловой системы, реестра и процессов. Windows Defender Cleaner не предназначен для анализа. Он выполняет одну операцию обслуживания и сохраняет результат в текстовый лог.

Какие журналы очищает Windows Defender Cleaner

Windows Defender Security / Operational log

Операционный журнал Defender хранит события, связанные с работой антивируса: сканирования, обнаружения, действия по угрозам и обновления сигнатур. В коде Windows Defender Cleaner этот журнал обозначен как Microsoft-Windows-Windows Defender/Operational и очищается командой:

wevtutil cl "%CH_DEFENDER%" >> "%LOGFILE%" 2>&1

Команда wevtutil cl очищает указанный канал Event Log. В данном случае она применяется только к каналу Defender Operational, а не ко всем журналам Windows. Это делает работу Windows Defender Cleaner точечной: System, Application, Security и другие системные журналы Event Viewer не входят в список очистки скрипта.

Практический результат такой очистки — уменьшение количества старых записей о действиях Defender в журнале событий. Это полезно, когда пользователь уже завершил проверку и хочет убрать устаревшие следы диагностики. Но при активном расследовании именно Operational log может помочь понять последовательность событий: когда Defender начал сканирование, что обнаружил, какое действие выполнил и были ли ошибки при обработке.

Windows Health Center / WHC log

Второй канал — Microsoft-Windows-Windows Defender/WHC. WHC используется Defender для передачи в операционную систему информации о состоянии и здоровье защиты: включена ли защита в реальном времени, обновлён ли продукт, в каком состоянии находится общий security health state.

В коде очистка WHC выглядит так:

wevtutil cl "%CH_WHC%" >> "%LOGFILE%" 2>&1

Для пользователя WHC обычно менее заметен, чем Protection History, потому что он не воспринимается как список угроз. Но для диагностики он важен: по нему можно понять, менялось ли состояние защиты, были ли периоды с выключенной real-time protection, как система видела состояние Defender. Поэтому очищать WHC стоит после завершения диагностики, а не до неё.

Windows Defender Protection History log

Protection History — наиболее понятная пользователю часть истории Defender. В Windows Security этот раздел показывает недавние действия Microsoft Defender Antivirus, удалённые потенциально нежелательные приложения и отключённые важные службы. События отображаются карточками, а для деталей угроз требуются права администратора.

Windows Defender Cleaner работает с папкой:

C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service

Скрипт не удаляет эту папку вручную во время текущей сессии. Он создаёт временный файл ph_clean.bat, в который записывает команду удаления содержимого:

del /f /q "%PH_PATH%\*" >nul 2>nul

Затем этот временный файл регистрируется в RunOnce, чтобы сработать при следующей загрузке Windows. Такой метод соответствует реальности новых версий Windows: очистка Protection History часто требует перезапуска, потому что файлы истории могут быть заняты службой Defender.

MpCmdRun.log

MpCmdRun.log связан с командной утилитой MpCmdRun.exe. Windows Defender Cleaner обнуляет два возможных файла журнала:

echo. > "%LOCALAPPDATA%\Temp\MpCmdRun.log" 2>nulecho. > "C:\Windows\Temp\MpCmdRun.log" 2>nul

Этот блок полезен после ручных операций с Defender через командную строку. Например, администратор мог запускать обновление сигнатур, проверку или диагностические команды, после чего в MpCmdRun.log остались служебные записи. Windows Defender Cleaner очищает эти файлы без удаления самой утилиты MpCmdRun.exe и без вмешательства в механизм обновлений Defender.

Что программа не делает

Windows Defender Cleaner важно рассматривать через границы возможностей. Она не обещает общего ускорения компьютера, не ремонтирует повреждённый Windows Security, не восстанавливает службу WinDefend и не удаляет заражённые файлы. Для поиска угроз нужны сканеры и антивирусные инструменты: штатный Microsoft Defender, Malwarebytes Anti-Malware, AdwCleaner, Dr.Web CureIt!, Kaspersky Virus Removal Tool или похожие средства.

Программа не управляет карантином через интерфейс Windows Security. В Protection History для угроз доступны действия вроде Quarantine, Remove, Restore и Allow on device, но Windows Defender Cleaner не выбирает их за пользователя. Очистка истории не равна восстановлению файла и не равна подтверждению безопасности объекта.

Windows Defender Cleaner также не является заменой Event Viewer. В Event Viewer пользователь может открыть Applications and Services Logs, найти канал Windows Defender и вручную очистить журнал через команду Clear Log. Скрипт просто автоматизирует часть этих операций для конкретных каналов.

