Windows: Juli 2019-Updates machen Probleme mit sfc

[English]Die von Microsoft freigegebenen Windows-Update für Juli 2019 führen dazu, dass kaputte Dateien unter Windows entstehen, die durch den Befehl sfc nicht repariert werden können. Wie es ausschaut, sind aber nicht die kumulativen Sicherheitsupdates für Windows, sondern eine unsauber eingepflegte Signaturdatei des Windows Defender der Verursacher.


Anzeige

Worum geht es bei sfc?

Unter Windows kann mit in einer administrativen Eingabeaufforderung das System auf beschädigte Dateien prüfen lassen. Dazu wird einfach der Befehl:

sfc /scannow

ausgeführt. Findet der Befehl beschädigte Dateien, sollte der System File Checker (sfc) diese Dateien auch reparieren können. Es kommt aber immer wieder vor, dass diese Reparatur nicht ausgeführt werden kann. Genau dies trifft jetzt auf sfc zu, welches nach Installation der Juli 2019-Updates in Windows beschädigte Dateien findet, diese aber nicht reparieren kann.

Ich habe bereits am 2. Juli 2019 diesen Kommentar von Blog-Leser Marco bekommen, dem Fehler bei der sfc-Prüfung aufgefallen waren:

Stand heute Juli 2019 – entdecke grad weitere Probleme mit SFC /scannow unter Windows Server 2016 1607 (Build 14393.3025) – SFC bleibt bei 45% hängen (seit über einem Tag) – auch nach Neustart keine Besserung – der DISM Befehl lief vorher ohne Probleme durch – DISM /online /cleanup-image /restorehealth – im CBS.log erscheinen Warnungen wie "Primitive installers committed for repair" oder "Failed to internally open package. [HRESULT = 0x800f0805 – CBS_E_INVALID_PACKAGE]" oder "Failed to OpenPackage using worker session [HRESULT = 0x800f0805]"
Ist hier jemanden etwas bekannt?

Er hat diesen Kommentar zu meinem Blog-Beitrag Windows Server 2016: Mai 2018-Update killt sfc von Juni 2018 gepostet. Es gab dort aber keine weiteren Rückmeldungen.

Hinweise zu Windows 10

Dann sind mit gestern bereits weitere Hinweise bereits bei den Kollegen von deskmodder.de in den Nutzerkommentaren aufgefallen.

Die Kommentare hier und hier thematisieren das. Ein Nutzer hat das Juli 2019-Update auf drei Windows 10 V1903-Systemen ausgeführt und Probleme mit dem Befehl sfc festgestellt. Das wird durch andere Nutzer in den Kommentaren bestätigt.

Auch bei askwoody.com diesen Hinweis von Susan Bradley gefunden, die mit einem kurzen Text auf das Problem hinweist.

Starting today, Windows 10 users are finding that the /sfc scannow feature is no longer working and that it states it found, but could not fix, corrupted Windows Defender PowerShell files.

Instead, it appears to be related to the latest definition updates for Windows Defender, which were released this morning and are version 1.297.823.0.

Dort kommt der Hinweis, dass der Scan-Fehler durch die letzten Signaturdateien des Windows Defender (Version 1.297.823.0) hervorgerufen werden. Susan verweist auf den Beitrag hier von Kollege Lawrence Abrams auf Bleeping Computer (siehe unten).


Anzeige

In diesem Posting auf askwoody.com wird für Windows 8.1 beklagt, dass sfc bereits seit 2 Jahren, seit WMF 5.1 kaputt sei.

Auch Hinweise unter Windows 7?

Blog-Leser Dennis T. hat sich die Nacht in diesem Kommentar zum Blog-Beitrag Patchday: Updates für Windows 7/8.1/Server (9. Juli 2019) gemeldet, weil er unter Windows 7 ebenfalls Probleme hat. Er schreibt.

