[English]Microsoft hat die Tage (so ca. 13.9.2019) endlich das Update auf den Defender Antimalware Version 4.18.1908.7 freigegeben. Damit sollte auch der Fehler bei Ausführung des Befehls sfc /scannow behoben sein. Hier einige Informationen zu diesem Thema, welches von Microsoft nicht dokumentiert wurde und recht unübersichtlich ist.
Die Kollegen von deskmodder.de haben kürzlich gemeldet, dass es eine Aktualisierung der Defender Antimalware-Engine auf Version 4.18.1908.7 gibt. Damit verbindet sich die Hoffnung, dass der Fix für das Problem, dass sich keine Systemdateiprüfung auf beschädigte Dateien mehr ausführen lässt, für alle Windows 10-Versionen behoben ist.
Worum geht es beim sfc-Fehler genau
Unter Windows kann mit in einer administrativen Eingabeaufforderung das System mit folgendem Befehl auf beschädigte Dateien prüfen lassen.
sfc /scannow
Findet der Befehl beschädigte Dateien, sollte der System File Checker (sfc) diese Dateien auch reparieren können. Es kommt aber immer wieder vor, dass diese Reparatur nicht ausgeführt werden kann.
Seit Juli 2019 klappte dies aber unter Windows nicht mehr, der Befehl findet zwar kaputte Dateien, kann diese aber nicht mehr reparieren. Analysen ergaben, dass eine defekte Defender Signaturdatei schuld an der gescheiterten Systemdateiprüfung war. Ich hatte im Blog-Beitrag Windows: Juli 2019-Updates machen Probleme mit sfc darüber berichtet. Später räumte Microsoft ein Problem mit sfc ein (siehe Windows: Problem mit Juli-Updates und sfc bestätigt).
Die Erklärung von Microsoft
In KB4513240 (System File Checker (SFC) incorrectly flags Windows Defender PowerShell module files as corrupted) schreibt Microsoft:
Das Tool System File Checker (SFC) kennzeichnet Dateien in %windir%\System32\WindowsPowerShell\v1.0\Modules\Defender als beschädigt oder beschädigt. Sie erhalten Fehlermeldungen wie die folgenden:
Hashes for file member do not match.
Dies ist ein bekanntes Problem in Windows 10, Version 1607 und späteren Versionen, und Windows Defender Version 4.18.1906.3 und späteren Versionen. Die Dateien für das Windows Defender PowerShell-Modul, die sich in
%windir%\System32\WindowsPowerShell\v1.0\Modules\Defender
befinden, werden als Teil des Windows-Bildes ausgeliefert. Diese Dateien sind katalogisiert. Die Verwaltungskomponente von Windows Defender verfügt jedoch über einen neuen Out-of-Band-Aktualisierungskanal. Dieser Kanal ersetzt die Originaldateien durch aktualisierte Versionen, die mit einem Microsoft-Zertifikat signiert werden, dem das Windows-Betriebssystem vertraut. Aufgrund dieser Änderung kennzeichnet SFC die aktualisierten Dateien als “Hashes for file member do not match”. Der Reparaturvorgang wird dann mit ‘beschädigte Dateien gefunden’ beendet, ohne dass eine erfolgreich Reparatur durchführbar ist.
Fix bereits Mitte August angekündigt
Ich hatte Mitte August im Artikel Microsoft fixt den Windows Defender sfc-Fehler (August 2019) berichtet, dass Microsoft dieses Problem mit dem Update von Windows Defender auf Version 4.18.1908 beheben will. Damals ging ich davon aus, dass dieses Update zeitnah ausgerollt wird, denn vom deskmodder.de-Betreiber wurde ich in diesem Kommentar darauf hingewiesen, dass das Defender-Update noch nicht ausgerollt worden sei.
Jetzt aber: Update auf Version 4.18.1908.7
Der letztmalig im August 2019 aktualisierte Supportbeitrag KB4513240 gibt an, dass ‘zukünftige Versionen von Windows die aktualisierten Dateien im Windows-Abbild verwenden werden’. Danach kennzeichnet SFC die Dateien nicht mehr als fehlerhaft.
