Windows 10: Defender Offline Scan verursacht Bootschleife

In Teil 1 der Artikelreihe habe ich den Windows Defender-Fehler 0x80070578, der einige Nutzer plagt beschrieben. Die Lösungsansätze helfen nur, wenn man sich noch an Windows anmelden kann. Einige Nutzer werden aber vom Windows Defender Offline in eine Bootschleife gezwungen, bei dem Windows nicht mehr hoch fährt. Daher im Nachgang noch einige Informationen zum Thema.


Werbung


Informationen zum Windows Defender Offline (WDO)

Seit einiger Zeit gibt es den Windows Defender Offline (WDO), mit dem Systeme offline auf Schadsoftware analysieren lässt. In Windows 10 ist dieses Feature seit dem Anniversary Update (Version 1607) bereits eingebaut. Hier die Schritte zur Aktivierung.

Einstellungen aufrufen

1. Wählen Sie die Schaltfläche Start und dann den Befehl Einstellungen.

2. Gehen Sie in der Einstellungen-App zur Kategorie Update und Sicherheit und dann zur Unterkategorie Windows Defender.

Windows Defender Offline

3. Scrollen Sie nach unten und wählen Sie die Schaltfläche Offline überprüfen an (nur unter Administrator-Konten anwählbar).

WDO Reboot

Dann erscheint die Meldung zur Benutzerabmeldung. Das Betriebssystem wird neu gebootet und der Bootvorgang beginnt. Dann erscheint beim Systemstart kurzzeitig folgende Meldung des Boot-Managers.

Booten in Windows Defender Offline

Anschließend wird der Windows Defender Offline geladen, was mit einer Fortschrittsanzeige angezeigt wird.


Werbung

Windows Defender Offline laden

Im Anschluss erscheint die Benutzeroberfläche des Windows Defender und der Defender-Scan wird im Offline-Modus ausgeführt.

Windows Defender Offline Scan

Windows Defender Offline für den Scan grundsätzlich als Schnellüberprüfung durch (siehe obiger Screenshot, wobei sich die Überprüfung mittels einer Schaltfläche abbrechen lässt.

Windows Defender Offline Update-Infos

Bei Bedarf kann man die Registerkarte Update des Windows Defender anwählen. Dort werden die Daten des letzten Updates der Definitionsdateien angezeigt. Und dort lässt sich die Schaltfläche Updatedefinitionen wählen.

Windows Defender Offline Update

Besteht eine Internetverbindung, wird die Signatur aktualisiert – das habe ich in einer virtuellen Maschine (beim Schreiben des Blog-Beitrags) überprüft.

Es gibt auch noch die ultimativen Tipps (z.B. bei den Kollegen von deskmodder.de – wobei das jetzt definitiv keine Schelte sein soll!), die Verknüpfungen per PowerShell zum Aktivieren des WDOScans anbieten. Die Infos kann man auch hier nachlesen und Microsoft hat die PowerShell-Cmdlets für den Defender hier sowie Start-MpWDOScan hier dokumentiert. Ich habe einen einzigen Blog-Beitrag gefunden, der das Ganze hinterfragt.

Bei älteren Windows-Versionen …

Bei früheren Windows-Versionen kann man den Modus durch Booten von einem optischen Medium oder einem USB-Stick mit dem Windows Defender Offline (WDO) einleiten. Microsoft hat das Ganze hier in deutsch sowie hier und hier in englisch beschrieben. Auf der Microsoft-Seite Schutz für den PC mithilfe von Windows Defender Offline gibt es auch 32- und 64-Bit-ISO-Dateien für frühere Windows-Versionen zum Download.

PS: Falls ihr Windows Defender Offline von CD oder USB-Stick bootet und den Fehlercode 0x0000005D ausgeworfen bekommt, fehlt bei der CPU die Unterstützung für das NX-Flag (siehe Windows 10: Upgrade-Error 0x0000005C/0x0000005D).

Den Windows Defender Offline unter Windows 7 bis Windows 8.1, gebootet von einem externen Medium lasse ich mal bei folgenden Überlegungen außen vor. Wird das externe Bootmedium entfernt und das System neue gebootet, sollte ein unbeschädigtes Windows wieder erfolgreich starten.