Habe gestern KB4507456 (Security Only) für Windows 7 für 32 bit installiert und nach Ausführung von sfc /scannow eine Fehlermeldung erhalten. Im Log werden die Dateien "tsgqec.dll" und "rdvidcrl.dll" welche nicht repariert werden können (hash mismatch). Vor der Installation von KB4507456 liefen sfc /scannow und dism /online /Cleanup-Image /scanhealth sauber durch. Hier meine Frage und Bitte: Hat oder kann jemand nach Installation von KB4507456 sfc /scannow ausführen und mitteilen ob dies ohne Fehlermeldung erfolgt? Ich habe 2 Rechner getestet, beide werfen den gleichen Fehler aus. Besten Dank im vorraus

Das Ganze lässt sich also nicht auf Windows 10 Version 1903 (oder ältere Versionen) begrenzen. Allerdings könnte hier ein anderer Fall vorliegen.

Analyse: Defender Signaturdatei ist schuld

MVP-Kollege Lawrence Abrams waren Kommentare in Postings auf wildersecurity.com aufgefallen, wo das Problem gleich von mehreren Nutzern beschrieben wurde. Abrams konnte das Ganze dann in einer virtuellen Maschine unter Windows 10 nachstellen, wenn der Windows Defender als Virenschutz konfiguriert war. Allerdings hatte er noch keine Juli 2019-Updates installiert, konnte diese daher als Ursache ausschließen. Er hat es im Beitrag hier beschrieben.

sfc /scannow-Fehler
(sfc /scannow-Fehler)

Der obige Screenshot zeigt die Fehlermeldung. Der Befehl sfc legt seine Fehlermeldungenen in folgender Datei ab:

C:\Windows\Logs\CBS\CBS.log

Eine Auswertung durch Abrams ergab, dass sfc die Hash-Werte der Windows Defender PowerShell-Komponente im Ordner

C:\Windows\System32\WindowsPowerShell\v1.0\Modules\Defender

als nicht übereinstimmend mit den Komponentendateien im WinSxS-Ordner bemängelt. Abrams schreibt, dass die Komponentendateien per Hardlink referenziert werden. Die Fehlerhinweise auf abweichende Hash-Werte sind also unlogisch.

Die Kollegen von deskmodder.de haben das Thema ebenfalls in diesem Beitrag aufgegriffen. Sie schreiben, dass es wohl zu einem Fehler komme, weil die 32-Bit und die 64-Bit-Hash-Werte fälschlich miteinander verglichen würden.

In einer weiteren Analyse schreibt Abrams, dass das Problem wohl durch die neuesten Definitions-Updates für den Windows Defender auf die Version 1.297.823.0 verursacht wird, die zum 10. Juli 2019 veröffentlicht wurden. Einigen Nutzern ist es dann gelungen, die beschädigten Dateien mit folgenden dism-Befehlen zu reparieren:

DISM /Online /Cleanup-Image /CheckHealth
DISM /Online /Cleanup-Image /ScanHealth
DISM /Online /Cleanup-Image /RestoreHealth

Im Prinzip braucht man aber nur den letzten Befehl mit /RestoreHealth zur Reparatur einzusetzen. Falls das nicht hinhaus, muss man abwarten, ob Microsoft da neue Definitions-Updates für den Windows Defender freigibt oder sonst wie korrigiert.

Anmerkung: Ich habe auf meiner Testmaschine versucht, die Erkenntnisse von Lawrence Abrams nachzuvollziehen. Ja, es gibt Fehler in den CBS.logs – aber ein falscher Hash-Wert wird hier nicht reklamiert. Vielmehr hat ein .NET Framework-Update da Dateien zerdeppert. Wäre möglicherweise die Erklärung, dass manchen Nutzern die Reparatur per DISM gelingt, und zwar dann, wenn die fehlerhafte Defender Signaturdatei nicht vorhanden ist.

