Update KB4052623: Microsoft fixt Defender Scan-Skip-Bug

[English]Microsoft hat zum 24. März 2020 das Update KB4052623 für die Antischadsoftware-Plattform von Windows Defender für Windows 10 freigegeben. Dieses Update behebt auch die irritierende Meldung, dass bei einem Scan Dateien übersprungen wurden.


Anzeige

Worum geht es beim Defender Scan-Skip-Bug?

Seit der zweiten März-Woche erleben manche Benutzer von Windows 10 beim Scannen ihrer Systeme mittels des Windows Defenders einen merkwürdigen Effekt. Der Scan läuft zwar durch, aber am Ende des Vorgangs meldet der Virenscanner während der Überprüfung übersprungene Elemente. Es wird dann folgende Meldung angezeigt.

Die Windows Defender Antivirus-Überprüfung hat ein Element aufgrund von Ausschluss- oder Netzwerküberprüfungseinstellungen über:

Defender meldet übersprungene Elemente

Ich hatte den Fall ausführlicher im Blog-Beitrag Windows 10: Defender überspringt Elemente beim Scannen dargestellt. Da die Betroffenen keine Ausschlüsse zur Überprüfung definiert haben, irritierte das Ganze. Ich hatte dann im Blog-Beitrag Windows 10: Fix für übersprungene Defender Scans nachgewiesen, dass es sich bei den übersprungenen Dateien um Elemente beim Netzwerkscan handelt. Das war auch sinnvoll, da Scans von Netzwerkfreigaben eine unnötige Last erzeugen.

Im Blog-Beitrag hatte ich geraten, die Meldung vorerst zu ignorieren, gleichzeitig aber Workarounds angegeben, um dieses Verhalten zu ändern. Gleichzeitig hatte ich den Sachverhalt mit Link auf meinen englischsprachigen Blog-Beitrag an Windows Update (den Twitter-Kanal von Microsoft) gemeldet.


Anzeige

Update KB4052623 fixt den Bug

Bereits heute morgen erreichte mich eine Mail von Blog-Leser Hans Thölen, der mich über ein neuen Update informierte:

Guten Morgen Günter !

Heute hatte ich auf Windows Update das Update für Windows Defender KB4052623 im Angebot. Ich habe dieses installiert. Dann habe ich die Einstellung zum Scan von Netzwerkdateien wieder auf nicht konfiguriert zurückgesetzt. Bei 2 mal ausgeführten Scans wurde nur die Benachrichtigung über den Scanverlauf angezeigt.

Die Benachrichtigung von Überspringen kam beide Male nicht mehr. Es sieht so aus, daß Microsoft den Fehler hiermit behoben hat.

Auch Blog-Leser Guido weist hier darauf hin, dass ein Update KB4052623 die Scan-Engine auf Version 4.18.2003.8 hebt und der Fehler beseitigt sei. Ein weiterer Hinweis kam hier von Pater. Danke an alle Leser, die Hinweise geliefert haben.

Update KB4052623 für den Defender

Update KB4052623 (Update für die Windows Defender Antischadsoftware-Plattform) steht für die folgenden Betriebssysteme zur Verfügung.

  • Windows 10 (Pro-, Enterprise, und Home-Editionen)
  • Windows Server 2019
  • Windows Server 2016

Im Support-Beitrag schreibt Microsoft, dass dieses Paket monatliche Updates und Fehlerbehebungen für die Antischadsoftware-Plattform von Windows Defender enthält, die von Windows Defender Antivirus in Windows 10 verwendet wird. Der Support-Beitrag beschreibt gleich eine ganze Reihe an Problemen (Secure-Boot-Probleme, geänderte Pfade, erhöhte Datenlast im Netzwerk), die mit diesem Update auftreten können.

Die Version 4.18.2001.10 der Scan-Engine wird als Ursache für den hohen Netwerkverkehr genannt (aktuell ist die Version 4.18.2003.8). Microsoft arbeitet intern an einem Fix – und ich tippe darauf, dass jemand deshalb so um den 10. März 2020 die Dateien vom Netzwerkscan in der Antischadsoftware-Plattform herausgenommen hat. In der Zwischenzeit lässt sich dieses Problem umgehen, indem Administratoren den Netzwerkschutz vorübergehend deaktivieren. Ich hatte ja im Blog-Beitrag Windows 10: Fix für übersprungene Defender Scans einige Gruppenrichtlinien für diesen Zweck angegeben.

