Není to žádný lamička skript. Je to založeno na tom, že komponenty Windows se instalují přes Component-Based Servicing (CBS), což je myslím už od Vist. Instalují se stejným způsobem jako aktualizace Windows. Ty mají soubory mum a jdou i odinstalovat. Stejně tak jdou odinstalovat i některé komponenty, protože i některé komponenty mají soubory mum. Jaké to jsou jde zjisti třeba z názvu souborů v:
c:\Windows\servicing\Packages\
Mezi nima je i Defender.
To, že odinstalováváš něco na určité revizi ještě neznamená, že všechno, co odinstalováváš, je na té určité revizi.
Musíš prostě postupovat tak, aby se to odinstalovalo korektně. V případě aktuálního 1909 (18362.693) by to mělo být asi:
"Windows-Defender-Core-Group-Package~31bf3856ad364e35~amd64~~10.0.18362.693"
"Windows-Defender-Core-Group-Package~31bf3856ad364e35~amd64~~10.0.18362.1"
"Windows-Defender-ApplicationGuard-Inbox-Package~31bf3856ad364e35~amd64~~10.0.18362.1"
"Windows-Defender-Group-Policy-Package~31bf3856ad364e35~amd64~~10.0.18362.1"
"Windows-Defender-AppLayer-Group-Package~31bf3856ad364e35~amd64~~10.0.18362.1"
"Windows-Defender-Client-Package~31bf3856ad364e35~amd64~~10.0.18362.693"
"Windows-Defender-Client-Package~31bf3856ad364e35~amd64~~10.0.18362.449"
Já se neodvolávám na nic, ta odinstalace všech 6 (19041) balíčků (veme to i další) jde provést jedním řádkem v cmd pomocí dism (úplně tím samým jak se například odinstalovávají aktualizace, případně místo dism použít ekvivalent v powershellu). Jediný trošku problém je to, že se vždy musí odmazat jeden klíč v registru, aby to odinstalovat šlo, to jde provést převzetím vlastnictví a smazáním, třeba ručně. Přes skript to jde tak, že se např. použije take-own.psm1 z githubu, a pomocí něj se ten klíč smaže.
Skript nic nemaže (kromě klíče komponenty), ten skript odinstaluje komponenty Defenderu. To, co každá komponenta obsahuje (soubory, klíče v registru, závislé komponenty...) jde zjistit v mum souborech a souborech manifestu každé komponenty. Na manifesty musíš ale použít sxsexp z githubu, aby byly v textové podobě. Takže nic z toho, co jsi uvedl, ve skriptu není, to co se maže za soubory, za klíče v registu, včetně třeba i služeb a podobně, je v mum a manifestech komponenty.
Netuším co za poznámku tam v 1909 máš, já tam v 2004 žádnou poznámku nemám. Teď jsem zkoušel i 1909 a ani tam není žádná podobná poznámka.
To, že jsi ručně mazal složku Defendera, podle mě nebyl dobrý nápad. Tím docílíš naboření systému. Tady ta odinstalace by měla být korektní, v sfc a RestoreHealth by neměl být problém. Co může způsobit problém jsou aktualizace, ale ne tím, že by se provedlo něco blbě, ale tím, že v CBS asi něco blbě funguje, jinak si nedovedu vysvětlit to, že třeba v případě odinstalace SenseClient a HVSI selže aktualizace na tom, že aktualizuje odinstalovanou komponentu, což by neměla. Kvůli tomu raději už vůbec neodinstalovávám komponenty, ani třeba Defendera, a raději jej zakazuju. Teď jsem např. zkoušel odinstalovat Defender na 18363.657 a kumulativní aktualizace s revizí 693 nainstalovat nešla (to jde řešit, ale dělat to ručně jednoduché není).
Ještě dodám, že ty komponenty s mum soubory jde použít i k instalaci, například ze serveru/ltsc jde vytvořit balíček kalkulačky a ten pak nainstalovat jako komponentu ve stejném buildu Windows. Nebo ze serveru vytvořit deduplikaci a balíček nainstalovat ve Windows.
A ještě jedna poznámka, pokud se provádí odinstalace v namountovaném wim, tak nejdřív se namountuje registr, smažou se všechny klíče komponent ke smazání, odmountuje se registr a pak se odinstalují komponenty.