[English]Ein Update, welches möglicherweise eine kaputte Signaturdatei enthält, hat seit dem 16. April 2020 alle Microsoft Virenscanner (Windows Defender, Microsoft Security Essential, sowie System Center Endpoint Protection (SCEP)) lahm gelegt. Der Dienst zum Durchführen des Virenscans stürzt einfach ab. Inzwischen gibt es eine neue Signaturdatei, die den Fehler behebt.
Anzeige
Alle Microsoft Virenscanner lahm gelegt
Das vor einem Jahr im Blog-Beitrag SCEP/MSE/Defender: Weltweiter Ausfall von Microsofts Virenschutz durch Signatur 1.289.1521.0 (19.3.2019) beschriebene Problem, dass ein Signaturupdate alle Microsoft Virenscanner lahm legt, seit dem 16. April 2020 zurück ist.
Update KB2461484 killt SCEP
Blog-Leser Michael hat sich bereits am 16. April 2020 gegen 9:17 Uhr mit einer Beobachtung zu System Center Endpoint Protection (SCEP) per Kommentar gemeldet. Michael schrieb:
Guten Morgen.
MS hat gerade (bei uns 08:39) Updates für SCEP verteilt.
Hier gibt es ein Update : KB2461484 (Version 1.313.1638.0)
Sobald ein Scan einer beliebigen Aktion ausgeführt wird stürzt die Endpoint Protection ab.
Ich habe auf Grund dieses Kommentars recherchiert, konnte aber nichts im Internet finden und habe das Thema zurückgestellt und Michael dies auch mitgeteilt. Darauf kam von ihm die Rückmeldung:
Es sind alle Systeme betroffen die SCEP einsetzen. Bei uns mehr als 400 Stück.
Michael hat dann bei seiner Suche auch einen Forumsbeitrag gefunden, der sich mit dem Befehl bei Windows Security befasst. Inzwischen habe ich im englischsprachigen Blog einen Kommentar zum Beitrag SCEP/MSE/Defender failed worldwide for hours due to a bad signatur file v1.289.1521.0 (03/19/2019) erhalten.
Anzeige
same here today on server 2012 R2
Damit rundet sich das Bild ab und es ist kein Einzelfall – Microsoft hat mit einem Signatur-Update wohl seinen Virenscanner lahm gelegt.
Windows Defender stürzt ebenfalls ab
Weiterhin meldete sich Blog-Leser Dekre zum 16. April mit diesem Kommentar und bemängelte, dass der Windows Defender sich unter Windows 10 Version 1909 abschalte. Er hat zwischenzeitlich ein weiteres Update erhalten, welches folgendes hinterlässt:
Antimalwareversion: 4.18.2003.8
Modul: 1.1.6900.4
AV-Version: 1.313.1666.0
Antispyware-Version 1.313.1666.0
Aber der Absturz erfolgt nach wie vor. Dekre verweist auf das deutschsprachige Microsoft Answers-Forum, wo es diesen Thread vom 15. April 2020 gibt.
Windows Defender Antivirus startet nicht
Hallo,
Wenn ich meinen PC starte, kommt immer die Meldung:
"Der Virenschutz ist deaktiviert. Tippen oder klicken Sie hier, um Windows Defender Antivirus zu aktivieren."
Wenn ich drauf klicke kommt die Meldung:
"Seite nicht verfügbar. Ihr Administrator hat den Zugriff auf einige Bereiche dieser App eingeschränkt. Die Ressource, auf die Sie zugreifen möchte, ist nicht verfügbar. Wenden Sie sich an den Helpdesk, um weitere Informationen zu erhalten:"
Es wird angegeben, dass beim Security Intelligence-Update für Windows Defender Antivirus – KB2267602 (Version 1.313.1594.0) der Fehler 0x80070643 aufgetreten sei.
Und in diesem Kommentar meldet ein weitere Nutzer Probleme mit dem Defender-Dienst, und dass dieser automatisch beendet werde.
