Wie es aussieht, gibt es zwischen Office 365 und einer Defender-Signatur Probleme. Es werden Verknüpfungen in der Taskleiste und auch im Startmenü gelöscht. Microsoft hat das Problem erkannt und ist derzeit dabei, das Problem wieder zu beheben.
Günter hatte heute auf borncity zuerst darüber berichtet. Auch Nanoarchaeum in unserem Telegram-Chat hat es erwischt. Microsoft twitterte dazu vorhin.
- Wir untersuchen ein Problem, bei dem Benutzer nicht auf Anwendungsverknüpfungen im Startmenü und in der Taskleiste von Windows zugreifen können.
- Wir haben festgestellt, dass eine bestimmte Regel zu Beeinträchtigungen geführt hat. Wir haben die Regel rückgängig gemacht, um weitere Auswirkungen zu verhindern, während wir weitere Untersuchungen durchführen.
- Die Rückstellung ist im Gange und kann einige Stunden dauern, bis sie abgeschlossen ist. Wir empfehlen, die betreffende ASR-Regel in den Prüfungsmodus zu versetzen, um weitere Auswirkungen zu verhindern, bis die Bereitstellung abgeschlossen ist.
- [Update 14.01.23]: Dieses Problem wurde mit dem Security Update 1.381.2164.0 behoben. Die Installation von Build 1.381.2164.0 oder höher sollte das Problem verhindern, stellt aber zuvor gelöschte Verknüpfungen nicht wieder her. Siehe auch hier.
- Hinweis: Auf den betroffenen Geräten ist die ASR-Regel (Atack Surface Reduction) „Win32-API-Aufrufe von Office-Makros blockieren“ aktiviert. Diese Geräte waren davon betroffen.
- Script von Microsoft, um die Verknüpfungen wiederherzustellen: techcommunity
Einige berichten, dass es ausreicht, die Eingabeaufforderung (als Admin) zu starten und zum Pfad C:\Program files\Windows Defender zu navigieren. Dort dann den Befehl MpCmdRun.exe -RemoveDefinitions auszuführen. Das bringt zwar die Verknüpfungen nicht wieder, aber man kann sie wieder anheften.
Quelle: @MSFT365Status
Defender Signatur-Update löscht Verknüpfungen im Startmenü und Taskleiste – Rückstellung ist im Gange [Behoben]
Uns hat es auch erwischt. Über die Anzahl der betroffenen Geräte kann ich tatsächlich nichts sagen, wären alle Mitarbeiter betroffen, sprächen wir von einem unteren, vierstelligen Bereich.
Ja mal wieder sehr witzig… MS und Freitag der 13te sind eine Toxische Kombination
wohl eher MS vs „warum sollten wir ein update ausreichend testen? dafür haben wir doch kunden“
Ähnlich war es bei mir am Patchday.
Ich selber nutze jedoch kein Office 365, sondern LibreOffice v7.4.4. Sprich ein Zusammenhang ist bei mir ausgeschlossen. System: Windows 10 Pro 22H2 Build 19045.2486
Eine Systemwiederherstellung auf den gestrigen Tag gesetzt und das Signatur-Update v1.318.2140.0 war bereits vorhanden. Anschließend ein Rollback auf die v1.381.2052.0 und das Update vom Defender deaktiviert. Somit erst einmal Ruhe im Karton, denn es läuft derweil ohne Probleme.
Testet Microsoft Updates nicht mehr, bevor es auf die Menschheit losgelassen wird?
So etwas ist eigentlich ein No-Go!
Ab was kann man eine Softwarefirma endlich verklagen, wenn klar ist, dass sie Käse gebaut haben?
Immer ruhig bleiben und tief durchatmen, gnä‘ Frau. Es geht hier lediglich um einen Fehler, bei dem Programm-Icons im Startmenü oder der Taskleiste versehentlich gelöscht werden, und dieser Fehler wird mit Sicherheit auch nur auf ganz wenigen Systemen auftreten, denn, solche Fehler sind immer eine Kombination aus verschiedenen Szenarien, sonst würden sie direkt beim Testen auffallen. Wie immer.
Steht auch im Artikel drin:
„Wir haben festgestellt, dass eine bestimmte Regel zu Beeinträchtigungen geführt hat. Wir haben die Regel rückgängig gemacht, um weitere Auswirkungen zu verhindern, während wir weitere Untersuchungen durchführen.“
Sie können aber gerne Anzeige gegen Microsoft erstatten, wenn Sie möchten.