Ещё одно важное ограничение — отсутствие выборочной очистки. Нельзя оставить WHC log и удалить только MpCmdRun.log, нельзя очистить только Protection History и сохранить Operational log. Все действия, прописанные в WDC.bat, выполняются одним проходом. Для тонкой настройки лучше использовать ручные способы или написать собственный сценарий на основе нужных команд.

Подготовка перед запуском

Перед запуском Windows Defender Cleaner нужно решить, нужны ли старые события Defender для анализа. Если на компьютере недавно было реальное заражение, сначала лучше выполнить полную проверку через Windows Security. В Windows Security доступны Quick scan для быстрой проверки, Full scan для проверки каждого файла и программы на устройстве, Custom scan для выбранных папок и Microsoft Defender Antivirus offline scan, который запускается после перезагрузки без загрузки обычной Windows-среды.

После проверки стоит открыть Windows Security и посмотреть Protection History. В Windows 11 путь обычно выглядит так: Windows Security > Virus & threat protection > Protection history. В этом разделе можно раскрыть карточки событий, посмотреть серьёзность, действие и доступные варианты обработки. Для угроз, которые ещё требуют решения, очистка журнала не должна быть первым шагом.

Перед запуском также уместно создать точку восстановления Windows. Это особенно важно не потому, что Windows Defender Cleaner меняет сотни системных параметров, а потому что она запускается с повышенными правами и работает с папками Defender, Event Log и веткой RunOnce в HKLM.

Минимальная подготовка выглядит так:

• завершить активное антивирусное сканирование;

• убедиться, что в Protection History нет угроз, требующих решения;

• сохранить важные сведения о недавних срабатываниях, если они понадобятся;

• создать точку восстановления Windows;

• закрыть лишние окна, чтобы не потерять несохранённые данные при последующей перезагрузке;

• запускать WDC.bat только с правами администратора;

• после запуска проверить текстовый отчёт Defender_Clean_Log_...txt.

Пошаговый запуск Windows Defender Cleaner

Шаг 1. Проверить, что файл называется WDC.bat

Утилита работает как файл WDC.bat. Это важно: у неё нет собственного .exe, установщика MSI или фоновой службы. В рабочем виде Windows Defender Cleaner — это batch-сценарий, который можно открыть в текстовом редакторе и проверить до запуска.

Перед запуском нужно открыть свойства файла и убедиться, что это Windows batch file, а не исполняемый файл с похожим названием. Для .bat-сценария нормально, что он открывается через cmd.exe. Если файл переименован, упакован в подозрительный архив или содержит дополнительные исполняемые файлы, это уже не типичный вид Windows Defender Cleaner.

Шаг 2. Открыть контекстное меню и выбрать запуск от имени администратора

Для работы с Event Log, папкой C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service и HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce нужны повышенные права. В стандартном сценарии пользователь щёлкает по WDC.bat правой кнопкой мыши и выбирает Run as administrator.

Если запустить файл без прав администратора, часть операций не сможет выполниться корректно. Например, очистка системных журналов и регистрация RunOnce в HKLM требуют доступа, которого у обычного пользовательского процесса нет. Windows Defender Cleaner не содержит сложного механизма повторного запроса прав внутри графического интерфейса, поэтому правильный запуск через контекстное меню критичен.

Шаг 3. Дождаться консольного окна

После старта открывается Command Prompt. У программы нет отдельной кнопки Start, потому что выполнение уже началось. В зависимости от состояния системы консоль может быстро перейти к итоговым строкам или задержаться на операциях очистки журналов. В ранних вариантах вывода программы видны строки вида Cleaning Operational log..., Entries before, Entries after, Removed, Cleaning WHC log..., Cleaning Security log..., а в текущем сценарии итоговый экран сведён к четырём финальным сообщениям и пути к лог-файлу.

Шаг 4. Прочитать итоговые сообщения

Успешное завершение отображается четырьмя строками:

• [1] Windows Defender Security Log successfully cleaned;

• [2] Windows Health Center or WHC log successfully cleaned;

• [3] Protection History will be cleaned at next reboot;

• [4] MpCmdRun.log cleaned (truncated).

Третья строка особенно важна: Protection History очищается не немедленно, а при следующей перезагрузке. Это не ошибка, а заложенное поведение. В коде для этого создаётся %temp%\ph_clean.bat, а затем добавляется запись PHClean в RunOnce.