Das Problem mit dem Windows Defender Offline-Scan in Windows 10

Bei Windows 10 haben die Entwickler dem Betriebssystem einen Build-In WDO-Modus spendiert haben (siehe obige Ausführungen). Und da gibt es imho einen “broken by design”-Fehler, der dazu führt, dass sich das System aufhängt. Ich bin durch den in Teil 1 referenzierten Post auf das Problem und die Ursache aufmerksam geworden und habe mit Recherchen begonnen.

Unter Windows 10 macht der Windows Defender Offline-Betrieb, nachfolgende auch als WDO abgekürzt, bei manchen Anwendern seit einiger Zeit mit erhebliche Probleme. WDO versucht beim Booten den Scan auszuführen, scheitert aber und fordert zum Neustart auf. Beim nächsten Neustart beginnt der WDO-Scan erneut – das System ist in einer Neustartschleife gefangen. Hier einige Fundstellen aus dem englischsprachigen Microsoft Answers-Forum (mit wenig hilfreichen Antworten).

My computer won’t boot to windows from windows defender offline
My Windows 10 is not able to Login Due to Defender
Windows Defender Offline for Windows 10
How do I get my computer to boot up regularly after running the WDO scan?

Ich muss allerdings gestehen, dass ich das Problem auch erst erfasst habe, als mir ein Betroffener in Teil 1 der Artikelreihe zum Windows Defender-Fehler 0x80070578 in einem Kommentar nochmals auf den Sachverhalt aufmerksam machte.

Beim Versuch, das Problem in einer VM nachzustellen, bin ich allerdings auf keinen grünen Zweig gekommen. Ich konnte den Scan abbrechen und die VM bootete anschließend Windows 10. Ich konnte die VM hat ausschalten (entspricht quasi den Stecker bei einem Desktop-System ziehen), das System bootete anschließend Windows 10. Den Versuch, irgend eine AV-Suite in die VM zu würgen, habe ich mir allerdings erspart.

Ein Erklärungsversuch

Was ist da bei den Anwendern passiert, wo die Systeme nicht mehr in Windows 10 booten können? Ich reime mir jetzt mal ein paar lose Sachen zusammen. In Teil 1 der Artikelreihe zum Windows Defender-Fehler 0x80070578 hatte ich ja herausgearbeitet, dass veraltete Signaturen beim Windows Defender ein Problem darstellen. Er kann keinen Scan ausführen, müsste also die Signaturdateien per Internet aktualisieren. Ist aber eine Dritthersteller Antivirus-Lösung installiert (Mc Afee, Norton, Kaspersky und wie sie alle heißen), deaktivieren diese ggf. den Windows Defender. Dieser kann u.U. keine Signatur-Updates mehr ausführen. Und ich gehe davon aus, dass veraltete Versionen der Antivirus-Lösungen da ggf. noch mit reinspucken und den Windows Defender unter Windows 10 Version 1607 nicht sauber deaktivieren (Microsoft sieht ja ab der Version 1607 vor, dass der Defender parallel zu Fremd-AV-Lösungen arbeiten könnte).

Anmerkung: Ich habe in einer Testumgebung mal AVG Free installiert. Dort wird der Defender abgeschaltet und folglich steht auch der Offline-Scan nicht zur Verfügung – die Schaltfläche ist gesperrt. Nur auf einem Windows 10 ohne Fremdvirenscanner funktionierte die hier beschriebene Variante. Falls also ein Fremdvirenscanner installiert, aber Windows Defender Offline verfügbar ist, könnte da eine unvollständige Deaktivierung mit reinspielen. Oder Installationsreste früher installierter aber entfernter Fremdvirenscanner haben einen Einfluss – ist aber spekulativ.

Kommt es intern zu Konflikten mit dem Fremdvirenscanner, werden Windows Defender-Fehler wie der Code 0x80070578 ausgeworfen. Die Falle schlägt dann bei den Anwendern zu, die einen Offline-Scan per WDO in Windows 10 einleiten. Die Signaturdateien des Defender sind dann per se veraltet. Das System startet neu, und aktiviert bereits vor dem Windows-Start den WDO-Scan. Beim Start stellt WDO fest, dass dieser Scan wegen eines Problems nicht ausgeführt werden kann (möglicherweise sind irgendwelche Einsprungpunkte “Hooks” im Defender verbogen), wirft einen Fehler und verlangt einen Neustart. Führt der Anwender diesen Neustart aus, landet er wieder im WDO-Scan und damit in der berühmten Boot-Loop.

