none
MsMpEng hat permanente CPU Last und führt zu verzögerten Programmaufrufen - Echtzeitscan

    Question

  • Hallo.

    Wir haben bei uns in der Firma seit ca. 2-3 Wochen das Problem dass der Echtzeitscan des Windows Defenders bei einzelnen Rechnern zur permanenten CPU Last von ca. 35% führt. Dann lassen sich Anwendungen auch nur mit starker Verzögerung aufrufen und sogar das auswählen einer E-Mail im Outlook dauert ewig.

    Der Defender wird bei uns über den SCCM (Version 1802) Endpoint Protection gemanagt. Update der Definitionsdateien läuft über den WSUS.

    Es betrifft in erster Linie Windows 10 Clients. (bisher sind mir ca. 10 Clients bekannt. Bei den Anderen ca. 600 Clients funktioniert es)

    Bisher ausprobiert:
    - Definitionsdateien alle gelöscht und neu synchronisiert.

    - Alle Richtlinien überprüft.

    - Mit neuem Benutzerprofil angemeldet. (Gleicher Effekt)

    - Windowsupdateordnerbereinigt und neu mit dem WSUS Synchronisiert.

    - Update des Configuration Manager Clients auf die neuste Version 5.00.8634.1814

    - Windows Defender Ordner und auch den Prozess zu den Ausnahmen hinzugefügt.

    - Treiber und BIOS Updates durchgeführt.

    - Alle Gruppenrichtlinien deaktiviert und auch als lokaler Administrator angemeldet.

    nichts hat geholfen.

    Das einzige was vereinzelt geholfen hat war die Deinstallation des Configuration Manager Clients und nach einem erfolgten Neustart die Installation des aktuellen Clients. Danach war das System zumindest wieder bedienbar.

    Dies funktioniert aber nicht bei allen.

    Was bei diesen Systemen geholfen hat war die Deinstallation des Configuration Manager Clients und das löschen des Verzeichnisses C:\Windows\CCM danach konnte man die Systeme zumindest auch wieder bedienen. Beinahe Störungsfrei.

    Sobald der SCCM Client wieder installiert wurde hatte das System wieder den besagten Prozess mit ca. 35% CPU Laust und die Programmaufrufe wurden blockiert bzw. verzögert.

    Surfen und das lesen von E-Mails im Outlook wurden dadurch automatisch stark verzögert. (Outlook 2010 - 2016 getestet) Die Verzögerungen reichen von mehreren Sekunden bis sogar einigen Minuten.

    Hardwareressourcen sind mehr als ausreichend.
    Lenovo Businessnotebooks mit 8 - 24 GB RAM und aktuelle i5 CPU mit SSD.

    Ich hoffe dass hier einer eine Idee hat da mir diese langsam ausgehen.
    Danke

    Thursday, August 2, 2018 1:57 PM

Answers

  • Wurden die Exclusions auch für den ConfigMgr Client gesetzt?

    siehe: https://blogs.technet.microsoft.com/systemcenterpfe/2017/05/24/configuration-manager-current-branch-antivirus-update/


    Simon Dettling | msitproblog.com | @SimonDettling

    Please remember to mark the post(s), which answered your question.

    • Marked as answer by XX-Arthur-XX Thursday, August 9, 2018 7:57 AM
    Thursday, August 2, 2018 2:23 PM
  • Gelöst!!!

    Es liegt anscheinend wirklich an einem fehlerhaften Update der Defender Plattform.

    "Update für Windows Defender Antivirus-Antischadsoftwareplattform - KB4052623 (Version 4.18.1807.18075)" vom 23.07.2018

    Dadurch dass Microsoft am 31.07.2018 das gleiche Update als korrigierte Version nochmal verteilt hat standen im WSUS beide Updates bereit und zur Installation freigegeben.

    Ich habe:

    - im WSUS das Update vom 23.07. manuell abgelehnt.
    - den SCCM Client komplett deinstalliert.
    - Unter Windows\ CCM und CCMSetup gelöscht.
    - mit (“%programdata%\microsoft\windows defender\platform\<version>\mpcmdrun.exe” -RemoveDefinitions -All) die Definitionsdateien gelöscht.
    - mit (“%programdata%\microsoft\windows defender\platform\<version>\mpcmdrun.exe” -revertplatform) die Plattform zurück gesetzt.
    - Rechner neu gestartet
    - SCCM Client wieder neu installiert.

    Der Defender holt sich jetzt automatisch über Windows Update das aktuelle (richtige) Update für die Plattform und auch die Definitionsdateien.

    Seit dem laufen alle Clients wieder normal.

    • Marked as answer by XX-Arthur-XX Thursday, August 9, 2018 7:57 AM
    Thursday, August 9, 2018 7:57 AM

All replies

  • Wurden die Exclusions auch für den ConfigMgr Client gesetzt?

    siehe: https://blogs.technet.microsoft.com/systemcenterpfe/2017/05/24/configuration-manager-current-branch-antivirus-update/


    Simon Dettling | msitproblog.com | @SimonDettling

    Please remember to mark the post(s), which answered your question.

    • Marked as answer by XX-Arthur-XX Thursday, August 9, 2018 7:57 AM
    Thursday, August 2, 2018 2:23 PM
  • Hallo Simon Dettling,

    Danke für den Tipp. Wir haben tatsächlich nicht alle Ausnahmen definiert gehabt.
    Dies habe ich heute mal nachgeholt.