Nun ist den Kollegen von deskmodder.de aufgefallen, dass es das Update auf Version 4.18.1908.7 gegeben hat. Ich habe es mal getestet – nach mehrfacher Update-Suche hat meine Testmaschine mit Windows 10 Version 1903 (im Windows Insider Release Preview Ring) diese Version auch bekommen.
Ob andere Windows 10-Versionen dieses Update erhalten haben, kann ich nicht sagen. Vielleicht können Nutzer hier in den Kommentaren ja eine Info hinterlassen, ob das Update eingetroffen ist. Ergänzung: Zum 16. September 2019 hat Microsoft das Update KB4052623 für alle Windows-Versionen im Microsoft Update Catalog freigegeben.
Wie ermittele ich die Antimalware-Version?
Abschließend noch eine Information, wie man eigentlich herausbekommt, welche Modulversion man für die Antimalware-Engine auf dem System hat. Mit der Windows as a service-Implementierung musste ich einige Zeit suchen, bis ich die Information gefunden habe.
1. Die Einstellungen-Seite öffnen und auf Windows Sicherheit gehen. Dort die Schaltfläche Windows-Sicherheit öffnen anwählen.
2 Im Fenster Windows Sicherheit in der linken Spalte unten auf das Symbol Einstellungen klicken. Dann im rechten Teil unter ‘Einstellungen’ ganz unten auf den Hyperlink Info klicken.
Während die meisten der Hyperlinks den Edge öffnen, der sich dann einen Ast auf nichtssagende Microsoft Hilfeseiten absucht, erscheint beim Hyperlink Info die nachfolgende Anzeige.
In der Tat wird dort die Version 4.18.1908.7 angezeigt. Ob damit wirklich der Bock in der Signaturdateiprüfung bei allen Systemen behoben ist, wird sich zeigen müssen. Auf meinem Testsystem lief sfc /scannow zuletzt durch.
Frage: Wie lange ist der Eintrag ‘Ransomware-Protection’ bereits im Windows-Sicherheitscenter vorhanden? Habe mir nichts dabei gedacht, als ich beim Schreiben des Blog-Beitrags über den Punkt gestolpert bin – aber in diesem Tweet merkt ein weiterer Nutzer an, dass er diese Option gerade gesehen hat.
Today I learned that Windows 10 includes built-in ransomware protection. Did you know that? | https://t.co/hKBxYnFtdj | @Windows @BleepinComputer pic.twitter.com/VJLgT33tYW
— Tim Warner (@TechTrainerTim) September 16, 2019
Müsste der Nachfolgender des früheren Ordnerschutzes sein. Bleeping Computer hat hier einen Artikel zu diesem Feature veröffentlicht.
Ach ja, noch was: Da Microsoft immer präzise dokumentiert, was aktualisiert und bereinigt wurde, findet ihr im Supportbeitrag 4052623 alles fein aufgeschrieben. Hat nur einen Schönheitsfehler: Der Aktualisierungsstand des KB-Artikels ist auf dem 28. Januar 2019 stehen geblieben. Ich gehe also davon aus, dass das alles überholt ist. Oder mit anderen Worten: Es ist nix von Microsoft dokumentiert. Alles, was zur Zeit verfügbar ist, geht auf den Artikel von deskmodder.de und meinen Check bei einem Windows 10 Version 1903 zurück.
Ergänzung: Mit dem Update wurde ein Bug beim Scannen eingeführt. Der Scan bricht nach 5 Dateien ab, siehe meinen Link in folgender Liste.
Ähnliche Artikel:
Windows: Juli 2019-Updates machen Probleme mit sfc
Windows: Problem mit Juli-Updates und sfc bestätigt
Scan-Probleme mit Defender Antimalware Version 4.18.1908.7
Im Insider Channel ist das Update auf die Antimalwareversion 4.18.1908.7 verfügbar.
