Microsoft Defender blockiert Citrix-Dienste als Trojaner

[English]Aktuell gibt es das Problem, dass der Microsoft Defender nach einem Update die Citrixdienste als Trojaner erkennt und diese Dienste deaktiviert. Es gibt aber einen Workaround, die in einem Supportartikel beschrieben sind.


Anzeige

Blog-Leser Toni hat mich eben per E-Mail auf dieses Problem hingewiesen, was u.a. bei Citrix in diesem KB-Beitrag angesprochen wird. Ein reddit-Nutzer beschreibt das Ganze so:

Microsoft Windows Defender Is Detecting Citrix Broker Service And Citrix High Availability Service As Trojan

Got issue with customers Citrix services. Spent some time troubleshooting, and found that Citrix Broker service was not there.

Only when we called up Citrix, then we were told about this issue… wasted the morning.

Das Problem ist darauf zurückzuführen, dass Windows Defender die Haupt- und sekundären Citrix-Brokerdienste (BrokerService.exe und HighAvailabilityService.exe), die für die Verfolgung der aktuellen Benutzerverbindungen/-sitzungen zuständig sind, fälschlicherweise als Trojaner identifiziert und unter Quarantäne stellt. Tja, mit einem solchen Virenjäger wie dem Microsoft Defender braucht es keine Schädlinge mehr, damit nix mehr geht. Citrix schreibt in diesem Support-Beitrag vom 14. August 2020 dazu:

Virtual Apps and Desktop: Microsoft Windows Defender Is Detecting Citrix Broker Service And Citrix High Availability Service As Trojan

Symptoms or Error

  • You notice that Citrix Broker service is not present in Services console.
  • BrokerService.exe is also missing from c:\program files\Citrix\Broker\Services\
  • The issue is seen with multiple Windows Defender Versions
    installed on Delivery Controllers.
  • Citrix Studio states – enter the delivery controller address with Error "Could not contact the Broker Service."

Citrix ist sich also eines potenziellen Problems bewusst, das sich auf die Dienste Citrix Broker und Citrix HighAvailability auf den Delivery Controllern bzw. Citrix Cloud Connectors bei installiertem Microsoft Defender auswirken könnte.

Workaround: Citrix-Dienste vom Scan aussparen

Citirix beschreibt in diesem Artikel  bewährte Verfahren zur Konfiguration des Microsoft Defender, um die Citrix-Dienste von einem Scan auszunehmen. Die nachfolgende Abbildung zeigt die betroffenen Dateien:

Citrix-Ausnahmen im Defender
(Citrix-Ausnahmen im Defender, Quelle: Citrix)

Citrix beschreibt in diesem Support-Beitrag vom 14. August 2020 einen weiteren Workaround zum Reparieren der Dienste und schlägt ggf. auch ein Downgrade des Defenders vor – was aber nicht mehr notwendig ist.

Aktualisierung des Defender

Microsoft soll ein Update des Defenders (Antivirus Definition 1.321.1341.0) veröffentlicht haben, welches das Problem beheben soll. Um das Update zu erzwingen, ist eine administrative EIngabeaufforderung zu öffnen. Dann sind folgende Befehle auszuführen:

cd %ProgramFiles%\Windows Defender
MpCmdRun.exe -removedefinitions -dynamicsignatures
MpCmdRun.exe -SignatureUpdate


Anzeige

Ließe sich auch als Batchdatei mit Administratorrechten ausführen. Die Befehle erzwingen das Löschen der fehlerhaften Signaturen und ein Signatur-Update. Danach sollte es wieder laufen. Jemand von euch betroffen?

Ähnliche Artikel:
Windows Defender markiert CCleaner als PUP – Teil 1
Windows Defender löscht Windows Hosts-Datei – Teil 2
Defender blockt hosts-Einträge mit Umleitungen von Microsoft-Seiten – Teil 3
Defender stufte fälschlich Winaero Tweaker als Hacker-Tool ein
Defender-Update KB4052623 killt Offline-Scan und mehr
Microsoft Defender Antimalware Platform: Juni 2020 Update KB4052623 wirft Error 0x8024200B
SCEP/MSE/Defender: Weltweiter Ausfall von Microsofts Virenschutz durch Signatur 1.313.1638.0 (16.4.2020)


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Störung, Virenschutz, Windows abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

2 Antworten zu Microsoft Defender blockiert Citrix-Dienste als Trojaner

  1. Andy sagt:

    Jo, zwei Server hats bei uns lahmgelegt. Unser Dienstleister hat das Problem aber relativ schnell beheben können.

  2. Admin0816 sagt:

    Bei uns auch, der Broker war Freitag morgen weg.
    Kopie von vor 2 Tagen hochgefahren und dann gingen erstmal alle Anwendungen wieder.
    Hab dann gestern nur den Defender Workaround Update gemacht und danach das 08 Update für Windows Server eingespielt und das Problem kam nicht mehr.

Schreibe einen Kommentar zu Andy Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.