Microsoft Defender flutet Windows-Systemlaufwerk mit Dateien (Mai 2021)

Windows[English]Kurze Rundfrage, ob jemand von euch betroffen ist. Der Microsoft Defender, der standardmäßig in Windows enthalten ist, scheint seit einigen Stunden Amok zu laufen und Tausende von Dateien auf Windows Server (und möglicherweise Windows 10 Clients) anzulegen und dort zu hinterlassen. Ein Nutzer hat mich die Nacht auf Twitter diesbezüglich angesprochen und erste Hinweise hinterlassen. Hier ein kurzer Überblick.


Anzeige

Es war ein kurzer Tweet, der mich so gegen Mitternacht erreichtet – ich komme aber erst jetzt dazu, drüber zu bloggen. @enno0815de  fragte mich in diesem Tweet, ob mir etwas zum Effekt bekannt sei.

Microsoft Defender flutet Windows-Systemlaufwerk mit Dateien

Enno0815de verlinkte auf den Microsoft Answers-Post Windows Defender issue on server – lots of files being created, wo ein Benutzer vor einer Woche folgende Beobachtung beschrieb:

We have an issue on a Windows Server 2019 Datacenter virtual machine with Windows Defender.
We are in: Settings -> Update & Security -> Windows Security -> Virus & threat protection -> Virus & threat protection settings -> Manage settings

When Real-time protection is turned on, after about 20-30 minutes it creates hundreds/thousands of files in this location:

C:\ProgramData\Microsoft\Windows Defender\Scans\History\Store

Most of these files are either 1kb or 2kb. Over a 24 hour period we ended up with roughly 950,000 files and it was taking 30 GB of space. This does not appear to be normal. There is no threats detected and no actively running scan or updates. These files appear to be encrypted, or at least we can't open them in notepad and see any useful data. This is only happening on one server.

Anybody got any ideas?

Andere Benutzer bestätigen das, ein Microsoft-Mitarbeiter bestätigt, dass binnen 24 Stunden um die 950.000 Datensätze und 30 GB Speicher verbraten werden. Auch auf reddit.com gibt es diesen Thread zu Windows Server 2016 mit gleicher Beobachtung:

Windows Defender Server 2016 watch out!

I think there is a big problem with Windows Defender eating up storage. This has started to happen over the past week and the folder in programData\Microsoft\Windows Defender\Scans\History\Store is gigantic! Just a heads up. I first noticed when one of the veeam backups failed due to the VSS writer. I logged into the server and the c: drive had only 0.99GB on c: That was 30gb a few days ago!

Der Thread ist auch schon recht lang – es gibt also schon eine Menge Betroffener. Mir sind nur Windows Server-Fälle untergekommen. Irgend jemand von euch, der das von tangiert ist? Sind auch Fälle auf Windows 10-Clients bekannt?

Ergänzung: Gerade bei den Kollegen von deskmodder.de gelesen, dass die Modulversion 1.1.18100.5 der Scan-Engine betroffen ist. Ein Fix in Form der Modulversion: 1.1.18100.6 ist wohl für Donnerstag avisiert – siehe den letzten Post des Defender System Engineer TomDingShanghaiWicresoftCoLtd-309 hier mit der Bestätigung und der Timeline.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Anzeige


Dieser Beitrag wurde unter Sicherheit, Virenschutz, Windows Server abgelegt und mit Defender, Problem, Windows verschlagwortet. Setze ein Lesezeichen auf den Permalink.

39 Antworten zu Microsoft Defender flutet Windows-Systemlaufwerk mit Dateien (Mai 2021)

  1. Triceratops sagt:

    Das verhalten beobachte ich bei meinem Windows 10 Pro 20H2 derzeit nicht.

  2. Matschmeer sagt:

    Hier auf einem Server 2016 z.B. seit 30.04.2021 11:28.
    Noch keine großen Datenmengen aber einige tausend kleine Dateien.

    Server 2019 hier nichts festzustellen.

  3. Carsten sagt:

    Ich hatte schon gestern, nachdem ich die Meldung anderswo gelesen habe, unsere Server 2016 gecheckt. Anscheinend kommt es hier spezielle bei den Geräten vor, welche die Echtzeitüberprüfung laufen haben(steht so auch im Beitrag). Bei uns betrifft das nur den Exchange und den File Server. Jedoch konnte ich das Verhalten bei keinem der Server feststellen. Unsere Clients haben eine andere Anti-Viren-Lösung.