Wie gesagt, es ist eine Vermutung – und ich konnte das Verhalten in einer virtuellen Maschine, die ich zur Untersuchung verwendete, nicht nachbilden. Dort scheint der WDO die Startumgebung beim Abbrechen und auch beim harten Reset wieder sauber zu verlassen. Es muss also mit Manipulationen, die durch Dritthersteller-Tools durchgeführt werden, zusammen hängen.

Nachtrag: Beachtet meine Ergänzung weiter unten – wie es ausschaut, kann eine beschädigte Boot-Umgebung verhindern, dass WDO die Startumgebung nicht mehr ändern und sich aus dem Boot-Prozess austragen kann.

Trotzdem Broken by design?

Eingangs schrieb ich von “broken by design” und möchte das auch begründen. Die Entwickler haben es versäumt, dem WDO eine GUI oder eine Option zu verpassen, um den eingeplanten Offline-Scan abzuschalten und in Windows 10 zu booten. Nur in einem gebooteten Windows 10 kann der Anwender die Dritthersteller-Antivirus-Lösung deinstallieren, den Windows Defender aktualisieren lassen und hoffentlich einen erfolgreichen Defender Scan auf dem Desktop ausführen. Dann sollte auch WDO erfolgreich ausgeführt werden können.

Wenn das unter WDO nicht geht, hätte die Überprüfung beim Einleiten des WDO-Modes, ob dieser sich auch beenden lässt, erfolgen müssen. Möglicherweise hätten die Entwickler beim WDO-Scan die Option einführen müssen, die den WDO-Mode genau auf den gestarteten Scan begrenzt. Wird WDO nicht sauber ausgeführt, könnte Windows 10 im Anschluss sauber booten. Hätte, hätte, Fahrradkette. So etwas Konnte (oder wollte?) man nicht implementieren.

Korrektur: Ich muss das „broken by design“ zurücknehmen – wie ich ja in den vorhergehenden Ausführungen zeige, gibt es bei WDO eine Option zum Abbrechen des Scans. Und da sollte der WDO-Boot auch aus der Startumgebung ausgetragen werden. Sind aber diese Startdateien für WDO nicht mehr zugreifbar, kann der Starteintrag auch nicht mehr ausgetragen werden.

Wie bekommt man die Kuh vom Eis?

Bleibt nun noch, die Kuh vom Eis zu bekommen. Leider habe ich bisher keine internen Details zum WDO-Boot gefunden – nur einen Hinweis in MS Answers von Stephen Boots – so dass ich noch im Dunkeln tappe, wo anzusetzen ist.

Meine erste Vermutung, dass da irgendwo etwas in der Registrierung eingetragen und beim Boot ausgewertet wird, habe ich verworfen. Bei der Websuche ergab sich nichts und nach etwas Überlegung ist das auch sinnlos. WDO soll ja, nach den weiter oben verlinkten Microsoft-Erklärungen (über den Sinn mag man streiten), auch Rootkits und Bootviren erkennen und beseitigen können.

Ich tippe daher darauf, dass Windows 10 beim Einleiten des WDO-Modus die Booteinträge so modifiziert, dass die Maschine in die WDO-Umgebung bootet. Dort wird der Scan ausgeführt und sofern erfolgreich, schreibt WDO die ursprünglichen Booteinträge zurück, um Windows 10 wieder startbar zu machen.

Beim Schreiben dieses Beitrags habe ich versucht, das Ganze unter Windows 10 Insider Preview (aktuelle Build 15986) in einer virtuellen Maschine zu testen. Trotz 1,6 GByte RAM scheiterte dies mit der Meldung, dass die für Windows PE benötigte RAM-Disk nicht genügend Speicherplatz habe. Also habe ich eine VM mit Windows 10 Pro Version 1511 per Feature Upgrade auf Version 1607 aktualisieren lassen, um das Ganze untersuchen zu können. Es ist besch …

Erste Maßnahme: Wichtige Daten retten

Bevor ihr mit Reparaturmaßnahmen beginnt, empfehle ich, wichtige Daten zu sichern. Das kann mit einem Offline-Backup-Programm (z.B. Paragon Disk Director Suite 15 oder ähnlich) erfolgen, wo ein Notfallmedium von DVD oder USB-Stick gebootet wird.