Шаг 5. Открыть созданный отчёт

После строки Log saved as: программа показывает путь к Defender_Clean_Log_...txt. Этот файл лежит в той же папке, откуда запускался WDC.bat. В отчёте фиксируются старт, операции очистки Defender Operational log и WHC log, регистрация boot-time cleanup для Protection History, обнуление MpCmdRun.log и время завершения.

Отчёт нужен для контроля: если операция завершилась не так, как ожидалось, в нём будут видны сообщения команд wevtutil и reg add. Windows Defender Cleaner не выводит расширенную диагностику в красивом окне, поэтому текстовый лог — главный способ понять, что было выполнено.

Шаг 6. Перезагрузить Windows

Без перезагрузки не стоит ожидать полного исчезновения Protection History. Скрипт прямо сообщает: Protection History will be cleaned at next reboot. После перезапуска временный ph_clean.bat, зарегистрированный в RunOnce, удаляет содержимое папки Service.

После перезагрузки можно открыть Windows Security > Virus & threat protection > Protection history и проверить, исчезли ли старые карточки. Новые события будут появляться снова, потому что Defender продолжает работать и записывать информацию о последующих действиях.

Проверка результата после очистки

Результат Windows Defender Cleaner проверяется не по одному признаку, а по нескольким. Во-первых, консоль должна вывести итоговые сообщения об очистке Defender Security Log, WHC log, отложенной очистке Protection History и обнулении MpCmdRun.log. Во-вторых, рядом с WDC.bat должен появиться файл Defender_Clean_Log_...txt. В-третьих, после перезагрузки Protection History должен перестать показывать старые элементы, которые были связаны с очищенной историей.

Нормальная проверка выглядит так:

1. Открыть папку, где запускался WDC.bat.

2. Найти Defender_Clean_Log_...txt.

3. Проверить строки Started, Cleaning Defender Operational log, Cleaning WHC log, Scheduling Protection History cleanup at next reboot, MpCmdRun.log truncated и Completed.

4. Перезагрузить компьютер.

5. Открыть Windows Security.

6. Перейти в Virus & threat protection.

7. Открыть Protection history.

8. Убедиться, что старые карточки удалены или больше не отображаются.

9. Выполнить новое действие Defender, например ручную проверку, и убедиться, что новая история создаётся заново.

Если после перезагрузки в Protection History появляются новые записи, это не означает, что Windows Defender Cleaner не сработала. Defender продолжает защищать устройство и записывать новые события.

Ошибкой также не считается отсутствие MpCmdRun.log до запуска. В коде Windows Defender Cleaner для этого предусмотрено подавление ошибок: запись в %LOCALAPPDATA%\Temp\MpCmdRun.log и C:\Windows\Temp\MpCmdRun.log выполняется с 2>nul. Если файла не было, программа просто не показывает это как критический сбой.

Преимущества Windows Defender Cleaner

Плюсы:

• программа работает точечно с журналами Microsoft Defender, а не очищает всю систему без разбора;

• WDC.bat можно открыть в текстовом редакторе и проверить команды до запуска;

• MIT License подходит для свободного использования, изучения и изменения кода;

• утилита не требует установки и не добавляет постоянную службу в автозагрузку;

• очистка Operational log и WHC log выполняется штатной командой wevtutil cl;

• Protection History очищается через RunOnce, что учитывает необходимость выполнения части операции после перезагрузки;

• MpCmdRun.log обнуляется в двух конкретных расположениях;

• рядом с файлом создаётся текстовый отчёт с ходом выполнения;

• интерфейс не перегружен настройками, потому что у программы одна специализированная задача;

• малый размер файла делает программу удобной для разового обслуживания.

Главное преимущество Windows Defender Cleaner — прозрачность. Многие программы очистки обещают удалить следы активности, временные файлы и системный мусор, но не всегда понятно, какие именно пути они затрагивают. Здесь список действий виден в самом сценарии: два канала Event Log, одна папка истории защиты и два файла MpCmdRun.log.

Второй сильный момент — отсутствие навязанной автоматизации. Программа не висит в фоне, не включает периодическую очистку, не добавляет собственный планировщик задач и не меняет поведение Defender на постоянной основе. После завершения она оставляет только лог-файл и запись RunOnce для разового удаления Protection History при следующей загрузке.