  4. Markus S. sagt:

    Ich habe auf einem Exchange 2016 (Windows 2012 R2) das Verhalten festgestellt. Dort habe ich die Endpoint Protection installiert (das Teil aus dem SCCM).
    Auf den 2019-Servern habe ich das dort nicht festgestellt.
    Ich hatte in der WSUS Synchronisierung die neue Definitionsversion "1.337.684.0" freigegeben. Den Ordner habe ich dann stumpf geleert (Konsole mit Admin und "del *". Es sind bis lang zumindest nicht mehr geworden. Mal sehen.

  5. Herr IngoW sagt:

    Bei "deskmodder.de" wird dieser Ordner angegeben, in dem die Dateien abgelegt werden:
    "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Store".

    Dieser Ordner hat bei mir ganze drei Dateien.

    Antimalware-Clientversion: 4.18.2103.7
    Die Modulversion ist: 1.1.18100.5
    Antiviren-Version: 1.337.679.0
    Antispyware-Version: 1.337.679.0

    Der Build ist: 19042.954, Win10 Pro, 20H2.

    • Info sagt:

      Hier 0:30 Uhr(ca. 95Mb später) auf

      Antimalware-Clientversion: 4.18.2103.7
      Modulversion: 1.1.18100.6
      Antiviren-Version: 1.339.21.0
      Antispyware-Version: 1.337.661.0

      (Nur Echtzeit-Prüfung aktiv.)
      Hatte auf dem Gerät allerdings auch nur 230 Dateien seit 04.05 im entscheidenden Ordner(auch danach).

      W10 1909 x64, 2021-04(Build 18363.1500)

  6. d00p sagt:

    Ja auch unter win 10 19.09 nachvollziehbar.
    knapp 3000 Dateien zu 2KB.

  7. Bernard sagt:

    Kann ich den Inhalt des Ordners einfach löschen?

  8. Harald.L sagt:

    Unter Win8.1 füllt sich mit Modulversion 1.1.18100.5 der gleiche Ordner ebenfalls ordentlich.

    Und auf einem Server 2012R2 (als WSUS-Server) mit installiertem "MSE Microsoft Security Essentials" und Modulversion 1.1.18100.5 auch, aber der Ordnerpfad ist hier anscheinend minimal anders: C:\ProgramData\Microsoft\Microsoft Antimalware\Scans\History\Store (wobei es hier nicht ganz so viele Dateien waren).

  9. Gerold sagt:

    Problem wurde bei Microsoft erkannt, Ursache ist wahrscheinlich Defender Engine-Version 1.1.18100.5, sollte am 6. Mai mit Update auf Version 1.1.18100.6 behoben werden.

  10. Mentor54 sagt:

    Ich konnte gerade auf zwei Rechnern die Virusdefinitionen von Defender nicht updaten (Fehler 0x80070643). Ob sonst noch etwas passiert, kann ich im Moment nicht sagen.

  11. Nexus sagt:

    Wir haben das Problem auch auf einem 2019er Std. Server. 45 GB Datenmüll… wann schafft es Migrosaft endlich wieder mal aus dieser Pannenserie? Ist ja echt peinlich.

  12. 1ST1 sagt:

    Bleeping hat auch gestern darüber berichtet. https://www.bleepingcomputer.com/news/microsoft/windows-defender-bug-fills-windows-10-boot-drive-with-thousands-of-files/

    Bei uns ist es Usus, die Server mit 100 GB C: anzulegen (ggf. auch größer), und alle Daten und Serveranwendungen auf D: etc. anzulegen. Wenn da Defender versucht hätte, 1 TB temporäre Daten auf C: anzulegen, wären alle Server dicht gewesen. Zum Glück verwenden wir keinen Defender.

    Privat bekommt von mir übrigens Windows auch nicht mehr als ca. 150-300 GB für System und Anwendungen, alles andere landet auf weiteren Partitionen. Das mache ich glaub ich seit Windows 2000 oder XP so, nachdem mir damals Bluescreens die System- und Datenpartition unrettbar zerschossen hatten (mit Backups hatte ich es da noch nicht so…), seit dem konnten dann Bluescreens auf C: wüten wie sie wollten, Daten auf D: usw. überlebten das, Win und Anwendungen kann man ja neu installieren oder aus einem Image zurückholen…

    • Günter Born sagt:

      Die Kollegen von Bleeping Computer hatte ich im englischsprachigen Blog-Post verlinkt.

      Mit den Partitionen halte ich es seit ewigen Zeiten so ähnlich. Interessant wäre, ob die Datei-Leichen nach Aktualisierung der Defender-Module zurückbleiben oder gelöscht werden. Vielleicht kann ein Betroffener das beobachten – es hat wohl nicht alle Systeme so hart getroffen – einige Leute hatten gerade mal drei Dateien im oben genannten Ordner.