Im normalen Release Channel ist derzeit die Antimalware-Clientversion: 4.18.1907.4 aktuell. Vielleicht kommt das Update heute Abend, neben anderen Updates. Zumindest erwarte ich Updates. Bei MS wurden ja deswegen Überstunden verordnet.
Danke Guido. Ich habe noch einmal nach geschaut. Unter ProgramData: C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.1908.7-0 ist nun das Defender Update zu finden. Unter Einstellungen\Info steht nun auch die Version Antimalware-Clientversion: 4.18.1908.7. Das Update hat sich aber wirklich still installiert. Vorhin war es noch nicht da. Egal. Ich werde jetzt erstmal DISM und SFC mit den notwendigen Parametern ausführen.
Ich habe das Update im normalen Release Channel bereits gestern automatisch über Windows Update erhalten. Bin kein Insider. Antimalware-Clientversion: 4.18.1908.7
Auf meinem Windows 10 1809 x64 wurde die Defender-Version 4.18.1908.7 heute morgen per Windows Update KB4052623 installiert.
Ich habe das Update im normalen Release Channel heute Morgen 7.04 Uhr automatisch erhalten. Bin kein Insider. Antimalware-Clientversion: 4.18.1908.7
Kam auch bei mir heute früh.
Einfache Frage zu diesem Thema – Bekomme ich dieses Update auch, wenn ich den Defender nicht nutze? Aktuell enthält mein 1903 Build, die Clientversion 4.18.1907.4. Es gibt ja den Button „Optionen von Windows Defender Antivirus“. Dort steht: „Sie können ihren aktuellen Anbieter beibehalten und ihr System regelmäßig durch Windows Defender Antivirus auf Bedrohungen überprüfen lassen.“ Der Schalter für die regelmäßige Überprüfung steht auf aus.
Also habe ich auf einem Laptop mal den Test gemacht und F-Secure vorübergehend deaktiviert und diesen Options-Schalter aktiviert. Windows 10 begann sofort mit der Suche nach Updates. Deshalb stellt sich mir die Frage, ob Windows 10 Pro die Clientversion auch aktualisiert, wenn man diesen Optionsschalter nicht aktiviert hat?
Zu F-Secure kann ich es nicht speziell sagen. Habe es aber heut bei einem Nicht-Defender-Gerät über Windows – Update getestet (manuell angestoßen) ohne
Nicht-Defender-Sicherheitssoftware zu deaktivieren.
Dort wurde automatisch die Nicht-Defender-Software deaktiviert für das Update.
Gestern 20:11 wurde KB4052623 (Version 4.18.1908.7) automatisch installiert
WIN10 Home 1903 Build 18362.356
Bei wem trotzdem noch Fehler angezeigt werden, einfach unter %windir%\logs\cbs alle log-Files löschen, dan auch gab bei mir sfc endlich Ruh. In der etwas dicken Log-Datei (ca. 200MB) waren noch aus vorausgegangenen Scans eben jene Defender-Einträge.
Trotz Defender-Update hatte ich auch noch Fehlermeldungen.
Das manuelle Löschen der Logfiles klappte bei mir aber nicht, weil der Windows Module Installer – Dienst seine Hand drauf hält – auch nach einem kompletten Reboot. Hab dann den Dienst deaktiviert, aber die Logdatei ließ sich trotzdem nur umbenennen statt löschen. Es wurde dann bei sfc-Start automatisch eine leere neue angelegt. Trotzdem wieder Hash-Mismatch-Fehler im Logfile bzgl. vieler Defender-Powershell-files.
Habe jetzt eine 7-Tage-alte CAB-Datei im gleichen Log-Ordner auch noch umbenannt, und lasse gerade nochmal sfc laufen…
löschen/unbenennen in geschützen (System-)Bereichen – nat. nur wenn an wirklich weiss, was man macht(!) – geht einfacher mit a) unlocker in laufendem Win oder b) von außen per linux-live auf zB. usb-stick, damit gebootet, in den jeweiligen Ordner, entsprechende Dateien (aber nur die!) löschen/unbenennen, Neustart.