Alternativ kann man Daten in einer Windows PE-Umgebung nach einem Boot von USB-Stick (Wiederherstellungslaufwerk) oder Systemreparaturdatenträger oder erzwungene Windows PE-Umgebung in der Eingabeaufforderung auf ein USB-Medium sichern. Ich habe die Schritte in der Windows PE-Umgebung weiter unten beschrieben. Wählt man die Eingabeaufforderung, kann man über Notepad.exe den Windows-Editor starten, dessen Befehl Öffnen im Menü Datei wählen und dann den Dateityp auf Alle Dateien (*.*) stellen. Dann erhält man einen Mini-Dateimanager. Siehe auch Notfallhilfe mit Windows PE, falls Windows 8 nicht startet sowie die verlinkten Artikel zu Windows PE am Beitragsende.

Beim Dialogfeld Öffnen sollte man nur wissen, dass der Refresh nach Dateioperationen nicht klappt, man muss die Funktionstaste F5 zur Aktualisierung der Anzeige drücken. Und versteckte Dateien werden keine angezeigt.

Reparaturversuch #1: Lasse eine automatische Reparatur ausführen

Vorab: Sehr erfolgversprechend dürfte das Ganze nicht sein, aber einen Versuch ist es wert. Brecht den Startvorgang mehrfach durch Ausschalten des Rechners ab – bei Notebooks, das Akku entfernen. Wenn alles klappt, sollte beim dritten Startversuch die Windows PE-Reparaturumgebung starten.

Startreparatur

Erscheint die obige Anzeige, haben Sie gewonnen. Befolgen Sie die angezeigten Hinweise auf dem Bildschirm.

In Foren findet sich noch der Hinweis, beim Neustart (eingeleitet unter WDO) die Umschalt-Taste der Tastatur gedrückt zu halten. Dies sollte die Windows PE-Umgebung mit den erweiterten Startoptionen zur Anzeige bringen. Dann kann man wie nachfolgend skizziert weiter machen, um die erweiterten Optionen in Windows PE zur Problembehebung verwenden.

Klappt der obige Ansatz nicht, kann man noch eine Windows 10 Setup-DVD bzw. USB-Stick, einen Systemreparaturdatenträger auf CD oder ein Wiederherstellungslaufwerk auf einem USB-Stick zum Booten verwenden.

Bei einem Reparaturdatenträger kann man dann in einer Seite die Sprache für die Oberfläche auswählen und gelangt dann zur Seite Option auswählen (siehe unten). Bei einem Setup-Medium wählt man im nachfolgend gezeigten Windows Setup-Dialogfeld die Sprache und klickt auf Weiter.

Windows Setup Sprache auswählen

Dann ist im nachfolgend gezeigten Setup-Dialogfeld der Hyperlink Computerreparaturoptionen auszuwählen

Computerreparaturoptionen auswählen

Dann gelangt man in der Windows PE-Umgebung zur nachfolgend gezeigten Seite Option auswählen.

Windows PE Optionen auswählen

Klickt auf die Kachel Problembehandlung, um zur nächsten Seite zu gelangen und wählt dort Erweiterte Optionen.

Erweiterte Optionen

Dann erscheint die gleichnamige Seite mit den dort verfügbaren Optionen zur Windows-Reparatur.

Erweiterte Optionen

Dort klicken Sie auf Starthilfe und lassen die Reparatur ausführen. Wenn alles klappt, repariert Windows selbst die Bootdateien und das System sollte danach wieder booten können. Hier habe ich in Foren unterschiedliche Reaktionen gelesen – von hat geklappt bis zu hat nichts bewirkt. Notfalls versucht ihr die Starthilfe 3 Mal auszuführen.

In diesem MS Answers-Forenthread berichtet ein Anwender, dass das Booten von einem USB-Stick im UEFI-Modus “irgendwie” dafür gesorgt habe, dass die Bootschleife durchbrochen wurde. Dazu ließ er Windows PE booten, wählte aber Fortsetzen in der Seite Option auswählen.