  13. Olaf E. sagt:

    Bei uns explodierte das in einigen Fällen noch dateibasierte Backup, das sich an den teils pro Server 1,4 Millionen Dateien in dem Ordner verschluckte und über das gesetzte Zeitfenster hinausschoss.
    Parallel lief auf den jeweiligen Servern Sophos Server Protection.

  14. Stefan sagt:

    "Blöde" Frage: Werden die zu viel angelegten Dateien nach dem korrigiertem Update der Definitionen auch wieder gelöscht, sprich behebt sich das Problem von selbst?

  15. Mance sagt:

    Ich hatte heute morgen auch bei Windows Update die Meldung

    Fehler
    Letzte Überprüfung: Heute, 7:10

    Beim Installieren von Updates sind Probleme aufgetreten. Wir versuchen es allerdings später noch einmal. Falls dieser Fehler weiterhin auftritt und Sie Informationen im Web suchen oder sich an den Support wenden möchten, kann dieser Fehlercode hilfreich sein: (0x80070643).

    In der Zuverlässigkeitsüberwachung steht für diesen Zeitpunkt drin:
    Installationsfehler: Die Installation des folgenden Updates ist mit Fehler 0x8024200B fehlgeschlagen: Security Intelligence-Update für Microsoft Defender Antivirus – KB2267602 (Version 1.339.42.0)
    Um 7:16 ist dieses Update dann aber als erfolgreich gemeldet worden.

    In dem oben genannten Ordner
    C:\ProgramData\Microsoft\Windows Defender\Scans\History\Store
    stehen bei mir diese beiden Dateien drin; beide mit Datum 06.05.2021 09:07
    187C45C4E50F22AF769DE46BB19D86CD______846 KB
    8270CF3B0A104D07B3C30C43772E27F2_____20.091 KB

  16. Bolko sagt:

    Was war denn der Inhalt dieser Dateien?
    Sind das vielleicht die Bruchstücke, die sonst per SpyNet unwissentlich hochgeladen werden?
    Enthalten diese Dateien also Texte aus Word oder emails etc?

  17. StefanP sagt:

    Win 10 20H2, versorgt über WSUS:
    Heute morgen zufällig gesehen, dass ein Update fehlgeschlagen ist (MS Defender, KB2267602). Manuelle Wiederholung führte immer zum gleichen Fehler 0x80070643.

    In C:\ProgramData\Microsoft\Windows Defender\Scans\History\Store lief alle paar Sekunden eine neue Datei von 2KB auf, inzwischen sind es gut 17000 Stück.

    Vor ein paar Minuten habe ich nochmal manuell "Nach Updates suchen" angestoßen.
    Und siehe da: Ein Update gefunden (wie vorher auch), erfolgreich installiert, keine neuen Dateien mehr im oben genannten Verzeichnis.

    17000 Dateien gelöscht, alles wieder gut. Auf diesem Rechner, da sind noch 50 weitere…

    Wer hat die beste Idee, wie man das mit wenig Arbeit erledigt?

  18. Gunter sagt:

    Bei einem WS2019 (auf Hyper-V) habe ich über 300.000 Files gefunden im o.g. Order.
    Löschen dauert ……

  19. Mario sagt:

    Bin gerade dabei unsere Server zu überprüfen.
    Mir ist direkt bei einem Windows Server 2016 aufgefallen das 1.244.342 Dateien in dem besagtem Verzeichnis liegen.

  20. Pater sagt:

    Auch bei MSE (Win 7 ) gab es heute neben Win 10 Probleme.
    Was machen die eigentlich bei MS.
    Ich habe ab und zu Zeit als Rentner.
    Zunehmend kotzt mich das an. Für solche Fehler wäre ich früher in der freien Wirtschaft abgemahnt oder entlassen worden.
    Aber links-grün Mainstream ( also die öffentlich-rechtlichen)
    kommentiert so etwas garnicht. Irgendwann hat man dann mal die Schnauze voll.

    Aber was machen Berufstätige mit diesem Sch….
    Das ist schon ABLEHNUNGSBEDÜRFTIG

    • Triceratops sagt:

      Solche Pannen erfährt man heut zu Tage nur noch über das Internet. Die Mainstream Medien juckt das heut zu tage nicht mehr.

  21. Joe_Gerhard sagt:

    Da hat man 'mal einen Tag frei, liest hier verspätet und findet Millionen von Files auf den Systemen. Bin jetzt der Löschkönig, zum ko….

    Danke für die Info!

  22. thorsten stein sagt:

    An meinem sporadisch genutzten Notebook mit win 10 home 20h2
    zeigte sich am 01. und 08. Mai 2021 beim Defenderupdate
    KB 2267602 der Fehler 0x80070643. Mehrere Updatesuchen
    führten schließlich zur erfolgreichen Installation.
    Ursache?

Schreibe einen Kommentar zu Mentor54 Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.