Третий плюс — понятный итоговый экран. Он не показывает длинный список параметров, зато сообщает, какие блоки выполнены. Для короткого batch-инструмента этого достаточно: пользователь видит, что Operational log и WHC log очищены, Protection History поставлена на очистку при следующей перезагрузке, а MpCmdRun.log обнулён.

Ограничения и риски

Минусы:

• нет графического интерфейса с выбором отдельных категорий;

• после запуска с повышенными правами очистка начинается без дополнительного подтверждения;

• нельзя заранее увидеть список конкретных событий, которые будут удалены;

• часть результата зависит от перезагрузки;

• удалённые журналы нельзя использовать для последующей диагностики инцидента;

• нет встроенного механизма резервного копирования журналов перед очисткой;

• неопытный пользователь может принять очистку истории за удаление угроз;

• batch-файл требует повышенных прав, поэтому его нужно запускать только после проверки содержимого;

• программа не исправляет проблемы Windows Security и не восстанавливает повреждённый Defender.

Главный риск связан не с объёмом кода, а с моментом применения. Если на компьютере только что была угроза, сначала нужно понять, обработана ли она. Если очистить историю до принятия решения, пользователь потеряет удобный визуальный ориентир.

Второй риск — ложное ощущение безопасности. Пустая Protection History не доказывает, что компьютер чист. Она показывает только отсутствие отображаемых недавних событий или результат очистки. Для проверки состояния нужны сканирование, обновлённые security intelligence, анализ карантина и, при необходимости, дополнительные инструменты.

Третий риск — корпоративная среда. На рабочем компьютере журналы Defender могут быть частью политики безопасности, аудита или расследования. Очистка локальной истории без согласования с администратором может нарушить внутренний порядок обслуживания. Windows Defender Cleaner больше подходит для личного ПК и контролируемого домашнего сценария, чем для инфраструктуры с централизованным мониторингом.

Системные требования

Windows Defender Cleaner рассчитана на Windows-среду с Microsoft Defender Antivirus и Windows Security. Программа работает как batch-файл, поэтому отдельной установки .NET, Java, Python или Visual C++ Runtime для неё не требуется. WDC.bat использует штатные команды Windows.

Для стабильного сценария важно, чтобы Windows Security работала штатно. Если Defender повреждён, служба не запускается, Windows Security показывает пустые страницы или реальные угрозы не удаляются, сначала нужна диагностика защитной системы. В таком случае полезнее смотреть в сторону системного восстановления, проверки целостности Windows, Windows Repair, штатных команд обслуживания или профильных антивирусных средств, а не начинать с очистки истории.

Сравнение с аналогами

Windows Defender Cleaner корректнее сравнивать не с антивирусами, а с инструментами, которые работают с Defender, историей защиты, приватностью и очисткой следов. В этой группе есть несколько разных типов программ: скрипты для Protection History, графические менеджеры Defender, универсальные чистильщики и штатные средства Windows.

Такое сравнение показывает, что Windows Defender Cleaner не является универсально лучшим решением. Она выигрывает только в своём узком сценарии: быстро очистить несколько конкретных журналов Defender и получить лог выполнения. Если нужна диагностика процессов, подойдёт Process Monitor. Если нужно проверить автозапуск после заражения, полезнее Autoruns. Если задача — удалить рекламное ПО, лучше AdwCleaner.

Windows Defender Cleaner и ClearDefenderHistory

ClearDefenderHistory близок к Windows Defender Cleaner по тематике, но уже по охвату. Он очищает Windows Defender Protection history, создавая задачу для очистки логов Defender при следующем рестарте.

Windows Defender Cleaner делает больше: помимо Protection History, она очищает Operational log, WHC log и MpCmdRun.log. Взамен она даёт меньше выбора: отдельного режима только для Protection History нет. Поэтому ClearDefenderHistory удобнее для точечной проблемы со старыми карточками защиты, а Windows Defender Cleaner — для более широкой уборки журналов Microsoft Defender.

Windows Defender Cleaner и DefenderUI

DefenderUI — графическая программа для улучшения удобства Microsoft Defender и доступа к скрытым функциям. Это другой тип инструмента: он подходит тем, кто хочет графически управлять Defender, профилями и параметрами, а не просто выполнить короткий batch-сценарий. Windows Defender Cleaner меньше, прозрачнее и не меняет профиль Defender, но не даёт такого количества настроек.