Ergänzung: Bei deskmodder.de hat Benutzer DK2000 in diesem Kommentar noch eine Analyse, was passiert ist, nachgeschoben. Zitat:

Jetzt verstehe ich auch, was da schief gelaufen ist:

Es geht nicht darum, dass 32bit mit 64bit verwechselt wurde, sondern dass KB4052623 am Komponentenspeicher vorbei die Dateien im 64bit Paket direkt aktualisiert, ohne Katalog und ohne Bescheid zu sagen. Der Komponentenspeicher weiß überhaupt nichts von den neuen Dateien und geht noch von den alten Dateien aus. Daher erwartet sfc hier ebenfalls die alten Dateien, genauso wie DISM mit RetoreHelath.

Das ist äußerst unsauber, wie KB4052623 das Update ausführt.

Ähnliche Artikel
Microsoft Office Patchday (2. Juli 2019)
Microsoft Security Update Summary (9. Juli 2019)
Patchday: Updates für Windows 7/8.1/Server (9. Juli 2019)
Patchday Windows 10-Updates (9. Juli 2019)
Patchday Microsoft Office Updates (9. Juli 2019)

Windows Server 2016: Mai 2018-Update killt sfc
Windows 10 V1903: Update KB4507453 mit Reboot-Schleife
Windows 7 Update KB4507456 mit Telemetrie im Beipack


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Update, Windows abgelegt und mit , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

13 Antworten zu Windows: Juli 2019-Updates machen Probleme mit sfc

  1. Henry Barson sagt:

    Ja das ist ein Jammer das sfc so fahrlässig demoliert wird, immerhin DISM restorehealth läuft bisher immer _noch_ ordentlich durch, aber seltsam ist es schon.

    Ich hatte das Phänomen just gestern, als sich einen Windows 10 Client (1903) beim Neustart nach den Juli-Updates bei 30% einfrohr, um nach dem erzwungenen Abschalten zu vermeiden, dass da jetzt etwaige Fehler vorhanden sind, auf Grund des Freeze beim Update-Installations-Neustart.

  2. Bernard sagt:

    Das kann doch alles nicht wahr sein!

    Microsoft verdient GELD, GELD, GELD ohne Ende und liefert so etwas ab.

    Windows as a service?

  3. Roland Moser sagt:

    windows defender deaktivieren und dann sollte es wieder laufen?

  4. Steter Tropfen sagt:

    Wie war das nach dem vorletzten verbuggten Update? „Finger weg von externen Schutzprogrammen, mit Windows Defender ist man vollkommen auf der sicheren Seite." Ist ja auch von Microsoft…

  5. Paul Brusewitz sagt:

    Ach…

    Einfach mal mit der Schnappatmung aufhören.

    Wenn die Ursache eine Defender-Signaturdatei ist, kann man davon ausgehen, das das Ganze am nächsten Tag repariert ist, wenn nicht sogar am selben Tag.

    Welcher Otto-Normal-Verbraucher lässt schon regelmäßig sfc oder gar dism laufen?

    Und professionelle Admins, die mehrfach wöchentlich die Systemgesundheit checken und dann solche Fehler entdecken, gehen der Ursache auf den Grund und finden Lösungen. Dafür werden Sie bezahlt und Microsoft sichert so deren Arbeitsplätze.

    Und Günther hat was in seinem Blog zu schreiben… ;-)

    Freundliche Grüße
    P.B.

    • Lutz Große sagt:

      Naja, Otto-Normalo sicher nicht. Nur war mein Wissensstand bislang der, dass die Microsoft-Apps nur mit ordentlicher Signatur ausgestattete Dateien ausführen.
      Da macht wohl der Defender eine "kleine Ausnahme" und stellt die Diskrepanz zum Komponentenspeicher nicht mal fest ….
      Ich überlasse es den "Hackern" dieser irren Welt, diese kleine Sicherheitslücke maßlos zu nutzen :-)
      In der Zwischenzeit kann man noch darüber nachdenken, ob nicht doch Microsoft den Überblick über "Microsoft" verloren hat.
      Was sagte ein mal Bill Gates vor Jahren?
      'Eines Tages werden Flugzeuge mit Windows fliegen'
      Es wird Zeit über Alternativen nachzudenken – oder zu Fuß zu gehen :-)

  6. pufaxx sagt:

    Ich lasse "sfc /scannow" immer nach jedem größeren Windows-Update laufen, ist so eine Art "Ritual", seit ich mit einem älteren AMD-Rechner im Laufe der Zeit Schwierigkeiten bekommen hatte.