Anmerkung: Auf meinem Testsystem ist die Benachrichtigung bzgl. übersprungener Dateien weg. Vier Benutzer bestätigen das Gleiche – aber Ralf schreibt in einem Kommentar weiter unten, dass er die Nachricht weiter erhält.

Wo finde ich die Update- und Versionsinfo?

Abschließend noch zwei Hinweise, die vielleicht den einen oder anderen Blog-Leser bzw. Blog-Leserin umtreiben. Ich hatte die Nacht kurz unter Windows Update nach neuen Updates nachgesehen, aber nur das im Beitrag Windows 10 190x: Update KB4541335 beschriebene Update gesehen. Um zu prüfen, ob ein Update für den Defender eingetroffen ist, ruft man Windows-Sicherheit über die Einstellungen-Seite auf und geht auf und geht dort auf Viren- & Bedrohungsschutz

Infos über Defender Updates

Blättert man dann in der Seite nach unten, sollte unter Updates für Viren- & Bedrohungsschutz der letzte Update-Stand angezeigt werden. Zur Frage, wie man heraus bekommt, welche Antimalware-Clientversion und Modulversion man verwendet, hatte ich vor einiger Zeit schon mal den Artikel MS Malware Protection Engine – welche Version habe ich? hier im Blog. Inzwischen hat Microsoft aber wieder was geändert – sonst wäre es ja einfach.

Geht im Fenster Windows-Sicherheit in der linken Spalte ganz unten auf den dort aufgeführten Punkt Einstellungen. In der Seite Einstellungen blättert ihr nach unten und klickt auf den Hyperlink Info. Dann zeigt die Seite alle benötigten Informationen an.

Windows Defender Systeminformationen

Ich hoffe, dass damit alle Klarheiten bezüglich des Microsoft Defender-Universums beendet sind. Also auf, bis zum nächsten Event.

Ähnliche Artikel:
Windows 10: Defender überspringt Elemente beim Scannen
Windows 10: Fix für übersprungene Defender Scans
MS Malware Protection Engine – welche Version habe ich?


Anzeige

Dieser Beitrag wurde unter Update, Virenschutz, Windows 10 abgelegt und mit , , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

15 Antworten zu Update KB4052623: Microsoft fixt Defender Scan-Skip-Bug

  1. Ralph sagt:

    Also ich habe o.g. Update bekommen dazu KB4541335 und meine Version ist auch 2003.8. Allerdings bekomme ich nach einer manuell angestoßenen Schnellprüfung nach wie vor diese Meldung

    • Günter Born sagt:

      Scheibenkleister – ich bekomme die Meldung auf der Testmaschine jetzt nicht mehr – und es gibt vier Nutzer, die das Gleiche bestätigen. So langsam kommen wir zum 'Handauflegen als Kur' – aber Du weißt ja jetzt, warum Du die Nachricht ignorieren kannst.

      • Hans Thölen sagt:

        12.00 Uhr MEWZ habe ich eine Schnellüberprüfung
        ausgeführt. Nach der Überprüfung wurde nur das Ergebnis
        angezeigt. Eine Benachrichtigung von überspringen der
        Netzwerkdateien wurde nicht angezeigt. Genau so ist das bei
        mir seit dem frühen Morgen.

      • Ralph sagt:

        Ich mache mir wegen der Meldung auch keinen Kopf. Aber es wirklich kurios, auf meinem Desktoprechner bekomme ich sie noch (Pro-Version) und auf dem Laptop (Home) kommt sie nicht mehr.
        Seis drum!

      • Info sagt:

        Oha – noch ein wenig Verwirrung…

        Habe auf dieser Testmaschine mit:
        "Set-MpPreference –DisableScanningNetworkFiles 1" wieder
        den ehemaligen Zustand hergestellt(PowerShell).