Über die heise-Redaktion gingen mir dann weitere Hinweise (zwei Lesermeldungen) und obiger Screenshot zu, die das Problem bestätigen.
Zudem hat sich Blog-Leser Hans-Joachim K. per Mail gemeldet und schrieb: Folgendes Problem seit 16. 4. 20 zu vermelden. Schnellscan funktioniert, off-line-scan auch, Vollscan nicht. Zum K …
Ergänzung: Zu meinem heise-Artikel gab es diesen Nutzerkommentar, wo eine Terminalserver Farm von dem Problem betroffen war. Dort wurden definitiv die Signaturupdates 1.313.1638.0 und 1.313.1666.0 ausgemacht, erst das nachfolgend thematisierte Update behob das Problem.
Microsoft Security Essentials auch betroffen
Ich habe eben auf meinem Windows 7 die Microsoft Security Essentials (MSE) überprüft. Der MSE meldete, dass der letzte Scan sehr lange zurückliege. Als ich dann einen Schnellscan angestoßen habe, sah zwar alles gut aus. Aber kurze Zeit später kam die nachfolgenden Meldung, dass der Dienst beendet wurde.
Und neben dem Infobereich der Taskleiste wurde die folgende Toast-Benachrichtigung des MSE angezeigt.
Der Virenschutz der Microsoft Security Essentials (MSE) sind also ebenfalls komplett lahm gelegt. Inzwischen habe ich auch bei askwoody.com eine solche Meldung gelesen.
Abhilfe für das Problem
Die Ursache für die Abstürze der Scan-Engine ist ein Bug, der wirksam wird, wenn eine Datei zwei Punkte vor der Dateinamenerweiterung hat (also z.B. Test..exe, siehe auch diesen reddit.com-Thread). Lawrence Abrams hat bei Bleeping Computer in diesem Artikel eine Analyse vorgenommen.
MVP-Kollege Ingo Böttcher hat in Microsoft Answers diesen Forenpost eingestellt und schreibt:
Das Problem wurde mit dem Signaturupdate 1.313.1687.0 behoben. Über Windows Update oder die Updatesuche des Defenders selber wird diese Signaturversion seit dem heutigen Abend verteilt.
Man kann manuell nach Updates suchen lassen. In Windows 10 das Fenster Windows Sicherheit öffnen, auf Viren- & Bedrohungsschutz gehen und dort den Hyperlink Nach Updates suchen unter Updates für Viren- & Bedrohungsschutz wählen. Dann sollte die neue Signaturdatei per Update installiert werden. Bei den MSE sollte man in Windows Update nach Updates suchen lassen. Mir wurde nach langer Suche Update KB2310138 mit der obigen Signatur angeboten. Nach Installation dieses Updates scheint auch der Fehler in den MSE behoben zu sein.
Ergänzung: Zum 17.4.2020 hat Microsoft noch ein weiteres Signaturupdate auf die Version 1.313.1721.0 veröffentlicht. Von meiner heise-Redakteurin habe ich die Rückmeldung, dass auf deren Windows 10-Rechner nun wieder alles funktioniert. Interessante Beobachtung von ihr war aber, dass der oben skizzierte Weg über das Sicherheitscenter bei ihr nicht ging, weil der Hyperlink Nach Updates suchen fehlte. Ursache dürfte wohl sein, dass sich der Dienst für denBedrohungsschutz bei ihr nicht neu starten ließ. Sie hat dann die Windows Update-Suche manuell angestoßen, wodurch das Signaturupdate kam. Auch ohne anschließenden Neustart kam der Bedrohungsschutz dann wieder ins Laufen.
Anzeige
Freut mich. Also es freut mich nicht für die Leute, die dadurch Stress haben. Aber es freut mich zu sehen, dass auch der Defender nur mit Wasser gekocht wird und dass die Fraktion "Alles Schlangenöl, außer dem super duper Defender" damit mal wieder eindeutig widerlegt wird.
