Killt das Defender Definition Update (1.381.2363.0) Windows bei Verwaltung per Intune

WindowsEs sieht so aus, als ob Windows-Administratoren erneut durch den Microsoft Defender "ins Feuer geschickt werden". Sofern die Windows-Systeme per Intune verwaltet werden und das Defender Definition Update 1.381.2363.0 erhalten haben, gibt es Probleme. Sieht so aus, als ob der TIWorker tabula rasa veranstaltet und Dateien löscht. Nachtrag: Ein Leser berichtet über massive Beschwerden von Nutzern über ein kaputtes Windows 10-Startmenü, eine kaputte Taskleiste etc.


Anzeige

Ich bin über Mastodon auf eine entsprechende Meldung eines Administrators hingewiesen worden (danke an Hans-Peter H. für den Ping). Ivan Sieder hat folgendes gepostet.

Defender issue

Die Aussage von Ivan Sieder ist, dass vieles darauf hindeutet, dass Microsoft Defender Definition Update 1.381.2363.0 zu Problemen mit Windows-Systemen führen kann. Voraussetzung sei, dass diese Systeme über Intune angemeldet sind. Der Betroffene schreibt, dass er ein Muster auf diversen Geräten sieht, die das genannte Definition Update vor einigen Stunden erhalten haben.

Das Microsoft Defender Definition Update 1.381.2363.0 wurde laut dieser Seite am 18. Januar 2023 um 5:41:07 AM (wohl Pazifik-Zeit) freigegeben. Es soll u.a. den Dridex-Trojaner finden und eliminieren. Aktuell ist bereits das Signatur-Update 1.381.2379.0 freigegeben, welches eine Reihe weiterer Trojaner bekämpfen soll.

In einem Update ergänzt Sieder dann, dass der TiWorker.exe-Prozess zufällig Systemdateien löscht, nachdem das oben erwähnte Definitionsupdate installiert wurde.

Der TiWorker.exe ist eine Komponente des Betriebssystems – der Windows Module Installer Worker des Trusted Installer – die häufig für hohe CPU-Auslastung oder ähnliches verantwortlich ist (siehe Hohe CPU-Last durch TiWorker nach Update KB4480977?). Das Modul wird aktiv, wenn neue Updates zur Verfügung stehen, die heruntergeladen und installiert werden müssen.

Ich habe mal auf Twitter und im Internet gesucht, bisher aber keine weiteren Fundstellen gefunden. Ist noch jemand von diesem Effekt betroffen? Wäre der zweite Fehler binnen Tagen, wo der Defender für argen Ärger sorgt. Vor einigen Tagen wurden durch ein fehlerhaftes Defender-Update Verknüpfungen auf dem Windows-Desktop etc. gelöscht (siehe folgende Artikel).

Startmenü, Taskleiste etc. kaputt – andere Ursache

Ergänzung: Ich versuche mal einen Schrotschuss – Blog-Leser Marius L. hat sich per Mail gemeldet und schrieb:

Aber ich melde mich eigentlich wegen eines anderen Anliegens, seit heute Morgen haben wir vermehrt die Meldung bekommen, dass sich das Startmenü und andere Windowsfunktionen in der Taskleiste nicht mehr benützten lassen.

Es wurden aber keine Updates installiert, die dieses Phänomen erklären könnten. Bei einem User konnten wir das Problem mit dem löschen des lokalen Benutzerprofils lösen, was aber leider eine quick and dirty Lösung ist.

Hast du hierzu andere Meldungen bzw. könntest du hier mal deine Reichte etwas nutzen, bisher konnte ich nichts vergleichliches im Internet finden?

Windowsversion wäre Win 10 die 21H2 mit installierten Dezember Updates.

Der Eingangssatz bezog sich auf einen Vorsatz mit dem Hinweis auf die heutige Telekom-Störung, den ich hier im Beitrag nicht veröffentliche. Die Fehlerbeschreibung lässt mich spontan vermuten: "Da hat der TIWorker die Shell beschädigt", mag mich aber täuschen (löschen des Profils als Notlösung spricht eigentlich gegen meine Theorie). Kann jemand solnst aus der Leserschaft den obigen Effekt bestätigen?

Ergänzung 2: Marius hat sich nochmals per Mail gemeldet – die initiale Theorie hat sich verflüchtigt.


Anzeige

Nein wir haben Trend Micro Apex One im Einsatz die Geräte wurden über SCCM/MECM installiert werden aber nicht über Intune verwaltet. Daher dachte ich das wir da nicht betroffen sind.

Gleichzeitig werden auch die Office365 Anmeldungen gelöscht und kann auch nicht neu angemeldet werden.

Hier womöglich mal den Hinweis auf ClickShare in den Kommentaren beachten – siehe auch meinen älteren Blog-Beitrag Windows 10: Kaputtes Startmenü, OneDrive, Outlook wegen Barco ClickShare.

Ergänzung 3: Diese Ursache (Clickshare) wurde bestätigt – ich habe es mal separat im Beitrag Windows 10: Taskleiste und Office-Anwendungen streiken (18. Jan. 2023) herausgezogen.

Ähnliche Artikel:
Microsoft ASR/Defender-Update löscht Desktop-Shortcuts, Taskleiste kaputt, Office-Apps starten nicht mehr
Windows löscht Verknüpfungen; Microsoft erklärt Windows Defender ASR-Problem vom 13. Jan. 2023
Microsoft Defender auf Windows Server via Intune verwalten


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Störung, Virenschutz, Windows abgelegt und mit , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

11 Antworten zu Killt das Defender Definition Update (1.381.2363.0) Windows bei Verwaltung per Intune

  1. Herr IngoW sagt:

    Inzwischen ist der Defender bei mir aktualisiert worden:
    Antiviren-Version: 1.381.2379.0
    Antispyware-Version: 1.381.2379.0
    Version erstellt am: 18.01.2023 09:09
    Letztes Update: 18.01.2023 14:50

  2. Anonymous sagt:

    Eventuell liegt das Problem auch an der installierten ClickShare App.