Reparaturversuch #2: Versuche eine Systemwiederherstellung

Kommt ihr mit Reparaturversuch #1 nicht weiter, geht ihr wie im vorherigen Abschnitt vor, wählt aber in der Seite Erweiterte Optionen den Eintrag System wiederherstellen. Möglicherweise schafft Windows es, den vorherigen Zustand wiederherzustellen. Es könnte sein, dass diese Maßnahme erneut mit der Starthilfe zu kombinieren ist.

Reparaturversuch #3: Versuche eine Systemimage-Wiederherstellung

Dieser Ansatz erfordert jedoch, dass eine funktionierende Systemabbildsicherung mit Windows-Bordmitteln angefertigt wurde. Dann lässt sich diese auf das Systemlaufwerk zurücklesen (wobei zwischenzeitliche Änderungen verloren gehen).

Reparaturversuch #4: Windows 10 erneut installieren

Helfen die obigen Ansätze nicht weiter, booten Sie das System mit einem Windows 10-Installationsdatenträger und lassen das Betriebssystem erneut installieren. Dabei gehen zwar alle Dateien und Programme verloren. Aber man sollte die Maschine wieder flott bekommen.

Nachtrag: Reparturversuch #5: Hard Disk Lock beheben

Im MS Answers-Forenthread berichtet ein Betroffener, dass die Neuinstallation von Windows nicht möglich sei, weil eine gesperrte Disk gemeldet würde. Damit wird die Problematik möglicherweise klarer: Windows kann nicht mehr auf seine Bootdatien zugreifen. Das Szenario einer gesperrten Disk hatte ich in meinem Blog-Beitrag Windows 8/8.1-Setup: Hard Disk locked Fehler beheben thematisiert. Mal schauen, ob sich da aus dem aktuellen Fall noch etwas ergibt.

Abschließende Betrachtungen

Leider ist es mir nicht gelungen, eine solche, in einer Endlos-WDO-Schleife befindliche Konstellation zu erzwingen. Was man da ggf. noch probieren könnte: Windows 10 parallel zur bestehenden Installation auf einer separaten Partition installieren. Erzeugt einen Dual-Boot-Modus. Vielleicht lässt sich im Anschluss die alte Windows-Installation wieder booten (falls nur der Boot-Eintrag verbogen war, obwohl hier negiert wird, dass das funktioniert). Zumindest erhält man mit der neuen Installation eine komfortable Umgebung, um das kaputte System zu untersuchen und Dateien zu sichern. Ähnliches gilt für Leute, die über eine Windows To Go-Umgebung verfügen und das System von einem ToGo USB-Stick booten können. Diese Ansätze reichen aber weit über das Ziel dieses Artikels hinaus.

Falls jemand von euch auf Informationen stößt, wie der Windows Defender Offline-Modus beim Booten implementiert wurde, hinterlasst einen Kommentar. Gleiches gilt, falls ihr eine funktionierende Maßnahme gefunden habt. Vielleicht bringen die obigen Ausführungen ja ein paar neue Ideen oder sogar Reparaturansätze ans Tageslicht.

Artikelreihe:
Windows 10: Windows Defender bringt Fehlercode 0x80070578
Windows 10: Defender Offline Scan verursacht Bootschleife

Ähnliche Artikel:
Windows 10 Wiki/FAQ
Windows 10 V1607 Wiki
Windows 10: Defender-Update liefert Error 0x80200001
Windows Defender liefert Update-Fehler 0x80070643
Windows 10 Version 1607: Windows Update-Error 0x80D05001
Windows Update-Fehler 0x80240022 (Defender)
Windows 10: Error 0x800704CF

Windows PE im UEFI- oder BIOS-Mode booten
Notfallhilfe mit Windows PE, falls Windows 8 nicht startet
Rettungsanker, falls Windows nicht mehr bootet
Windows PE 4.0: Diese Programme laufen
I Windows PE: Reparaturdatenträger erstellen


Werbung



Dieser Beitrag wurde unter Problemlösung, Virenschutz, Windows 10 abgelegt und mit , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.