{"id":220401,"date":"2019-07-11T09:14:32","date_gmt":"2019-07-11T07:14:32","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=220401"},"modified":"2021-01-26T19:37:39","modified_gmt":"2021-01-26T18:37:39","slug":"windows-juli-2019-updates-machen-probleme-mit-sfc","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2019\/07\/11\/windows-juli-2019-updates-machen-probleme-mit-sfc\/","title":{"rendered":"Windows: Juli 2019-Updates machen Probleme mit sfc"},"content":{"rendered":"

[English<\/a>]Die von Microsoft freigegebenen Windows-Update f\u00fcr Juli 2019 f\u00fchren dazu, dass kaputte Dateien unter Windows entstehen, die durch den Befehl sfc <\/em>nicht repariert werden k\u00f6nnen. Wie es ausschaut, sind aber nicht die kumulativen Sicherheitsupdates f\u00fcr Windows, sondern eine unsauber eingepflegte Signaturdatei des Windows Defender der Verursacher.<\/p>\n

<\/p>\n

Worum geht es bei sfc?<\/h2>\n

\"\"Unter Windows kann mit in einer administrativen Eingabeaufforderung das System auf besch\u00e4digte Dateien pr\u00fcfen lassen. Dazu wird einfach der Befehl:<\/p>\n

sfc \/scannow<\/em><\/p>\n

ausgef\u00fchrt. Findet der Befehl besch\u00e4digte Dateien, sollte der System File Checker (sfc) diese Dateien auch reparieren k\u00f6nnen. Es kommt aber immer wieder vor, dass diese Reparatur nicht ausgef\u00fchrt werden kann. Genau dies trifft jetzt auf sfc zu, welches nach Installation der Juli 2019-Updates in Windows besch\u00e4digte Dateien findet, diese aber nicht reparieren kann.<\/p>\n

Ich habe bereits am 2. Juli 2019 diesen Kommentar<\/a> von Blog-Leser Marco bekommen, dem Fehler bei der sfc<\/em>-Pr\u00fcfung aufgefallen waren:<\/p>\n

Stand heute Juli 2019 \u2013 entdecke grad weitere Probleme mit SFC \/scannow unter Windows Server 2016 1607 (Build 14393.3025) \u2013 SFC bleibt bei 45% h\u00e4ngen (seit \u00fcber einem Tag) \u2013 auch nach Neustart keine Besserung \u2013 der DISM Befehl lief vorher ohne Probleme durch \u2013 DISM \/online \/cleanup-image \/restorehealth \u2013 im CBS.log erscheinen Warnungen wie \"Primitive installers committed for repair\" oder \"Failed to internally open package. [HRESULT = 0x800f0805 \u2013 CBS_E_INVALID_PACKAGE]\" oder \"Failed to OpenPackage using worker session [HRESULT = 0x800f0805]\"
\nIst hier jemanden etwas bekannt?<\/p><\/blockquote>\n

Er hat diesen Kommentar zu meinem Blog-Beitrag Windows Server 2016: Mai 2018-Update killt sfc<\/a> von Juni 2018 gepostet. Es gab dort aber keine weiteren R\u00fcckmeldungen.<\/p>\n

Hinweise zu Windows 10<\/h2>\n

Dann sind mit gestern bereits weitere Hinweise bereits bei den Kollegen von deskmodder.de in den Nutzerkommentaren aufgefallen.<\/p>\n

Die Kommentare hier<\/a> und hier<\/a> thematisieren das. Ein Nutzer hat das Juli 2019-Update auf drei Windows 10 V1903-Systemen ausgef\u00fchrt und Probleme mit dem Befehl sfc festgestellt. Das wird durch andere Nutzer in den Kommentaren best\u00e4tigt.<\/p><\/blockquote>\n

Auch bei askwoody.com diesen Hinweis<\/a> von Susan Bradley gefunden, die mit einem kurzen Text auf das Problem hinweist.<\/p>\n

Starting today, Windows 10 users are finding that the \/sfc scannow feature is no longer working and that it states it found, but could not fix, corrupted Windows Defender PowerShell files.<\/p>\n