    Bei uns kam es heute vermehrt zu Problemen mit der Taskbar und den Office Apps.

    Die Ursache ist hier dokumentiert und auch ein Script zum beheben.
    https://www.barco.com/en/support/knowledge-base/6077-unresponsive-windows-taskbar-with-clickshare-app

    und auch auf Reddit zu finden
    https://web.archive.org/web/20230118075709/https://www.reddit.com/r/sysadmin/comments/10f05cp/windows_10_searchbar_and_start_button_does_not/

    • Günter Born sagt:

      Danke – dachte, es wäre ein uraltes Problem (siehe mein Hinweis im Text) – aber Marius hat gerade die Ursache Clickshare bestätigt.

      • Marius sagt:

        Habe das Script welches von Barco bereitgestellt wurde ausgeführt. Erst hatte er mir beim normalen Ausführen mitgeteilt, dass dieses Problem hier nicht auftritt. Dann habe ich das Skript mit dem Parameter -force ausgeführt und danach neu gestartet. Et voilà. Danach hat es funktioniert.
        Da wir aber nur das Extension Pack einsetzen und dieses meines Wissens nicht die Outlook API nutzt. Ist ja anscheinend – laut Barco – Auslöser für das Problem.
        Muss es ja fast einen anderen Auslöser haben.

  3. Paul sagt:

    Dazu passend :

    "Mikrosoft entlässt 11000 Mitarbeiter "

    Ergibt ja voll Sinn.
    Nur wer arbeitet kann Fehler machen.
    Wenn keiner mehr arbeitet gibt es auch keine Fehler.
    Problem mit der mangelhaften Produktqualität gelöst!

    Stell Dir vor Mikrosoft verschenkt ein Betriebssystem und keiner will es haben.

  4. Marc L. sagt:

    Kann ich bestätigen, bei uns sind (bisher) drei Kunden betroffen.
    Sieht so aus, als wären die Berechtigungen von HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders kaputt, Benutzer haben keinen Zugriff mehr. Wenn man die Vererbung wieder aktiviert auf diesen Zweig, scheint alles wieder ok zu sein. Wir sind aber auch noch in der ersten Findungsphase – möglicherweise gibt's noch mehr Probleme zu finden …

  5. Julian sagt:

    Wir haben es heute auch bei fast all unseren Kunden feststellen müssen-
    Zuerst war der Verdacht nahe dass es wirklich an der Konstellation Windows Defender Pattern – M365 Enterprise Apps – Barco Clickshare liegt.
    Jetzt allerdings kam noch ein Kunde dazu, welcher seit November keine Windows Updates mehr installiert hat (Frozen Zone) und Symantec Endpoint Protection statt Windows Defender einsetzt. Ja, auch hier kommt Barco Clickshare zum Einsatz.
    ABER, wo ist der Trigger ???

    Und jetzt sind wir noch ratloser als vorher, Microsoft schweigt leider immer noch..

    • Günter Born sagt:

      Der Trigger ist nach meinem Verständnis, dass Barco Clickshare über den Kalender auf die API zugreift und es dann zu den Registry-Konflikten mit den Zugriffsberechtigungen kommt. Irgend etwas ist da total sauer in der MS-API, denn Rudi Ooms hat den gleichen Effekt vor Jahren festgestellt.

  6. Christian sagt:

    Wir sind auch von dem Problem betroffen, die Ursache ist ein Update der ClickShare Desktop App auf Version v04.27.00.08 vom 17.01.2023. Das Update beinhaltet eine neue Datei, RegRecover.exe. Mit dem Process Monitor kann man sehen das diese die Berechtigung von

    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders

    kaputt macht. Scheint aber noch mehr zu sein, unter anderem auch die AAD Komponente. Folgendes funktioniert nicht mehr:
    – Company Portal App öffnet nicht
    – Teams und OneDrive Anmeldung gut nicht
    – Startmenü reagiert nicht

    Das Update wurde von Barco zurückgezogen und man schweigt sich bisher aus, auf ein Ticket wurde bisher nicht reagiert.

    Das oben verlinkte Script behebt das Problem, OneDrive braucht aber teilweise mehrere Stunden bis es wieder funktioniert, die Anmeldung scheitert wegen Conditional Access mit der Meldung "ein Wechsel von hier nach da…".

    • Günter Born sagt:

      Der Verdacht, dass es das Update von Barco war, geistert zwar herum. Ich bin persönlich aber nicht so überzeugt, ob es wirklich so ist. Mein Bauchgefühl – auch am Rande im Artikel Windows 10: Taskleiste und Office-Anwendungen streiken (18. Jan. 2023) adressiert – in der Microsoft Outlook-API ist ein Bug, der schlicht dazu führt, dass die Berechtigungen im Registrierungszweig:

      HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders


      kaputt gehen. In den Kommentaren zu meinem obigen Artikel finden sich einige Indizien – und ich habe die Links zu den Artikeln der Kollegen von neowin.net und Bleeping Computer – die über meinen englischsprachigen Beitrag auf das Thema gestoßen sind und nun schreiben, dass MS das inoffiziell untersucht – im Text verlinkt. Für die Nutzerschaft bleibt zu hoffen, dass Microsoft fündig wird. Ich mag nicht ausschließen, dass ein Windows Januar 2023 Update da auch noch einen Anteil dran hat, dass der Bug jetzt gehäuft auftrat – ist aber nur Spekulation.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.