SCNR
Immerhin hat Defender dadurch nicht das ganze Betriebssystem funktionsunfähig gemahct, wie es andere AVs schon geschafft haben.
Meine 3 PCs, die über den Zeitraum hinweg gelaufen sind, haben scheinbar nichts mitbekommen, da sie das betroffene Signaturupdate scheinbar nicht gezogen haben.
Es war noch etwas nervig gestern.
Zum Glück hatte ich ja noch mein Programm Malwarebytes (Kaufvariante). Es hat aber schon stark genervt. Das Fehlerbild war derart merkwürdig, dass auch die Meldung "…Administrator hat den Zugriff auf einige Bereiche dieser App eingeschränkt…" bei mir alle Szenarien eines GAU auf meinem Betriebs-PC mir durch den Kopf schossen. War aber nicht so. Irgendwie abends ging es dann wieder.
Hinzu kommt, dass Datev mir bei einem Programm auch Fehler mit dem Rz meldete. Da gibt wohl heute auch eine Lösung. Jetzt bin ich früh aufgestanden und muss wieder PC-Arbeit machen, bis ich mich dem eigentlichen widmen kann.
Gestern war überall der Wurm drinn. Es fraß viel Zeit und Geduld, mal sehen wie der Tag heute so läuft. Es kann nur besser werden.
Aber der Fehler für den Defender-Absturz ist sehr interessant. Die doppelten Punkte vor der Erweiterung (Dateityp ) ist sehr interessant. Es kommt nämlich versehentlich vor, dass man Word- oder PDF-Dateien dann dieses beim Bezeichnen auch hat. Das ist ein sehr wichtiger Hinweis. Vielleicht ist diese Erkenntnis für den gestrigen Tag gar nicht so schlecht.
Das ist jetzt witzig! Gestern war wohl wirklich der Wurm drin mit falschen Zeichen oder zu viel Zeichen. Die Fehlerursache bei der Datev:
"Der Fehler trat bei einer Aktualisierung der Institutionsverwaltung am 16.04.2020 zwischen 2:00 Uhr und 6.00 Uhr auf. Ein institutionsrelevanter Datensatz enthielt einen Wert außerhalb des Wertebereichs."
Und die Zeit liegt in der Zeit der fehlerhaften Signatur im Virenschutz von MS.
Da musste man dann zurücksetzen und dann ging es wieder.
Ja der Windows Defender funktioniert nach dem Letzten Signaturupdate wieder. Dann lag es also doch nicht am Update KB 4549951. Dann hab ich gestern am 16.04. umsonst versucht den fehler mit Windows 10 Bordmitteln, selbst zu beheben (SFC / Scannow) usw^^. Hätte ich aber nicht gedacht, das ein Signaturupdate einen Virenscanner ausser gefecht setzen kann. Unter Windows 7 hatte ich damals immer Norton Internet Security verwendet, da ist sowas nie passiert wie nun beim Windows 10 Defender.
Funktioniert wieder alles. Nun ja, ist ja nicht das erste Mal. Beruhigend, dass der Echtzeitschutz trotzdem vorhanden ist. Sagte Ms bisher stets. ;-)
H. J. K.
Es ist eigentlich zu Lachen, aber da der Defender wohl einen hohen Marktanteil und damit eine exponierte Stellung hat, darf so ein Fehler nicht vorkommen. Ich vermute, dass der Fehler noch nicht mal von vielen bemerkt wurde und die, die ihn bemerkten, ihn ignorierten. Das Kreuz mit den ständig auftretenden Fehler, Fehlarmen und Meldungen im Benachrichtigungsfeld ist, dass sie keiner mehr ernst nimmt und sie nur noch lästig sind. Wenn dann mal wirklich etwas passiert, wo der Anwender eingreifen muss, wird auch das ignoriert.