    Das Problem besteht aber weiterhin.
    Die Clients haben mittlerweile sogar das seltsame Verhalten obwohl der SCCM Client deinstalliert wurde.

    Eventuell ist mal wieder irgend ein MS Update schief gegangen. Kann das aber leider nicht nachvollziehen da die Clients alle den selben Versionsstand haben. Bedienen sich auch am selben WSUS.

    Das Einzige was mir noch dazu einfallen würde. Alle Updates in Bezug auf den Windows Defender und die Endpoint Protection werden vom WSUS automatisch genehmigt und verteilt.

    Eventuell gab es da ein Update das fehlerhaft gewesen und dann zurück gezogen wurde.
    Einige Clients haben es aber dann doch abbekommen.


    Friday, August 3, 2018 9:45 AM
  • Was mir bei den betroffenen Rechnern noch aufgefallen ist.

    Die Anmeldung am Windows dauert sehr viel länger als sonst.
    Wenn der Benutzer noch nicht existiert und angelegt werden muss dann dauert das teilweise bis zu 10 Minuten.
    Im Autostart (auch in der Windowsregistrierung "Run") ist nichts auffälliges zu erkennen.

    Bisher konnte ich keinen Zusammenhang zwischen den Rechnern herstellen. (Software, Hardware, Mitgliedschaften in Domänengruppen) da gibt es nichts was bei allen gleich wäre.

    Wednesday, August 8, 2018 6:40 AM
  • Sobald der SCCM Client wieder installiert wurde hatte das System wieder den besagten Prozess mit ca. 35% CPU Laust und die Programmaufrufe wurden blockiert bzw. verzögert.


    Dann scheint es aber doch am ConfigMgr-Client zu liegen und nicht am Defender. Welcher Prozeß sorgt denn für die CPU-Last?

    Torsten Meringer | http://www.mssccmfaq.de

    Wednesday, August 8, 2018 7:04 AM
    Answerer
  • Es ist immer der Prozess
    "Antimalware Service Executable" "Windows Defender Antivirus Service" "MsMpEng.exe"
    Die CPU Last liegt permanent bei ca 30-35%.
    Zwischendurch beruhigt er sich wieder doch wenn man irgendetwas aufruft (zB. Word oder Firefox) geht er wieder hoch und Die Anwendung, die aufgerufen wurde, reagiert nicht bis sich der Antivirus wieder beruhigt hat.

    Wir haben überall die Platform 4.18.1807.18075-0 des Windows Defenders im Einsatz.
    Aber nur auf einigen Rechnern macht es Probleme.

    Schaltet man den Echtzeitscan aus dann sieht man dass der Prozess zwar immer noch eine deutlich höhere CPU Last erzeugt aber die Rechner bleiben zumindest bedienbar.
    Die Anwendungen werden nicht ausgebremst.

    Wednesday, August 8, 2018 10:38 AM
  • Ich bin jetzt wohl etwas weiter gekommen.

    Es scheint wohl ein Problem mit der Plattform des Defenders zu sein.
    Im WSUS finde ich 2 automatisch genehmigte Updates für die gleiche Version.

    "Update für Windows Defender Antivirus-Antischadsoftwareplattform - KB4052623 (Version 4.18.1807.18075)"

    Ein Update ist vom 23.07.2018 und eins vom 31.07.2018 beide sind zur Installation genehmigt.

    Ich vermute dass das Update vom 23.07. fehlerhaft gewesen ist weswegen Microsoft eine Woche später das gleiche Update als korrigierte Variante nachgeschoben hat.

    Ich verstehe nur nicht wieso die Clients sich nicht an der neuen Version bedienen.
    Bzw. Was der SCCM Client damit zu tun hat.

    Thursday, August 9, 2018 6:38 AM
  • Gelöst!!!

    Es liegt anscheinend wirklich an einem fehlerhaften Update der Defender Plattform.

    "Update für Windows Defender Antivirus-Antischadsoftwareplattform - KB4052623 (Version 4.18.1807.18075)" vom 23.07.2018

    Dadurch dass Microsoft am 31.07.2018 das gleiche Update als korrigierte Version nochmal verteilt hat standen im WSUS beide Updates bereit und zur Installation freigegeben.

    Ich habe:

    - im WSUS das Update vom 23.07. manuell abgelehnt.
    - den SCCM Client komplett deinstalliert.
    - Unter Windows\ CCM und CCMSetup gelöscht.
    - mit (“%programdata%\microsoft\windows defender\platform\<version>\mpcmdrun.exe” -RemoveDefinitions -All) die Definitionsdateien gelöscht.
    - mit (“%programdata%\microsoft\windows defender\platform\<version>\mpcmdrun.exe” -revertplatform) die Plattform zurück gesetzt.
    - Rechner neu gestartet
    - SCCM Client wieder neu installiert.

    Der Defender holt sich jetzt automatisch über Windows Update das aktuelle (richtige) Update für die Plattform und auch die Definitionsdateien.

    Seit dem laufen alle Clients wieder normal.

    • Marked as answer by XX-Arthur-XX Thursday, August 9, 2018 7:57 AM
    Thursday, August 9, 2018 7:57 AM