[English]Microsoft hatte am 19. März 2019 für einige Stunden ein weltweites Problem mit seinen Virenschutzlösungen (Windows Defender, Microsoft Security Essentials, System Center Endpoint Protection). Speziell der Ausfall von System Center Endpoint Protection (SCEP) traf Unternehmenskunden hart. Der Grund: Die Signaturdefinition 1.289.1521.0 (und 1.289.1512.0) bewirkten einen Absturz der MsMpEng.exe. Microsoft hat diesen Fehler aber inzwischen behoben.
Erste Fehlermeldungen zum MsMpEng-Problem
Blog-Leser Dekre schickte mir am 19.3.2019 bereits um 8:59 eine Mail, dass es Probleme mit dem Echtzeitschutz bei den Microsoft Security Essentials (MSE) gebe. Der Echtzeitschutz würde sich immer automatisch abschalten. Eine Überprüfung des PC mit Schnellprüfung bspw. sei auch nicht möglich. Es kommt dann eine Fehlermeldung:
Ich konnte leider nicht zeitnah reagieren, da ich wegen Familienangelegenheiten unterwegs war und erst spät am 19.3.2019 zurück kam. Aber im Blog-Beitrag Windows Defender Application Guard Extensions für Chrome und Firefox lief die Diskussion auch ohne mein Zutun.
Weltweite Meldungen in Foren und im Blog
Auch im Microsoft Answers-Forum und im Technet-Forum meldeten sich Nutzer, die diese Probleme unter Windows 7, Windows 8 und Windows 8.1 bemerkten. Ein Benutzer lieferte im Technet-Forum Details zum Absturz:
Faulting application name: MsMpEng.exe, version: 4.10.209.0, time stamp: 0x582a94a1
Faulting module name: mpengine.dll, version: 1.1.15700.9, time stamp: 0x5c6dce74
Exception code: 0xc0000005
Fault offset: 0x0000000000391480
Faulting process id: 0x3b4
Faulting application start time: 0x01d4a16b4f4859e1
Faulting application path: C:\Program Files\Microsoft Security Client\MsMpEng.exe
Faulting module path: C:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{D967D2A2-4074-4453-B8FC-E5226D63E7AB}\mpengine.dll
Report Id: 3c29ff8b-4a35-11e9-a814-0050569f5188
Die MPEngine.dll stürzte dort unter Windows 7 ab. Auch ein Blog-Leser aus Griechenland schickte mir gestern Nachmittag eine Mail:
hallo herr born, heute morgen habe ich nach Windows Update gesucht, und auch gefunden. Definitions Update 1.289.15121.0 und instaliert, nach einer kurzer weile hab ich denn Windows Defender gestartet, prompt [das] Fehlerbild der Defender ist deaktiviert. Das hat mich stutzig gemacht, Defender aktiviert, danach wieder Defender gestartet, wieder [das obige] Fehlerbild.
Blog-Leser Leon betreibt mehrere Windows 8.1 Clients in einem Hotel. Zudem habe ich auf Twitter eine Meldung zum gleichen Problem unter Windows 8.1/Windows Server 2012 R2 gefunden. Auch Blog-Leser Marco R. meldete sich am späten Nachmittag mit der Meldung zu Problemen.
Auf all meinen PCs & Servern mit SCEP stelle ich aktuell das Problem fest, dass diese mit der Engine 1.289.1521.0 beim Scannen abstürzen. Der gefunden Link [TechDowns, reddit.com] bestätigt dieses Problem.
Bei ihm war System Center Endpoint Protection (SCEP) in einer Firmenumgebung betroffen.
Kaputte Signaturdatei verursacht die Probleme
Bereits Mittags meldete sich Blog-Leser Michael und gab korrekt an, dass die Signaturdatei mit der Version 1.289.1521.0 das Problem verursachte. Auf dem WSUS wurde dann am 19.03.2019 um 16:40 Uhr die Definitionen 1.289.1521.0 zurückgezogen, wie Michael hier mitteilt.
Woody Leonhard hat es hier hier aufgegriffen, der Defender hat ein Definitionsproblem (welches alle Microsoft Virenschutzlösungen betrifft) – danke an Julia für den Link – und mein Dank für die anderen Blog-Leser/innen, die das Thema in den Kommentaren aufbereitet haben.
Das Problem ist gefixt
Blog-Leser Marco R. hat mich dann am späteren Abend, des 19. März 2019, per Mail darüber informiert, dass bei ihm das System Center Endpoint Protection (SCEP) mit der SCEP Signatur 1.289.1587.0 wieder funktioniere.
Ich bin dann davon ausgegangen, dass auch die Scan-Engine des Windows Defender und der Microsoft Security Essentials (MSE) das Update bekommen haben. Ein kurzer Text unter Windows 7 mit den MSE zeigte mir, dass die Signaturdatei 1.289.1599.0 installiert ist und die Antimalware-Protection-Engine fehlerfrei scannen kann. Der Fehler sollte daher für alle Defender-, MSE- und SCEP-Systeme nach dem Update auf die neue Virendefinition behoben sein.
Microsofts Virenschutzlösung war für Stunden tot
Allerdings bleibt unter dem Strich festzustellen, dass Microsofts Virenschutzlösung für mehrere Stunden außer Betrieb gesetzt war. Über heise.de liegt mir von der Redaktion eine Information zu einer Lesermeldung vor, der für einen staatlichen Rechenzentrumsdienstleister tätig ist. Dieser berichtete, dass viele Kunden über Stunden Probleme mit System Center Endpoint Protection (SCEP) hatten. Ein bei Microsoft am Nachmittag des 19.3.2019 eröffnetes Ticket wurde dort mit der höchstmöglichen Einstufung ‘Severtity A’ kategorisiert. Ist auch verständlich, waren Microsofts Virenschutzlösungen für Stunden ‘blind’ – nicht gut.
Jetzt wird hier die „Antiviren-Version: 1.289.1599.0“ im Defender angezeigt.
Hatte ich garnicht mitbekommen, wurde ja auch nix angezeigt (Gelbes Dreieck am Symbol in der Task-Leiste).
Hoffen wir mal das sich nix eingeschlichen hat, „Vollständige Überprüfung“ läuft grade.
Unter Windows 10 gab es keine Probleme. Aber bei Windows 7 auch nicht, da ich dort nie Defender benutzt habe und auch nicht werde. Ich hatte mal Defender unter XP laufen, als es sich dem Supportende näherte und da missbrauchten sie es dazu, den Leuten Angst zu machen.
Ich habe den Eindruck, dass MS bei nicht Windows 10 Sachen schlampt – mit oder ohne Absicht sei mal dahingestellt – und so sehe ich die Entwicklung bei Edge, das auch Plattformübergreifend laufen soll, mit einen flauen Gefühl, dass sie es da auch (wieder) vermasseln.
„Ich habe den Eindruck, dass MS bei nicht Windows 10 Sachen schlampt – mit oder ohne Absicht sei mal dahingestellt…“
Hmm, bei Boeing beginnt man ja auch bereits mit dem „Schlampen“. Und ich
frage mich ernsthaft, ob bei Boeing unterdessen nicht auch ex-MS-Igenieure
„arbeiten“?
Gruss, Christian