Symantec SEP-Update erzeugt BSOD in Windows (14.10.2019)

Publiziert am 16. Oktober 2019 von Günter Born

[English]Nutzer, die Symantec Endpoint Protection (Symantec SEP) unter Windows einsetzen, bekommen nach dem letzten SEP-Update wohl BlueScreens angezeigt. Ursache ist ein SEP-Update vom 14.10.2019. Hier einige Informationen zu diesem Thema.

Anzeige

Blog-Leser Ralf M. hat mich gestern Nachmittag per Mail auf das Problem aufmerksam gemacht (danke dafür). Ich hatte es aber bereits über folgenden Tweet von Woody Leonhard mitbekommen.

Es gibt BlueScreen-Probleme mit Symantec Endpoint Protection (Symantec SEP). Dabei sind wohl alle Windows-Versionen betroffen. Dem obigen Tweet nach zu urteilen, hat Symantec das Problem bereits eingeräumt. Ich hatte gestern keine Zeit, einen Beitrag zu veröffentlichen, daher der Nachtrag.

Die Fehlerbeschreibung

Woody Leonhard hat einen Hinweis eines Freunds mit dem Hinweis auf das Problem bekommen. Laut Woody schreibt:

Symantec Endpoint Protection throwing blue screens

Not sure what's causing the problems (maybe a buggy update to Symantec?) but I'm seeing complaints all over about Symantec Endpoint Protection throwing bluescreens.

Ein Freund äußerte dort, dass sie auf fast allen Systemen mit Symantec SEP diese BlueScreens sehen, wenn die Funktion Proactive Threat Protection aktiviert ist.

It's only if we have the Proactive threat protection I think?

In diesem Thread im Symantec-Forum wird unter dem Titel: BSOD caused by SEP update? auf eine Diskussion bei reddit.com verwiesen. Nach einem Symantec SEP-Update zum 14. Oktober 2019 hat ein Benutzer BlueScreens auf seinen Maschinen bekommen. Der BSOD tritt auf, bevor er irgend tun oder prüfen kann. Sas Problem tritt also während deDas scheint wohl alle Windows-Versionen zu betreffen – es gibt Postings zu Windows 7, Windows 8.1 und Windows 10. Auch Windows Server sind betroffen und führen zufällige Neustart aus.

Ein Nutzer beschreibt, wie er aus der Situation durch den abgesicherten Modus und Deinstallation des Updates aus der BSOD-Schleife heraus kam.

We were seeing it on Windows 8 and 10. It would Blue Screen before we could do anything so we had to safe mode and clean wipe.

Ein weiterer Nutzer vermutet einen Zusammenhang mit einer fehlerhaften IPS Signature R61 und schreibt, dass die TECH256643-Signatur R62 das behebe. Ein Vorschlag eines Nutzers war, die Kommunikation mit Symantec.com in der Firewall zu blocken.

Anzeige

Did anyone try a temp FW block to "Symantec.com"? I'd think it would be way too much work to manually touch all your systems to roll them back/forward. If you can stop the BSOD with a FW, then your system is up… IMHO.

Das scheint bei Leuten geholfen zu haben. Die andere Lösung ist, das fehlerhafte Update für Symantec SEP zu blockieren.

Symantec räumt das Problem ein

Symantec hat am 15. Oktober 2019 einen offiziellen Supportbeitrag TECH256643 veröffentlicht, in dem der Fehler bestätigt wird. Symantec schreibt dazu.

Endpoint Protection Client gets a Blue Screen Of Death (BSOD) BAD_POOL_CALLER (c2) or KERNEL_MODE_HEAP_CORRUPTION (13A)

When run LiveUpdate, Endpoint Protection Client gets a Blue Screen Of Death (BSOD) indicates IDSvix86.sys/IDSvia64.sys is the cause of the exception BAD_POOL_CALLER (c2) or KERNEL_MODE_HEAP_CORRUPTION (13A).

When BSOD happens, Intrusion Prevention signature version is 2019/10/14 r61.

Als Workaround hat Symantec für die vom BSOD betroffenen Systeme ein Update für die betroffene Intrusion Prevention Signature Version 2019/10/14 r61 veröffentlicht. Mit der Signatur 2019/10/14 r62 soll das Problem behoben sein. Man soll LiveUpdate erneut ausführen, um die neueste Intrusion Prevention-Signatur herunterzuladen.

Falls BSODs auftreten, die das LiveUpdate von SEPM verhindern, sollte die betreffenden Maschinen im Safe Mode mit Netzwerk booten und dort das LiveUpdate erneut versuchen. Dann die Maschine wieder booten lassen. Wer durch die auftretenden BlueSceens auch dort nicht in der Lage ist, das Symantec LiveUpdate erneut ausführen, kann folgenden Hinweis aus dem reddit.com-Thread befolgen:

For those with the issue of not being able to grab the definition without a bsod, grab this and install offline

Link: 20191014-062-IPS_IU_SEP.jdb

Das gilt für Symantec Endpoint Protection 12.1 oder später. Irgend jemand von euch, der durch den Fehler betroffen ist?

Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen
Dieser Beitrag wurde unter Virenschutz, Windows 10 abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

2 Antworten zu Symantec SEP-Update erzeugt BSOD in Windows (14.10.2019)

  1. Marcus R. sagt:
    16. Oktober 2019 um 10:03 Uhr

    Tritt der Fehler nach einem Versionsupdate von SEP auf (wenn ja, welche Version ist betroffen), oder ein einfaches Signaturupdate?

    Antworten
  2. Dave sagt:
    29. Oktober 2019 um 10:32 Uhr

    Der Fehler liegt am Signaturupdate 2019/10/14 r61 mit der Revision r62 wurde das Problem behoben. Hier weitere Infos:

    https://cfgcloud.io/2019/10/17/symantec-endpoint-protection-client-causing-a-windows-bsod-an-extreme-approach-to-intrusion-prevention/

    Wir hatten bei uns keine BSOD trotz SEP 14.2.

    Antworten

Schreibe einen Kommentar zu Marcus R. Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.