Instead, it appears to be related to the latest definition updates for Windows Defender, which were released this morning and are version 1.297.823.0.<\/p><\/blockquote>\n

Dort kommt der Hinweis, dass der Scan-Fehler durch die letzten Signaturdateien des Windows Defender (Version 1.297.823.0) hervorgerufen werden. Susan verweist auf den Beitrag hier<\/a> von Kollege Lawrence Abrams auf Bleeping Computer (siehe unten).<\/p>\n

In diesem Posting<\/a> auf askwoody.com wird f\u00fcr Windows 8.1 beklagt, dass sfc bereits seit 2 Jahren, seit WMF 5.1 kaputt sei.<\/p><\/blockquote>\n

Auch Hinweise unter Windows 7?<\/h2>\n

Blog-Leser Dennis T. hat sich die Nacht in diesem Kommentar<\/a> zum Blog-Beitrag Patchday: Updates f\u00fcr Windows 7\/8.1\/Server (9. Juli 2019)<\/a> gemeldet, weil er unter Windows 7 ebenfalls Probleme hat. Er schreibt.<\/p>\n

Habe gestern KB4507456 (Security Only) f\u00fcr Windows 7 f\u00fcr 32 bit installiert und nach Ausf\u00fchrung von sfc \/scannow eine Fehlermeldung erhalten. Im Log werden die Dateien \"tsgqec.dll\" und \"rdvidcrl.dll\" welche nicht repariert werden k\u00f6nnen (hash mismatch). Vor der Installation von KB4507456 liefen sfc \/scannow und dism \/online \/Cleanup-Image \/scanhealth sauber durch. Hier meine Frage und Bitte: Hat oder kann jemand nach Installation von KB4507456 sfc \/scannow ausf\u00fchren und mitteilen ob dies ohne Fehlermeldung erfolgt? Ich habe 2 Rechner getestet, beide werfen den gleichen Fehler aus. Besten Dank im vorraus<\/p><\/blockquote>\n

Das Ganze l\u00e4sst sich also nicht auf Windows 10 Version 1903 (oder \u00e4ltere Versionen) begrenzen. Allerdings k\u00f6nnte hier ein anderer Fall vorliegen.<\/p>\n

Analyse: Defender Signaturdatei ist schuld<\/h2>\n

MVP-Kollege Lawrence Abrams waren Kommentare in Postings auf wildersecurity.com<\/a> aufgefallen, wo das Problem gleich von mehreren Nutzern beschrieben wurde. Abrams konnte das Ganze dann in einer virtuellen Maschine unter Windows 10 nachstellen, wenn der Windows Defender als Virenschutz konfiguriert war. Allerdings hatte er noch keine Juli 2019-Updates installiert, konnte diese daher als Ursache ausschlie\u00dfen. Er hat es im Beitrag hier<\/a> beschrieben.<\/p>\n

\"sfc<\/a>
\n(sfc \/scannow-Fehler)<\/p>\n

Der obige Screenshot zeigt die Fehlermeldung. Der Befehl sfc<\/em> legt seine Fehlermeldungenen in folgender Datei ab:<\/p>\n

C:\\Windows\\Logs\\CBS\\CBS.log<\/code><\/p>\n

Eine Auswertung durch Abrams ergab, dass sfc <\/em>die Hash-Werte der Windows Defender PowerShell-Komponente im Ordner<\/p>\n

C:\\Windows\\System32\\WindowsPowerShell\\v1.0\\Modules\\Defender<\/p>\n

als nicht \u00fcbereinstimmend mit den Komponentendateien im WinSxS<\/em>-Ordner bem\u00e4ngelt. Abrams schreibt, dass die Komponentendateien per Hardlink referenziert werden. Die Fehlerhinweise auf abweichende Hash-Werte sind also unlogisch.<\/p>\n

Die Kollegen von deskmodder.de haben das Thema ebenfalls in diesem Beitrag<\/a> aufgegriffen. Sie schreiben, dass es wohl zu einem Fehler komme, weil die 32-Bit und die 64-Bit-Hash-Werte f\u00e4lschlich miteinander verglichen w\u00fcrden.<\/p>\n

