[English]Microsoft hat zum 24. März 2020 das Update KB4052623 für die Antischadsoftware-Plattform von Windows Defender für Windows 10 freigegeben. Dieses Update behebt auch die irritierende Meldung, dass bei einem Scan Dateien übersprungen wurden.
Anzeige
Worum geht es beim Defender Scan-Skip-Bug?
Seit der zweiten März-Woche erleben manche Benutzer von Windows 10 beim Scannen ihrer Systeme mittels des Windows Defenders einen merkwürdigen Effekt. Der Scan läuft zwar durch, aber am Ende des Vorgangs meldet der Virenscanner während der Überprüfung übersprungene Elemente. Es wird dann folgende Meldung angezeigt.
Die Windows Defender Antivirus-Überprüfung hat ein Element aufgrund von Ausschluss- oder Netzwerküberprüfungseinstellungen über:
Ich hatte den Fall ausführlicher im Blog-Beitrag Windows 10: Defender überspringt Elemente beim Scannen dargestellt. Da die Betroffenen keine Ausschlüsse zur Überprüfung definiert haben, irritierte das Ganze. Ich hatte dann im Blog-Beitrag Windows 10: Fix für übersprungene Defender Scans nachgewiesen, dass es sich bei den übersprungenen Dateien um Elemente beim Netzwerkscan handelt. Das war auch sinnvoll, da Scans von Netzwerkfreigaben eine unnötige Last erzeugen.
Im Blog-Beitrag hatte ich geraten, die Meldung vorerst zu ignorieren, gleichzeitig aber Workarounds angegeben, um dieses Verhalten zu ändern. Gleichzeitig hatte ich den Sachverhalt mit Link auf meinen englischsprachigen Blog-Beitrag an Windows Update (den Twitter-Kanal von Microsoft) gemeldet.
Anzeige
Update KB4052623 fixt den Bug
Bereits heute morgen erreichte mich eine Mail von Blog-Leser Hans Thölen, der mich über ein neuen Update informierte:
Guten Morgen Günter !
Heute hatte ich auf Windows Update das Update für Windows Defender KB4052623 im Angebot. Ich habe dieses installiert. Dann habe ich die Einstellung zum Scan von Netzwerkdateien wieder auf nicht konfiguriert zurückgesetzt. Bei 2 mal ausgeführten Scans wurde nur die Benachrichtigung über den Scanverlauf angezeigt.
Die Benachrichtigung von Überspringen kam beide Male nicht mehr. Es sieht so aus, daß Microsoft den Fehler hiermit behoben hat.
Auch Blog-Leser Guido weist hier darauf hin, dass ein Update KB4052623 die Scan-Engine auf Version 4.18.2003.8 hebt und der Fehler beseitigt sei. Ein weiterer Hinweis kam hier von Pater. Danke an alle Leser, die Hinweise geliefert haben.
Update KB4052623 für den Defender
Update KB4052623 (Update für die Windows Defender Antischadsoftware-Plattform) steht für die folgenden Betriebssysteme zur Verfügung.
- Windows 10 (Pro-, Enterprise, und Home-Editionen)
- Windows Server 2019
- Windows Server 2016
Im Support-Beitrag schreibt Microsoft, dass dieses Paket monatliche Updates und Fehlerbehebungen für die Antischadsoftware-Plattform von Windows Defender enthält, die von Windows Defender Antivirus in Windows 10 verwendet wird. Der Support-Beitrag beschreibt gleich eine ganze Reihe an Problemen (Secure-Boot-Probleme, geänderte Pfade, erhöhte Datenlast im Netzwerk), die mit diesem Update auftreten können.
Die Version 4.18.2001.10 der Scan-Engine wird als Ursache für den hohen Netwerkverkehr genannt (aktuell ist die Version 4.18.2003.8). Microsoft arbeitet intern an einem Fix – und ich tippe darauf, dass jemand deshalb so um den 10. März 2020 die Dateien vom Netzwerkscan in der Antischadsoftware-Plattform herausgenommen hat. In der Zwischenzeit lässt sich dieses Problem umgehen, indem Administratoren den Netzwerkschutz vorübergehend deaktivieren. Ich hatte ja im Blog-Beitrag Windows 10: Fix für übersprungene Defender Scans einige Gruppenrichtlinien für diesen Zweck angegeben.