Windows Defender Cleaner и BleachBit

BleachBit — cleaner для Windows и Linux, который очищает дисковое пространство и помогает удалять приватные данные. В отличие от BleachBit, Windows Defender Cleaner не очищает браузеры, кэш приложений, временные файлы разных программ, свободное пространство или следы Linux-пакетных менеджеров. Она работает только с Defender. Поэтому BleachBit лучше для общей уборки, а Windows Defender Cleaner — для ситуации, когда лишние операции не нужны и пользователь хочет затронуть только историю Microsoft Defender.

Windows Defender Cleaner и PrivaZer

PrivaZer — privacy-cleaner для Windows, ориентированный на удаление следов активности и освобождение дискового пространства. На freeexe для такого сценария логично смотреть страницу PrivaZer.

PrivaZer шире по назначению: он рассчитан на системную и приватную очистку в разных областях Windows. Windows Defender Cleaner не конкурирует с ним как полноценный чистильщик. Она полезна, когда нужно не комплексное удаление следов, а отдельная обработка журналов Defender. При регулярной приватной очистке PrivaZer удобнее. При разовой очистке истории Defender Windows Defender Cleaner проще.

Windows Defender Cleaner и CCleaner

CCleaner ориентирован на удаление временных файлов, tracking cookies, browser junk и обслуживание ПК. На freeexe доступна отдельная страница CCleaner.

Windows Defender Cleaner не заменяет Health Check, Custom Clean, startup manager или другие привычные разделы CCleaner. Её преимущество в другом: она не смешивает журналы Defender с общей очисткой. Это удобно тем, кто не хочет, чтобы универсальный cleaner одновременно трогал браузеры, временные файлы, корзину и историю приложений.

Windows Defender Cleaner и штатные средства Windows

Штатными средствами можно выполнить часть тех же действий вручную. Для Operational log пользователь может открыть Event Viewer, перейти к журналам Windows Defender и выбрать очистку канала. Для Protection History вручную используют папку C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service, перезагрузку и дополнительные действия с правами администратора.

Windows Defender Cleaner удобнее ручного способа тем, что объединяет несколько операций в одном файле. Ручной способ удобнее тем, что пользователь сам выбирает, что именно очищать. Для опытного администратора wevtutil, Event Viewer и PowerShell дают больше контроля. Для домашнего пользователя короткий batch-файл проще, если он заранее понимает последствия.

Отзывы пользователей и профильных изданий

Профильные каталоги описывают Windows Defender Cleaner как небольшой open-source batch script для удаления журналов Microsoft Defender. В обзорах подчёркиваются несколько повторяющихся свойств: работа через Command Prompt, необходимость прав администратора, автоматическое начало очистки после запуска, малый размер и отсутствие классического графического интерфейса.

Пользовательская реакция по доступным метрикам сдержанная, потому что программа узкая и не имеет большого сообщества вокруг интерфейса, переводов или плагинов. Это не массовый продукт уровня CCleaner, а небольшой утилитарный скрипт. Поэтому корректнее говорить не о широкой пользовательской базе, а о точечном интересе к задаче очистки журналов Defender.

На форумах и в обсуждениях Windows Security сама проблема неочищающейся Protection History встречается регулярно. Пользователи описывают ситуации, когда Defender продолжает показывать старые записи после удаления файла, ложного срабатывания или завершённой проверки. В таких случаях чаще предлагают ручное удаление истории, Safe Mode, DefenderUI или отдельные скрипты вроде ClearDefenderHistory. Windows Defender Cleaner попадает в этот же практический контекст, но отличается тем, что очищает не только Protection History.

Для кого подходит Windows Defender Cleaner

Windows Defender Cleaner подходит пользователям, которым нужен точечный инструмент без установки и без универсальной очистки всего ПК. Она уместна на домашнем компьютере, где Microsoft Defender используется как основной антивирус, а пользователь хочет убрать старые события, накопившиеся после сканирований, ложных срабатываний или завершённого обслуживания.

Опытному пользователю программа удобна из-за открытого текста WDC.bat. Перед запуском можно посмотреть, какие команды будут выполнены, какие каналы Event Log очищаются и куда записывается RunOnce. Для тех, кто привык к Sysinternals Suite, Autoruns и ручной работе с системными инструментами, такой формат понятнее, чем закрытый cleaner с большим количеством неизвестных операций.

Новичку Windows Defender Cleaner подходит только при чёткой задаче: старые записи Defender уже не нужны, угрозы обработаны, после очистки планируется перезагрузка. Если пользователь не понимает, чем журнал отличается от карантина, лучше сначала разобраться в Windows Security. В разделе Protection History есть карточки, Actions dropdown и варианты Quarantine, Remove, Restore, Allow on device; их нельзя заменять механической очисткой истории.

