[English]Kurze Frage an die Leserschaft des Blogs, sofern ihr den Windows Defender einsetzt. Wir hatten ja am 13. August 2024 Patchday bei Microsoft, und in dessen Folge wurde recht viel an Windows gepatcht. Bisher halten sich zwar die Probleme (zumindest nach Kommentarlage hier im Blog) in Grenzen. Aber ein englischsprachiger Leser hat mich die Nacht darauf hingewiesen, dass Leute wohl Probleme mit dem Microsoft Defender hätten. Die msmpeng.exe stürzt wohl ab, wie ich vom Leser erfuhr und im Internet in Berichten sehen konnte.
Anzeige
Eine kurze Lesermeldung
Blog-Leser EdD hat sich im englischsprachigen Blog gemeldet und schrieb: "Nur zu Ihrer Information, wenn Sie Defender ausführen und in den letzten 24 Stunden mit Abstürzen von msmpeng.exe zu kämpfen hatten." Der Leser hat dann einen Link zu nachfolgendem Thread bei reddit.com hinterlassen.
Thread bei reddit.com
Bei reddit.com gibt es seit dem 14. August 2024 den Thread Defender crashing last hours?, in dem sich ein Betroffener beschwert, dass er seit dem Morgen von Syslog-Warnungen heimgesucht werde. Die Warnungen besagten, dass eine Handvoll Server den Microsoft Defender mit dem Fehler 0xc0000005 abstürzen lassen. Hier der Post.
Started the morning by getting hammered by our syslog alerts that a handfull of servers Defender are crashing with 0xc0000005. Separated VLANs and no connections. Anyone else seeing this?
Tried updating definition updates but no joy, keeps crashing. So I guess it is the Engine or Platform/Product version?
AMEngineVersion : 1.1.24070.3
AMProductVersion : 4.18.24070.5
AMRunningMode : Normal
AMServiceEnabled : True
AMServiceVersion : 4.18.24070.5
In Folge sind die VLANs getrennt und bekommen keine Verbindungen mehr. Der Betroffene habe erfolglos versucht, die Definitionsupdates zu aktualisieren. Der Microsoft Defender stürzt immer wieder ab. Er vermutet, dass es an der Engine oder der Plattform/Produktversion liegt.
Die Frage des Betroffenen, ob andere Nutzer das bestätigen können, führte zu weiteren Rückmeldungen, über solche Probleme. Ein Nutzer schrieb: "Auf einigen Servern stürzt der Defender derzeit ab, auf anderen nicht, und zwar auf denselben Plattformen/Motoren/Definitionsversionen. Im Moment gibt es keine eindeutigen Hinweise auf gemeinsame Ursachen für alle." Und ein Nutzer bestätigt meine Vermutung, dass es mit dem August 2024-Patchday zu tun habe:
Anzeige
Interessant! Ich habe gerade versucht, einen der betroffenen Server mit dem August-Windows-Update zu patchen – der gleiche Absturz tritt danach auf. Unser Problem begann nach 05:00~ heute Nacht (GMT +2, vor etwa 8h).
Wir haben 1000~ Server, bisher sind nur etwa 10~ betroffen. Diese Server sind ziemlich datenintensiv. 1 Server 2016 und der Rest 2019 oder 2022.
Es gibt im reddit.com-Thread weitere Rückmeldungen. Ein Vorschlag verweist auf diesen reddit.com-Thread, wo der Absturz beim .DLL-Scan erfolgt und man versuchen könnte, dieses Verzeichnis vom Scan auszunehmen. Aber andere Nutzer schreiben, dass der Absturz bei vielen Dateien getriggert wird.
Falls eure Server noch nicht gepatcht sind, behaltet das mal auf dem Radar – das könnte einige Stunden arge Probleme geben. Es gibt aktuell die Rückmeldung eines Nutzers, der mit einem Microsoft Engineer gesprochen hat. Ergebnis ist, dass seit dem Update auf 1.417.120.0 keine Abstürze mehr auftreten. Frage in die Runde: Kann das jemand bestätigen?
Anzeige
Lieber Herr Born,
vielen Dank für Ihren tollen Block. Ein mal mehr mal weniger erwartetes Problem nach der Installation möchte ich gerne kurz durchgeben:
Durch das Update werden der Secure-Boot Shim-Bootloader Zertifikate von Microsoft widerrufen. Dadurch kann es bei einigen Festplattenverschlüsselungen (z.B. TrustedDisk) vorkommen, dass der Rechner nicht mehr bootet.
Das Perfide daran ist, dass es mehrere Bootvorgänge gut geht und erst wenn alle gestageten Updates durchgelaufen sind, fährt der Client nicht mehr hoch.
Viele Grüße
Ein gerade sehr beschäftigter ITler :)
Ich habe gestern auf mehreren Servern die August-Updates installiert. Seit diesem Zeitpunkt sind in den Systemlogs keine diesbzgl. Ereigniseinträge zu finden.
Auf einem aktualisierten Core-Server habe heute Morgen ich in der Powershell per
"Start-MpScan -ScanType Fullscan"
mal Stress erzeugt. Der Defender läuft so wie es aussieht aber stabil durch, der Scan ist jedenfalls noch nicht beendet.
Allerdings hat die verwendete AntivirusSignaturVersion auch bereits die "1.417.125.0". Wenn das alles so aufgetreten sein sollte (kann ich leider nicht bestätigen), dann scheint es mittlerweile behoben zu sein.
Hatte gestern das gleiche Thema mit dem AV Scanner. Betroffen waren wie beschrieben diverse Serverbetriebssysteme. Das Problem trat mit der Installation von Defender Definiton Updates auf, auch auf Systemen, die noch gar keine OS Patche installiert hatten. Die Anzahl war jedoch überschaubar, weswegen ich kein Ticket bei MS eröffnet hatte. Heute Morgen waren alle Probleme mit dem Defender verschwunden – ich gehe davon aus, die Probleme wurden mit neuen Definition Updates behoben.
Das Updates welches die Probleme verursacht hat, müsste 1.417.111.0 gewesen sein.
Arbeiten bei Microsoft und CrowdStrike dieselben Leute mit denselben Methoden?
macht alles Peng, Clownstrike, MSMPeng, alles Peng -> und Schrott
Wollte schon sagen… ich lese immer msm Peng ;-)
Noch ein bisschen und es ist Wochenende!