        Nach Windows-Update:
        – "NACH" KB4541335(Kumulatives Update 2020-03 C/D(K3), optional – 24.03. Ändert nur aktuell verwiesene Fixes wenn voriges KB4551762 bereits installiert).
        – "NACH" KB4052623(Defender Modul 4.18.2001.10 – 24.03)
        – "IST " W10 1909 (Build 18363.752)

        MELDUNG WIEDER DA!

        Man muss die Meldung halt hinnehmen, weil es der Tatsache entspricht – besser Meldung, als quasi heimlich nicht vorhandene Einstellungsmöglichkeit. Wenn genervt – unter Defender "Benachrichtigungen" deaktivieren!

  2. KB4052623 ist seit seiner Erstveröffentlichung kaputt: das legt ausführbare Dateien unter C:\ProgramData alias %ProgramData% ab!
    Ursache: bei Microsoft ist niemand der englischen Sprache mächtig!

    Ohne dieses Update liegen die von Benutzern aufgerufenen ausführbaren Dateien des Windows Defender unter "C:\Program Files\Windows Defender" sowie "C:\Program Files (x86)\Windows Defender", wie in den MINIMAL-Anforderungen der 25 Jahre alten "Designed for Windows"-Richtlinien vorgeschrieben.

    EINMAL mit Profis arbeiten.

    • Ralph sagt:

      Werden solche Änderungen an Verzeichnissen nicht dokumentiert? Oder auch die Gründe, warum das so gemacht wurde?
      Ich meine, sowas macht man doch normalerweise nicht, wenn keine "Not am Mann" ist oder es vor allem gegen die eigenen Anforderungen verstößt?
      Und gibt es da keine Kontrollinstanzen, die da drüberschauen?

      Gruß
      Ralph

      • Es ist noch VIEL schlimmer: der mit Windows XP SP2 eingeführte "Attachment Manager" ruft eine von Microsoft mit Windows 2000 und dem Internet Explorer 5 eingeführte Programm-Schnittstelle auf, die jeder Virenscanner bedient.
        Der "Attachment Manager" wird vom File Explorer aufgerufen, vom Internet Explorer, vom alten und neuen Edge, von Google Chrome, von Opera, von Vivaldi, von Brave, …
        Mozilla Firefox ruft ihn nicht auf, weil Firefox SCHROTT ist und beim Aufruf einfrieren kann … im Gegensatz zu den anderen Browsern.
        Ferner wird der "Attachment Manager" von Mail/News-Clients und von Instant Messengern beim Speichern von Dateien aufgerufen.
        Die vom Defender wie auch KB4052623 installierte Schnittstelle, über die der Defender vom "Attachment Manager" aufgerufen wird, erlaubt es jedem unprivilegierten Benutzer, diesen Aufruf zu UNTERBINDEN, und sogar noch das Laden/Ausführen einer beliebigen DLL (auch von einem Netzwerkpfad).
        Fazit: erst SCHLANGENÖL macht Windows UNSICHER!

    • Nachtrag: auch James Forshaw von Googles Project Zero ist diese IDIOTISCHE Änderung des Speicherorts negativ aufgefallen: siehe https://www.tiraniddo.dev/2019/12/the-mysterious-case-of-broken-virus.html
      Ebenso Christoph Schneegans: siehe https://schneegans.de/windows/safer/

  3. Hans Thölen sagt:

    Heute habe ich festgestellt, daß nach der Installation von KB4052623 oder aber
    KB4541335 die Überprüfung durch " Windows Defender Offline " nicht mehr
    funktioniert.

  4. Hans Thölen sagt:

    Auch nach der Deinstallation von KB4541335 funktionierte " Windows Defender
    Offline " nicht. Also muß die Ursache bei dem neuesten Update KB4052623 liegen.
    Jetzt suche ich nach einer Möglichkeit zur Deinstallation dieses Updates.

  5. Hans Thölen sagt:

    Schnellüberprüfung, vollständige Überprüfung und benutzerdefinierte Überprü –
    fung laufen fehlerfrei.
    Überprüfung durch Windows Defender Offline funktioniert nicht.
    Das kann nur mit dem letzten Update KB4052623 in Verbindung stehen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.