Для администратора домашних ПК программа полезна как короткий инструмент обслуживания. Например, после чистки ноутбука родственника можно выполнить антивирусное сканирование, разобраться с найденными файлами, удалить ненужные записи истории и сохранить лог. Но в корпоративной среде локальная очистка журналов должна соответствовать политике организации.

Когда программу лучше не использовать

Windows Defender Cleaner не стоит запускать во время активного заражения. Если Defender показывает Threat found - action needed, нужно выбрать действие в Windows Security, а не просто очистить отображение. Если файл в карантине, сначала нужно решить, удалить его или восстановить. Если срабатывание выглядит как false positive, лучше проверить файл, обновить security intelligence и убедиться, что угроза больше не обнаруживается.

Программа не подходит для расследования инцидентов. Журналы Defender могут быть единственным удобным местом, где видна цепочка событий: когда появилась угроза, какой путь был у файла, что сделал антивирус, были ли блокировки Controlled Folder Access. После очистки эти сведения станут недоступны в очищенных областях.

На рабочем компьютере запуск без согласования с администратором также нежелателен. Журналы безопасности могут собираться централизованно, но локальная история всё равно помогает пользователю и специалисту поддержки быстрее понять проблему. Если устройство подключено к домену, MDM или EDR, очистка должна выполняться по внутренним правилам.

Windows Defender Cleaner не нужна, если пользователь хочет полностью отключить Defender. Для этого она не предназначена. Программы класса Defender Control, ConfigureDefender или DefenderUI решают другие задачи: включение/отключение, настройка профилей, доступ к параметрам. Windows Defender Cleaner не меняет Real-time protection, Tamper Protection, cloud-delivered protection, exclusions и Controlled folder access.

Практические сценарии использования

После ложного срабатывания

Ложное срабатывание — один из частых поводов очистить историю. Например, Defender заблокировал архив или установщик, пользователь удалил файл, обновил security intelligence, выполнил повторную проверку и убедился, что новых угроз нет. После этого старые карточки в Protection History могут только мешать: они напоминают о событии, которое уже не требует действий.

В таком сценарии порядок действий должен быть таким:

1. Проверить файл или удалить его.

2. Обновить security intelligence.

3. Запустить повторную проверку.

4. Убедиться, что новых угроз нет.

5. Сохранить сведения о событии, если они нужны.

6. Запустить Windows Defender Cleaner.

7. Перезагрузить компьютер.

8. Проверить Protection History.

Этот сценарий не отменяет осторожность: если файл был действительно вредоносным, очистка истории не является лечением. Для удаления последствий заражения нужны сканирование, проверка автозагрузки, анализ процессов и, при необходимости, отдельные инструменты вроде AdwCleaner, Malwarebytes Anti-Malware, Process Explorer и Autoruns.

После интенсивного сканирования

Если пользователь выполнял несколько проверок подряд, запускал Microsoft Defender Antivirus offline scan, проверял отдельные папки и обновлял определения через MpCmdRun.exe, в журналах остаётся больше служебной информации. Windows Defender Cleaner удаляет Operational log, WHC log и MpCmdRun.log, что делает её удобной после завершённой диагностики.

Здесь важно не очищать историю до просмотра результата offline scan. Сначала нужно открыть Protection History, убедиться в результате проверки, обработать найденные элементы и только затем запускать очистку.

Перед передачей домашнего компьютера другому пользователю

На личном ПК Protection History может содержать названия файлов, пути к папкам, сведения о скачанных архивах, заблокированных приложениях и действиях защиты. Если компьютер передаётся родственнику или продаётся после обычной подготовки, очистка старой истории Defender может быть частью приватной уборки. Но она не заменяет полноценную подготовку устройства: нужно удалить личные файлы, выйти из учётных записей, очистить браузеры, проверить автозагрузку, удалить лишние программы и при необходимости переустановить Windows.

Для более широкой приватной очистки лучше смотреть PrivaZer или другие privacy-cleaners. Windows Defender Cleaner закрывает только одну область — журналы Microsoft Defender.

После ручной работы с Event Viewer

Опытный пользователь может вручную очищать Event Viewer, но забыть про Protection History или MpCmdRun.log. Windows Defender Cleaner удобна как короткий пакет действий: она очищает два канала событий, ставит RunOnce для Protection History и обнуляет MpCmdRun.log. Это быстрее, чем повторять несколько ручных шагов в разных местах Windows.