    Mit meinem jetzigen PC und meinem (wirklich uralten) Core2Duo-Ersatz-PC hingegen hat "sfc /scannow" nach Updates nie etwas zu beanstanden gehabt. Bis auf vorgestern … aber das Problem hat sich mehr oder weniger "von selbst" gelöst – siehe hier: https://www.drwindows.de/windows-10-desktop/159181-sfc-scannow-findet-fehler-kb4507453.html

  7. Dominik sagt:

    Bei mir wird sfc /scannow nur für ein paar Sekunden angezeigt dann verschwindet das Fenster wieder. Was ist da jetzt passiert?

  8. Jens sagt:

    Weiß jemand wie ich Windows von der Ausführung des Juli-Updates für Windwos10 abhalte? Dies führt laufend zu Problemen bei der Systemausführung, d.h. der Computer friert nach spätestens 10 Minuten ein und es hilft nur noch der Hammer zum Neustart.
    Eine Deaktivierung in der Systemsteuerung reaktivert Windows automatisch wieder und startet von selbst das update.

    2019-07 Kumulatives Update für Windows 10 Version 1803 für x64-basierte Systeme (KB4507435)

  9. Horst sagt:

    Also bei mir hat es mit den DISM Befehlen funktioniert. Danach habe ich sfc/scannow ausgeführt und bekam : "Windows Resourcenschutz hat beschädigte Dateien gefunden und erfolgreich repariert." zurück.
    So sieht das CBS log aus:
    2019-07-19 11:32:06, Info CSI 000002e3 [SR] Repairing corrupted file \??\C:\WINDOWS\System32\WindowsPowerShell\v1.0\Modules\Defender\\MSFT_MpComputerStatus.cdxml from store
    2019-07-19 11:32:06, Info CSI 000002e4 Hashes for file member [l:19]'MSFT_MpThreat.cdxml' do not match.
    Expected: {l:32 ml:33 b:ae595236832a3884d2aa3f913454ac6ff4c735f55e819c7f391c94b653281f92}.
    Actual: {l:32 b:041682c406c44fddb981da12eb58f767ff4dc73c7422a04649153acd691ade61}.
    Es wurde vom store ersetzt, bedeutet die alten Files sind wieder aktiv.
    Spannend wird jetzt; erkennt das OS die alten Files und updatet neu, oder tut Win 10 gar nix weil der update KB4507456 ja erfolgreich installiert wurde.

  10. Michael sagt:

    Microsoft und ihre Updates… Manchmal hasse ich sie dafür…
    Die Feature Updates machen ständig Probleme und nun.. Uns hat es fast den Exchange Server zerlegt..
    Seitens MS einfach totschweigen und man sitzt Wochenlang mit nem Fragezeichen auf der Stirn da, wo das Problem nun schon wieder her rührt…

  11. David Boettger sagt:

    Sorry, dass ich nochmal frage, aber hat Microsoft jetzt den Bug behoben
    und kann man bedenkenlos das Update jetzt installieren ohne dauerhaft
    Probleme mit sfc zu haben (habe windows 7 und windows 10 rechner).
    Frueher hatte ich noch mehr Probleme mit Patches und Microsoft
    antwortete man koenne nach 2 Monaten nichts tun das Update nun problemlos installieren (da gab es noch einzelne KB Selektionsmoeglichkeit…) ;-(

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.