Anmerkung: Auf meinem Testsystem ist die Benachrichtigung bzgl. übersprungener Dateien weg. Vier Benutzer bestätigen das Gleiche – aber Ralf schreibt in einem Kommentar weiter unten, dass er die Nachricht weiter erhält.
Wo finde ich die Update- und Versionsinfo?
Abschließend noch zwei Hinweise, die vielleicht den einen oder anderen Blog-Leser bzw. Blog-Leserin umtreiben. Ich hatte die Nacht kurz unter Windows Update nach neuen Updates nachgesehen, aber nur das im Beitrag Windows 10 190x: Update KB4541335 beschriebene Update gesehen. Um zu prüfen, ob ein Update für den Defender eingetroffen ist, ruft man Windows-Sicherheit über die Einstellungen-Seite auf und geht auf und geht dort auf Viren- & Bedrohungsschutz
Blättert man dann in der Seite nach unten, sollte unter Updates für Viren- & Bedrohungsschutz der letzte Update-Stand angezeigt werden. Zur Frage, wie man heraus bekommt, welche Antimalware-Clientversion und Modulversion man verwendet, hatte ich vor einiger Zeit schon mal den Artikel MS Malware Protection Engine – welche Version habe ich? hier im Blog. Inzwischen hat Microsoft aber wieder was geändert – sonst wäre es ja einfach.
Geht im Fenster Windows-Sicherheit in der linken Spalte ganz unten auf den dort aufgeführten Punkt Einstellungen. In der Seite Einstellungen blättert ihr nach unten und klickt auf den Hyperlink Info. Dann zeigt die Seite alle benötigten Informationen an.
Ich hoffe, dass damit alle Klarheiten bezüglich des Microsoft Defender-Universums beendet sind. Also auf, bis zum nächsten Event.
Ähnliche Artikel:
Windows 10: Defender überspringt Elemente beim Scannen
Windows 10: Fix für übersprungene Defender Scans
MS Malware Protection Engine – welche Version habe ich?
Anzeige
Also ich habe o.g. Update bekommen dazu KB4541335 und meine Version ist auch 2003.8. Allerdings bekomme ich nach einer manuell angestoßenen Schnellprüfung nach wie vor diese Meldung
Scheibenkleister – ich bekomme die Meldung auf der Testmaschine jetzt nicht mehr – und es gibt vier Nutzer, die das Gleiche bestätigen. So langsam kommen wir zum 'Handauflegen als Kur' – aber Du weißt ja jetzt, warum Du die Nachricht ignorieren kannst.
12.00 Uhr MEWZ habe ich eine Schnellüberprüfung
ausgeführt. Nach der Überprüfung wurde nur das Ergebnis
angezeigt. Eine Benachrichtigung von überspringen der
Netzwerkdateien wurde nicht angezeigt. Genau so ist das bei
mir seit dem frühen Morgen.
Ich mache mir wegen der Meldung auch keinen Kopf. Aber es wirklich kurios, auf meinem Desktoprechner bekomme ich sie noch (Pro-Version) und auf dem Laptop (Home) kommt sie nicht mehr.
Seis drum!
Oha – noch ein wenig Verwirrung…
Habe auf dieser Testmaschine mit:
"Set-MpPreference –DisableScanningNetworkFiles 1" wieder
den ehemaligen Zustand hergestellt(PowerShell).
Nach Windows-Update:
– "NACH" KB4541335(Kumulatives Update 2020-03 C/D(K3), optional – 24.03. Ändert nur aktuell verwiesene Fixes wenn voriges KB4551762 bereits installiert).
– "NACH" KB4052623(Defender Modul 4.18.2001.10 – 24.03)
– "IST " W10 1909 (Build 18363.752)
MELDUNG WIEDER DA!
Man muss die Meldung halt hinnehmen, weil es der Tatsache entspricht – besser Meldung, als quasi heimlich nicht vorhandene Einstellungsmöglichkeit. Wenn genervt – unter Defender "Benachrichtigungen" deaktivieren!