Типичные ошибки

Запуск без прав администратора

Главная ошибка — двойной щелчок по WDC.bat без повышенных прав. Программа работает с системными журналами и HKLM, поэтому обычный запуск не даёт надёжного результата. Правильное действие — контекстное меню и Run as administrator.

Ожидание графического интерфейса

Windows Defender Cleaner не откроет окно с галочками и кнопкой Analyze. Это batch-файл. Если нужен предварительный просмотр, лучше использовать ручные инструменты Windows или более крупные чистильщики. Но универсальные чистильщики не всегда затрагивают те же журналы Defender, поэтому их нельзя считать прямой заменой.

Отсутствие перезагрузки

Строка [3] Protection History will be cleaned at next reboot означает, что часть очистки отложена. Если сразу открыть Protection History без перезагрузки, старые записи могут остаться. Скрипт рассчитан на выполнение ph_clean.bat через RunOnce при следующей загрузке.

Путаница между историей и угрозой

Очистка истории не удаляет угрозу с диска. Если Defender показывает активную угрозу, нужно обработать её через Windows Security. Очистка журнала нужна только после того, как пользователь разобрался с найденным объектом.

Запуск из непроверенного источника

Поскольку Windows Defender Cleaner — .bat, любой может изменить команды внутри файла. Перед запуском с правами администратора нужно открыть WDC.bat в текстовом редакторе и сверить, что он очищает только заявленные журналы и пути.

Ожидание очистки всех следов Windows

Windows Defender Cleaner не трогает браузерную историю, DNS cache, Prefetch, журнал Recent Files, корзину, временные файлы приложений, кэш Microsoft Edge или историю проводника. Для этих задач нужны другие инструменты. На freeexe смежные варианты — CCleaner, PrivaZer, Glary Disk Cleaner, Wise Disk Cleaner.

Безопасность запуска batch-файла

Batch-файл с правами администратора — всегда зона повышенного внимания. В Windows Defender Cleaner команды короткие и читаемые, но проверка всё равно обязательна. В нормальном WDC.bat должны быть видны:

• создание лог-файла Defender_Clean_Log_%TS%.txt;

• каналы Microsoft-Windows-Windows Defender/Operational и Microsoft-Windows-Windows Defender/WHC;

• команды wevtutil cl;

• путь C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service;

• временный %temp%\ph_clean.bat;

• запись RunOnce с именем PHClean;

• обнуление %LOCALAPPDATA%\Temp\MpCmdRun.log;

• обнуление C:\Windows\Temp\MpCmdRun.log;

• финальные сообщения [1], [2], [3], [4].

В файле не должно быть команд, которые скачивают дополнительные данные, добавляют неизвестные исключения Defender, отключают Real-time protection, меняют Tamper Protection, удаляют пользовательские папки, форматируют диски, запускают PowerShell с закодированными командами или создают постоянные задачи планировщика. Таких действий нет в рабочем коде WDC.bat.

Отдельно стоит проверить, не был ли изменён путь к RunOnce. Windows Defender Cleaner использует HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce, то есть разовый запуск при следующей загрузке. Постоянная автозагрузка через Run, создание службы или скрытого scheduled task не соответствует логике этого скрипта.

Как Windows Defender Cleaner вписывается в обслуживание Windows

Windows Defender Cleaner закрывает маленькую, но понятную часть обслуживания: очистку журналов Microsoft Defender. В системе есть и другие области, которые требуют других инструментов. Для удаления временных файлов Windows подходят Disk Cleanup, Storage Sense и Wise Disk Cleaner. Для следов браузеров и приложений — CCleaner или PrivaZer. Для проверки подозрительных автозагрузок — Autoruns. Для анализа процессов — Process Explorer. Для восстановления после сбоев Windows — Windows Repair.

Такое разделение полезно, потому что очистка журналов Defender не должна становиться универсальным ответом на любую проблему безопасности. Если компьютер тормозит, нужен анализ процессов, автозагрузки, диска и драйверов. Если браузер открывает рекламу, нужен антималварный сканер. Если Defender не запускается, нужна диагностика службы и компонентов Windows Security. Если остались только старые записи в Protection History — Windows Defender Cleaner как раз попадает в задачу.

Подробный разбор команд WDC.bat

Создание отчёта

Фрагмент с LOGFILE делает работу программы контролируемой. Имя отчёта строится из текущей даты и времени, а недопустимые символы заменяются дефисами и подчёркиваниями. Это предотвращает конфликт имён при повторном запуске: каждый запуск получает собственный лог.

