[English]Blog-Leser Carsten W. hat mich bereits von einigen Tagen auf ein Problem hingewiesen, welches ihn etwas beschäftigt hat. Eine virtuelle Maschine mit Windows Server 2019, die unter VMware ESX läuft, hatte sich mit einem Bluescreen verabschiedet und bootete auch nicht mehr. Ursache ist der Windows Defender.
Anzeige
Ich stelle die Informationen, so, wie ich sie von Carsten bekommen habe, hier mal im Blog ein, vielleicht hilft es jemanden.
Gestern ist hier eine Windows Server 2019 VM (VMware ESX) mit BSOD gestorben und auch nicht wieder hochgekommen. Nach Anzeigen der grafischen Oberfläche früher oder später BSOD. Hier die Fehlermeldung der VM.
————-
Windows 10 Kernel Version 17763 MP (2 procs) Free x64
Product: Server, suite: TerminalServer SingleUserTSATTEMPTED_WRITE_TO_READONLY_MEMORY (be)
An attempt was made to write to readonly memory. The guilty driver is on the stack trace (and is typically the current instruction pointer).
When possible, the guilty driver's name (Unicode string) is printed on the bugcheck screen and saved in KiBugCheckDriver.PROCESS_NAME: MsMpEng.exe
MODULE_NAME: WdFilter
IMAGE_NAME: WdFilter.sys
Da ist der Filtertreiber und die MsMpEngine beteiligt. Carsten schreibt dann auch zur Ursache, dass es der Windows Defender gewesen sei und ergänzt folgendes:
Abhilfe:
– Im abgesicherten Modus mit Netzwerktreibern booten.
– Per sysinternals autoruns (Admin-Mode) den Dienst "WinDefend"
deaktivieren (Haken raus)Danach startet das System wieder normal ohne BSOD.
– WinDefender-Version war: 5.87, am 23.04.2021 installiert
– letzte Windows-Updates waren vom 27.01.2021
Er hat im Anschluss alle aktuellen Updates nachgezogen und das System läuft wieder. Der Windows Defender wurde auch wieder automatisch aktiviert und hat jetzt die WinDefender-Version 5.90.
Ergänzung: Auf Facebook gab es in Server-Gruppen die Rückmeldung von anderen Betroffenen, dass der Effekt nur auf VMware ESXi, nicht jedoch auf Hyper-V-Installationen mit Windows Server-VM-Gästen auftrat.
Anzeige
Anzeige
Ähm ich denke hier werden verschiedene Dinge vermischt. Auf meinen Sytemen Windows 10 und Windows Server 2019 hat der Defender die Versionsnummer 4.18.XXXX.X die genannten Versionsnummern klingen aber nach dem Windows-, Tool zum Entfernen bösartiger Software, denn das hat aktuell die Version v5.90.
Kann ich nur bestätigen!
Warum hat man einen Patchstand vom Jänner? Warum eine Defender Version von April?
Klingt sehr seltsam.
Ist das so bei nur einer virtuellen Maschine aufgetreten? Unsere VMs werden nächtlich ins Backup geschrieben. Insofern ist Neuinstallation auch kein Aufwand, was nebenbei bemerkt wichtiger Hauptvorteil von Virtualisierung ist. Zusammenhang mit ESX verstehe ich nicht, davon dürfte Defender oder Tool zum Entfernen bösartiger Software gar nichts bemerken.
Was lernen wir daraus? Halte deine Kisten auf dem aktuellen Patchlevel! Das hat auch noch andere Vorteile.
Hallo, ich habe ein s2d Windows 2019 Cluster mit HyperV in Betrieb und am 10.06.21 ist der Fehler das erste mal aufgetreten, anschließend beinahe täglich (auf allen Nodes jedoch zu unterschiedlichen Uhrzeiten), ich habe den Memorydump ausgelesen und bin so dem Problem näher gekommen. Vielen Dank für den Artikel :-)