Mich hat Windows 10 auch schon gleichgültig gemacht. Früher hatte ich die Ereignisanzeige geschätzt und viele Sachen mit Hilfe der Einträge abgestellt, die an sich keine Fehler waren, aber unnötige Prozesse. Mittlerweile wird mir schlecht, wenn ich da mal reingucke, weil es einfach keinen Sinn mehr macht, wenn die Bemühungen mit dem nächsten kumulativen Update wieder zunichte gemacht werden.
Bei Fehlerbehebungen ist es genau. Die haben nur eine kurze Halbwertzeit.
Und dann kommen immer die Leute, bei denen angeblich alles super funktioniert. Wenn ich das Hirn abschalte, funktioniert auch alles super und nach der Pfeife des Big Brother tanze.
@Und dann kommen immer die Leute, bei denen angeblich alles super funktioniert. Wenn ich das Hirn abschalte, funktioniert auch alles super und nach der Pfeife des Big Brother tanze.
Das empfinde ich jetzt als persönliche Beleidigung ;-)
Aber Spaß beiseite. Der erste Satz trifft bis Dato Gott sei Dank (oder muß man schon leider sagen?) für mich zu. Seit 1 1/4 Jahren hat noch kein Update gezickt. Ich bin tatsächlich darauf gespannt, wenn es auch mich mal trifft.
Hallo Günter – Zu Deiner Ergänzung. Bei der Kollegin von Heise ging es deshalb nicht, weil es blockiert war von der Meldung: "…Administrator hat den Zugriff auf einige Bereiche dieser App eingeschränkt…".
Hier gab es drei Lösungen:
# abwarten bis es sich automatisch aktualisiert.
# über die normale Windows-Suche
oder
# PC neu starten. Der Defender ist auch grün für ca. 20 bis 30 Min. und dann kann man im Sicherheitscenter auch suchen bzw unter "Auf Schutzupdates überprüfen" gehen.
Alle Schlangenölhörigen dürfen die unter meinem Namen verlinkte Webseite "Vulnerabilities introduced by Windows Defender" https://skanthak.homepage.t-online.de/offender.html aufmerksamst lesen: Echtzeitschutz, d.h. das Scannen von Mail-Anhängen oder Downloads ist einfachst abschaltbar, und die von Microsoft laut töne(r!)nd angepriesene "tamper protection" ist unwirksam und KEINEN Pfifferling wert!
Nein, Schlangenöl anderer Scharlatane ist KEINEN Deut besser, sondern eher NOCH übler!
Wer noch "grösseres Besteck" sucht wird unter https://skanthak.homepage.t-online.de/sentinel.html#demonstration bzw. https://skanthak.homepage.t-online.de/minesweeper.html#fullscale fündig.
JFTR: nicht nur diese Angriffe werden in unprivilegierten Standardbenutzerkonten durch https://skanthak.homepage.t-online.de/SAFER.html zuverlässig abgewehrt.
Ich hatte gestern, als der Defender sich ständig selbst beendete, zunächst ein paralleles Office 2016-Update (clicktorun) im Verdacht, weil sich der Defender immer dann sofort ausschaltete, wenn ich eine Office-Datei öffnete (ohne .. vor der Dateinamenerweiterung).
Nachdem ich aber den Dienst über den Taskmanager wieder gestartet hatte. und er nach kurzer Zeit (officeunabhängig) wieder als "beendet" angezeigt wurde, dachte ich mir schon, dass das Signaturupdate vom 16.04. der Verursacher sein könnte.
Das führte dann zur Frage, ob es eine Möglichkeit gibt, ein einzelnes Signaturupdate rückgängig zu machen bzw. zu deinstallieren. Ich habe nichts gefunden.
Hat jemand dazu vielleicht eine Info?
… ja, über die Kommandozeile (%ProgramFiles%\Windows Defender\MpCmdRun.exe) mit -RemoveDefinitions gibt es da Optionen.
Checked. Vielen Dank!