Пользовательская польза отчёта очевидна. Если через день нужно понять, когда выполнялась очистка, достаточно открыть файл Defender_Clean_Log_...txt. В нём есть время старта и завершения, а также записи по отдельным операциям. Для маленького batch-файла это лучше, чем просто закрывающееся окно командной строки.

Очистка Event Log

wevtutil cl — жёсткая команда: она очищает указанный журнал. Windows Defender Cleaner использует её только для двух каналов, заранее заданных переменными. Это безопаснее, чем сценарии, которые очищают все журналы подряд. Но пользователь всё равно должен понимать последствия: после очистки старые события Operational и WHC исчезают из соответствующих каналов.

Отложенная очистка Protection History

RunOnce нужен для выполнения при следующем старте Windows. Скрипт создаёт временный ph_clean.bat и регистрирует его как PHClean. Этот подход не требует от пользователя вручную заходить в C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service и удалять файлы в момент, когда они могут быть заняты.

Ограничение такого подхода — зависимость от перезагрузки. Если пользователь выключает компьютер через гибернацию или долго не перезапускает Windows, Protection History может оставаться на месте до полноценной следующей загрузки.

Обнуление MpCmdRun.log

Команда echo. > файл не удаляет файл, а записывает в него пустую строку, фактически уменьшая содержимое. Это мягче, чем удаление исполняемых компонентов Defender, и соответствует задаче очистки журнала. Если Defender позже снова выполнит командную операцию, файл может быть заполнен заново.

FAQ

Windows Defender Cleaner удаляет Microsoft Defender?

Нет. Программа не удаляет Microsoft Defender Antivirus, не удаляет Windows Security и не удаляет службу WinDefend. Она очищает журналы и историю, связанные с Defender. В коде нет команд удаления компонентов Defender.

Программа отключает защиту в реальном времени?

Нет. Windows Defender Cleaner не меняет Real-time protection. Этот параметр управляется через Windows Security, а не через WDC.bat.

Она очищает карантин?

Windows Defender Cleaner работает с историей и журналами, а не с отдельным интерфейсом управления карантином. В Protection History пользователь сам выбирает действия для угроз, включая Remove или Restore.

Почему нужна перезагрузка?

Protection History очищается через временный ph_clean.bat, зарегистрированный в RunOnce. Поэтому соответствующая часть операции выполняется при следующей загрузке Windows.

Можно ли отменить очистку?

В Windows Defender Cleaner нет встроенной кнопки отмены и резервного копирования журналов. Если события нужны для анализа, их нужно сохранить до запуска.

Что делать, если после очистки история снова заполнилась?

Это нормальное поведение. Windows Security показывает недавние действия Defender. Новые проверки, блокировки и изменения состояния защиты снова создают записи.

Чем Windows Defender Cleaner отличается от DefenderUI?

DefenderUI — графическая программа для управления Microsoft Defender и скрытыми параметрами защиты. Windows Defender Cleaner — batch-файл для очистки журналов. DefenderUI шире по настройкам, Windows Defender Cleaner проще и прозрачнее по конкретной операции.

Чем Windows Defender Cleaner отличается от ClearDefenderHistory?

ClearDefenderHistory работает с Protection History и использует задачу для очистки логов Defender при следующем рестарте. Windows Defender Cleaner дополнительно очищает Operational log, WHC log и MpCmdRun.log.

Нужна ли Windows Defender Cleaner, если Protection History и так хранит события ограниченное время?

Windows Defender Cleaner полезна, когда пользователь хочет очистить историю раньше, убрать старые карточки после завершённой обработки или очистить не только Protection History, но и другие журналы Defender.

Итог

Windows Defender Cleaner — не универсальный чистильщик Windows и не антивирусный сканер. Это небольшой открытый batch-инструмент для конкретной задачи: очистить несколько журналов Microsoft Defender и оставить текстовый отчёт о выполнении.

Для разовой уборки старой истории Defender программа удобна. Для диагностики заражения её нужно отложить до завершения проверки. Для управления Microsoft Defender лучше выбрать DefenderUI или штатные настройки Windows Security. Для общей очистки системы логичнее использовать CCleaner, PrivaZer, Glary Disk Cleaner или Wise Disk Cleaner. Windows Defender Cleaner занимает более узкое место: она очищает следы работы Defender там, где ручная очистка неудобна, а универсальный cleaner избыточен.