Mal etwas Positives,
– die diversen "Defender Modul-Updates" der letzten Tage…
– und KB4541335(Kumulatives Update 2020-03 C/D(K3), optional – 24.03. Ändert nur aktuell verwiesene Fixes wenn voriges KB4551762 bereits installiert)…
haben die Performance-Probleme, wie auch immer, auf dem Gerät "VERURSACHT" durch KB4551762(Kumulatives Update 2020-03 B/D(K2) jetzt BEHOBEN!
Siehe ehemals:
https://www.borncity.com/blog/2020/03/12/windows-10-patch-fr-smbv3-schwachstelle-cve-2020-0796/#comment-86825
…ja klar, Verwirrung…
> "NACH" KB4052623(Defender Modul 4.18.2001.10 – 24.03)
muß "4.18.2003.8" lauten…, wurde durch WU erneut installiert.
KB4052623 ist seit seiner Erstveröffentlichung kaputt: das legt ausführbare Dateien unter C:\ProgramData alias %ProgramData% ab!
Ursache: bei Microsoft ist niemand der englischen Sprache mächtig!
Ohne dieses Update liegen die von Benutzern aufgerufenen ausführbaren Dateien des Windows Defender unter "C:\Program Files\Windows Defender" sowie "C:\Program Files (x86)\Windows Defender", wie in den MINIMAL-Anforderungen der 25 Jahre alten "Designed for Windows"-Richtlinien vorgeschrieben.
EINMAL mit Profis arbeiten.
Werden solche Änderungen an Verzeichnissen nicht dokumentiert? Oder auch die Gründe, warum das so gemacht wurde?
Ich meine, sowas macht man doch normalerweise nicht, wenn keine "Not am Mann" ist oder es vor allem gegen die eigenen Anforderungen verstößt?
Und gibt es da keine Kontrollinstanzen, die da drüberschauen?
Gruß
Ralph
Es ist noch VIEL schlimmer: der mit Windows XP SP2 eingeführte "Attachment Manager" ruft eine von Microsoft mit Windows 2000 und dem Internet Explorer 5 eingeführte Programm-Schnittstelle auf, die jeder Virenscanner bedient.
Der "Attachment Manager" wird vom File Explorer aufgerufen, vom Internet Explorer, vom alten und neuen Edge, von Google Chrome, von Opera, von Vivaldi, von Brave, …
Mozilla Firefox ruft ihn nicht auf, weil Firefox SCHROTT ist und beim Aufruf einfrieren kann … im Gegensatz zu den anderen Browsern.
Ferner wird der "Attachment Manager" von Mail/News-Clients und von Instant Messengern beim Speichern von Dateien aufgerufen.
Die vom Defender wie auch KB4052623 installierte Schnittstelle, über die der Defender vom "Attachment Manager" aufgerufen wird, erlaubt es jedem unprivilegierten Benutzer, diesen Aufruf zu UNTERBINDEN, und sogar noch das Laden/Ausführen einer beliebigen DLL (auch von einem Netzwerkpfad).
Fazit: erst SCHLANGENÖL macht Windows UNSICHER!
Nachtrag: auch James Forshaw von Googles Project Zero ist diese IDIOTISCHE Änderung des Speicherorts negativ aufgefallen: siehe https://www.tiraniddo.dev/2019/12/the-mysterious-case-of-broken-virus.html
Ebenso Christoph Schneegans: siehe https://schneegans.de/windows/safer/
Heute habe ich festgestellt, daß nach der Installation von KB4052623 oder aber
KB4541335 die Überprüfung durch " Windows Defender Offline " nicht mehr
funktioniert.
Auch nach der Deinstallation von KB4541335 funktionierte " Windows Defender
Offline " nicht. Also muß die Ursache bei dem neuesten Update KB4052623 liegen.
Jetzt suche ich nach einer Möglichkeit zur Deinstallation dieses Updates.
Ich habe das im Artikel Defender-Update KB4052623 killt Offline-Scan und mehr aufbereitet, kann es aber nicht nachvollziehen.
Schnellüberprüfung, vollständige Überprüfung und benutzerdefinierte Überprü –
fung laufen fehlerfrei.
Überprüfung durch Windows Defender Offline funktioniert nicht.
Das kann nur mit dem letzten Update KB4052623 in Verbindung stehen.