:)
Ich habe auf einem anderen Rechner (Win10 Pro 1903 – mit neuem Defender-Update 4.18.1908.7, das aber merkwürdigerweise bei diesem Rechner nicht im Updateverlauf auftaucht) auch erstmal die Reparatur des WinSxS-Komponentenspeichers mit „DISM /Online /Cleanup-Image /RestoreHealth“ versucht (OHNE vorher die CBS-Logfiles zu löschen oder umzubenennen).
Gleiches positives Ergebnis:
Reparatur erfolgreich und sfc läuft danach sauber durch (d.h. sfc „repariert“ im ersten Durchlauf das System selbst bzw. die angeblich geschädigte Dateien, und gibt nach einem weiteren Lauf gar keine Integritätsfehler mehr aus). :-)
… Hatte mich schon gewundert, dass ein Bug im System durch das bloße Löschen von Logfiles behebbar sein soll. ;-)
Ich bekomme trotz heutigem Defender-Update, reboot und Löschen (bzw. Umbennen) der CBS-Logfiles bei sfc immer noch viele Fehler im CBS-Logfile wie den folgenden (als Bsp.):
2019-09-17 12:48:05, Info CSI 00000386 Hashes for file member [l:27]’MSFT_MpComputerStatus.cdxml‘ do not match.
Expected: {l:32 ml:33 b:250a58b9ec6c327e7d165cecbdbae0b1fdca203cd342dba12616527b47a44486}.
Actual: {l:32 b:cbfca6cb14b5a84f5bd30cbc9b05f008f4916e54a33a513fcedf8bff90002f5d}.
2019-09-17 12:48:05, Info CSI 00000387 Hashes for file member [l:27]’MSFT_MpComputerStatus.cdxml‘ do not match.
Expected: {l:32 ml:33 b:250a58b9ec6c327e7d165cecbdbae0b1fdca203cd342dba12616527b47a44486}.
Actual: {l:32 b:cbfca6cb14b5a84f5bd30cbc9b05f008f4916e54a33a513fcedf8bff90002f5d}.
2019-09-17 12:48:05, Info CSI 00000388 [SR] Could not reproject corrupted file \??\C:\WINDOWS\System32\WindowsPowerShell\v1.0\Modules\Defender\\MSFT_MpComputerStatus.cdxml; source file in store is also corrupted
(Win10 1903 Home, neuester Update-Stand)
So, ich habe aufgrund der obigen Fehlermeldungen, die alle wie oben immer den Hinweis „source file in store is also corrupted“ beinhalteten,
erstmal per
DISM /Online /Cleanup-Image /ScanHealth
und
DISM /Online /Cleanup-Image /RestoreHealth
den Komponentenstore repariert.
Danach gab sfc /scannow an, Dateien erfolgreich repariert zu haben.
(Bis gestern war eine Reparatur angeblich nicht möglich.)
Bei einem weiteren sfc-Durchlauf ergaben sich dann keinerlei Integritätsverletzungen bzw. angeblich geschädigte Dateien mehr.
Das erste Mal seit 2 Monaten. Endlich !
Ob das so sein soll, dass die Ordner/ Dateien in den alten und neuen Pfaden gem. KB4052623 (letzte Aktualisierung 28.01.2019) [worauf das aktuelle Update verweist]
vorhanden sind; und zusätzlich ferner Defender – Treiber unter %Windir%\System32?
Die ‚Modul-Version‘ steht aktuell (hier) inzwischen bei 1.1.16400.2 – win10-1809.
https://abload.de/img/defend-moduvgkky.jpg
tja, in windows 8.1 ist die Version 1.1.16300.1 – unverändert.
https://www.deskmodder.de/blog/2019/09/18/windows-defender-aktuell-mit-einem-scan-problem-durch-die-antimalware-version-4-18-1908-7/
goil, hier 4 Dateien in 5 Sekunden im schnellen Tst!
defenda hat hicks… :D
Siehe meinen Nachtrag – hab erst die Nachträge geschrieben und dann die Kommentare freigegeben, gelesen.