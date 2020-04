Am Abend des gestrigen Donnerstags kontaktierten mehrere Leser die heise-Redaktion, um auf einen Ausfall des Windows Defender unter Windows 10 ("Viren- und Bedrohungsschutz") hinzuweisen – visuell unter anderem daran zu erkennen, dass das Schild-Symbol in der Taskleiste statt des gewohnten grünen Häkchens ein rotes Kreuz aufwies. Der Windows Defender ließ sich nicht neu starten oder stürzte bei dem Versuch immer wieder mit der Meldung ab, dass der Bedrohungsdienst beendet werde. Ein Neustart des Systems brachte das, wenn überhaupt, nur kurzzeitig in Ordnung.

Erfahrungsberichte im Blog des Autors dieses Beitrags sowie eigene Tests auf einem Windows-7-System ergaben darüber hinaus, dass nicht nur der Defender, sondern auch Microsofts System Center Endpoint Protection (SCEP) sowie die Microsoft Security Essentials (MSE) von dem Problem betroffen waren.

Screenshot der Fehlermeldung vom Win-7-System des Autors. (Bild: Screenshot)

Fehlerhaftes Signaturupdate als Auslöser

Ursprünglicher Auslöser des Problems war mit hoher Wahrscheinlichkeit ein fehlerhaftes Signaturupdate; unklar ist allerdings, welche Signaturdatei verantwortlich ist. Ein Administrator schilderte, dass nach Installation des Updates KB2461484, das die Signaturdatei Version 1.313.1638.0 (vom gestrigen Donnerstag) verteilte, 400 Clients beim Scannen durch Endpoint Protection abstürzten. Andererseits datieren erste Nutzerberichte zu diesem Problem schon vom 15. April 2020 und nennen (je nach Quelle) andere, unterschiedliche Updates und Signaturversionen.

Auf der Plattform reddit.com, aber auch gegenüber der heise-Redaktion meldeten sich Nutzer, die herausgefunden hatten, dass der Bedrohungsdienst der Microsoft-Virenschutzlösung (konkret: der Windows Defender) abstürzte, sobald eine Datei gescannt wurde, in deren Dateinamen zwei Punkte für die Dateinamenerweiterung (z.B. "test..exe") auftraten. Ein solcher gefährlicher Bug, mit dem theoretisch auch Angreifer den Virenschutz gezielt hätten aushebeln können, um Schadcode auszuführen, könnte auch erklären, warum es bei manchen Anwendern zu keinem oder seltenen Absturz kam.

Ein (manuelles) Signaturupdate behebt das Problem

Zum 16. April 2020 wurde von Microsoft dann in den späteren Abendstunden (MEZ) das Signaturupdate 1.313.1687.0 freigegeben und über Windows Update bereitgestellt. Mittlerweile hat Microsoft noch zwei weitere Signaturupdates nachgeschoben; Details dazu sind den "Antimalware Definition Release Notes" zu entnehmen

Systeme, die diese(s) Update(s) bezogen und die Scan-Engine aktualisiert haben, sollten von dem Fehler nicht mehr betroffen sein. Falls sich der Fehler nicht automatisch über ein Update beheben lässt, können Anwender manuell eingreifen.

Zur Aktualisierung musste auf dem Windows 7-System des Autors manuell nach Updates gesucht und das Security Intelligence Update für Microsoft Security Essentials KB2310138 installiert werden.

Unter Windows 10 ist stattdessen das Fenster "Windows Sicherheit" zu öffnen. Dort ist die Kategorie "Viren- & Bedrohungsschutz" zu wählen und in der Seite der Hyperlink "Nach Updates suchen" unter "Updates für Viren- & Bedrohungsschutz" zu wählen. Wird der besagte Hyperlink im Windows-10-Sicherheitscenter nicht angezeigt oder lässt sich der Vorgang aus anderen Gründen nicht durchführen, kann nach Beobachtungen der Redaktion stattdessen auch das manuelle Anstoßen der allgemeinen Update-Suche ("Nach Updates suchen") helfen.

Hier ist alles okay: Unter "Einstellungen --> Info" im Win-10-Sicherheitscenter kann man sich die aktuell installierte Version der Signaturdatei (hier: 1.313.1721.0) anzeigen lassen. (Bild: Screenshot)

Im Anschluss an die "Zwangsinstallation" der aktuellen Signaturdatei (und eventuell einem Neustart) sollte der Fehler behoben sein.

Die aktuellen Probleme erinnern an ein ganz ähnliches Fehlerbild, das vor fast genau einem Jahr, am 19. März 2019, auftauchte: Damals waren auch alle Microsoft Virenschutzlösungen von einem fehlerhaften Signaturupdate lahm gelegt. Zuletzt sorgte der Windows Defender im vergangenen Monat durch einen "Scan-Skip-Bug" für Negativ-Schlagzeilen. (ovw)