In einer weiteren Analyse schreibt Abrams, dass das Problem wohl durch die neuesten Definitions-Updates f\u00fcr den Windows Defender auf die Version 1.297.823.0 verursacht wird, die zum 10. Juli 2019 ver\u00f6ffentlicht wurden. Einigen Nutzern ist es dann gelungen, die besch\u00e4digten Dateien mit folgenden dism-Befehlen zu reparieren:<\/p>\n

DISM \/Online \/Cleanup-Image \/CheckHealth\r\nDISM \/Online \/Cleanup-Image \/ScanHealth\r\nDISM \/Online \/Cleanup-Image \/RestoreHealth<\/pre>\n
Im Prinzip braucht man aber nur den letzten Befehl mit \/RestoreHealth zur Reparatur einzusetzen. Falls das nicht hinhaus, muss man abwarten, ob Microsoft da neue Definitions-Updates f\u00fcr den Windows Defender freigibt oder sonst wie korrigiert.<\/p>\n
Anmerkung: Ich habe auf meiner Testmaschine versucht, die Erkenntnisse von Lawrence Abrams nachzuvollziehen. Ja, es gibt Fehler in den CBS.logs – aber ein falscher Hash-Wert wird hier nicht reklamiert. Vielmehr hat ein .NET Framework-Update da Dateien zerdeppert. W\u00e4re m\u00f6glicherweise die Erkl\u00e4rung, dass manchen Nutzern die Reparatur per DISM gelingt, und zwar dann, wenn die fehlerhafte Defender Signaturdatei nicht vorhanden ist.<\/p><\/blockquote>\n
Erg\u00e4nzung:<\/strong> Bei deskmodder.de hat Benutzer DK2000 in diesem Kommentar<\/a> noch eine Analyse, was passiert ist, nachgeschoben. Zitat:<\/p>\n
Jetzt verstehe ich auch, was da schief gelaufen ist:<\/p>\n
Es geht nicht darum, dass 32bit mit 64bit verwechselt wurde, sondern dass KB4052623 am Komponentenspeicher vorbei die Dateien im 64bit Paket direkt aktualisiert, ohne Katalog und ohne Bescheid zu sagen. Der Komponentenspeicher wei\u00df \u00fcberhaupt nichts von den neuen Dateien und geht noch von den alten Dateien aus. Daher erwartet sfc hier ebenfalls die alten Dateien, genauso wie DISM mit RetoreHelath.<\/p>\n
Das ist \u00e4u\u00dferst unsauber, wie KB4052623 das Update ausf\u00fchrt.<\/p><\/blockquote>\n
\u00c4hnliche Artikel<\/strong>
\nMicrosoft Office Patchday (2. Juli 2019)<\/a>
\nMicrosoft Security Update Summary (9. Juli 2019)<\/a>
\nPatchday: Updates f\u00fcr Windows 7\/8.1\/Server (9. Juli 2019)<\/a>
\nPatchday Windows 10-Updates (9. Juli 2019)<\/a>
\nPatchday Microsoft Office Updates (9. Juli 2019)<\/a><\/p>\n
Windows Server 2016: Mai 2018-Update killt sfc<\/a>
\nWindows 10 V1903: Update KB4507453 mit Reboot-Schleife<\/a>
\nWindows 7 Update KB4507456 mit Telemetrie im Beipack<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"
[English]Die von Microsoft freigegebenen Windows-Update f\u00fcr Juli 2019 f\u00fchren dazu, dass kaputte Dateien unter Windows entstehen, die durch den Befehl sfc nicht repariert werden k\u00f6nnen. Wie es ausschaut, sind aber nicht die kumulativen Sicherheitsupdates f\u00fcr Windows, sondern eine unsauber eingepflegte … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[185,301],"tags":[2242,154,4315,3288],"class_list":["post-220401","post","type-post","status-publish","format-standard","hentry","category-update","category-windows","tag-dism","tag-probleme","tag-update","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/220401","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=220401"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/220401\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=220401"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=220401"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=220401"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}