Es werden eben nicht nur Icons irgendwo gelöscht!
Es werden unter anderem die Verknüpfungen zu diversen Programmen gelöscht,
aber auch ganze Installationen, z.B. vom Firefox.
Ich finde so etwas nicht trivial und eigentlich darf so etwas nicht passieren!
Zwar mag es bis Montag Lösungen geben, aber Montagmorgen wird es in einigen Firmen Chaos geben,
auch sind die BackUp’s vom WE für die Tonne.
Hi
man kann auch mit powershell das rule deaktevieren ( admin rechte )
Add-MpPreference -AttackSurfaceReductionRules_Ids 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b -AttackSurfaceReductionRules_Actions Disabled
Ja, das geht. Aber wie kommt man an die ID der Regel ran, wenn man kein Admin Center verwendet?
Man könnte in die Doku schauen… https://learn.microsoft.com/en-us/microsoft-365/security/defender-endpoint/attack-surface-reduction-rules-reference?view=o365-worldwide
„Das bringt zwar die Verknüpfungen nicht wieder, aber man kann sie wieder anheften.“
Dabei wünsche ich viel Spass, wenn kein Backup des Startmenü-Verzeichnis vorhanden ist. Dann ist nämlich Windows im Arsch, niemand wird sich händisch alle *.exen im Explorer zusammen suchen um die Verknüpfungen zu richten.
Heut morgen waren alle Verknüpfungen abrasiert, das ganze Startmenü ist defacto unbrauchbar. Ohne Backup hat man da keine Chance das jemals wieder zu richten.
Damit fliegt der Defender nun auch endgültig raus. Was diese Gurkentruppe da veranstaltet, kannst du dir echt nicht ausdenken.
„Es werden Verknüpfungen in der Taskleiste und auch im Startmenü gelöscht.“
Das klingt doch noch harmlos….
Ich verwende seit langer Zeit DefenderUi in den Standardeinstellungen.
Offenbar hat hier das MS-Update bei den ASR-Einstellungen eingeschlagen.
Bei mir ist keine einzige Verküpfung mehr verbunden und im Benachrichtigungscenter tauchten 128 Blockiermeldungen auf. Und meine schöne Taskleiste war auch futsch.
Ich habe ein 7 Tage altes Image eingespielt, aber Windows Virus Update war schneller…..leider!
Also nochmal das Image eingespielt und den Netzwerkstecker vorher abgezogen…….
Jetzt sind wieder alle Verknüpfungen da….. da hat MS wieder einen tollen Bock geschossen
Ich habe kein Office 365 und die Defender ist bei Version 1.381.2152.0. Alle Verknüpfungen sind weiterhin vorhanden und es gibt keinerlei Probleme bei mir.
Das Problem betrifft wie immer nur einige Rechner, bei denen bestimmte Konstellationen vorhanden sind.
Das Problem betrifft nur Firmen und keine Endanwender!
Und in Firmen sind es eben nicht nur einige vereinzelte Rechen,
es sind alle, auf denen ASR (Attac Surface Restriction) verwendet wird,
und das wird in einem Firmennetz alle sein oder zumindest sehr, sehr viele.
Liest Du auch Infos anderer Pages oder wenigstens der verlinkten?
Ja, ich habe den verlinkten Artikel auf Borncity gelesen. Da steht nichts von „nur Firmenrechner“.
Aber, gut, wenn es nur auf Firmenrechnern auftritt (wie ich das so lese gibt es ASR gar nicht bei der Defender-Variante für Endbenutzer), dann ist es doch genauso wie ich schrieb: Nur auf bestimmten Rechner- bzw. Softwarekonstellationen.
Ich bin Endanwender und mich hat es auch getroffen.
„Das Problem betrifft nur Firmen und keine Endanwender!“
Also hier hat es alle Verknüpfungen zu VPN Diensten gelöscht … Privatrechner
Tja, bis auf den Startbutton und die Uhr, war die ganze Taskleiste leer. Desktop-Icon hatte ich noch aber sie reagierten nicht mehr. Rechner komplett runtergefahren und Neustart, danach war dann alles wieder in Ordnung, bis auf die Verknüpfungen in der Taskleiste, die blieben weg. Ich bin schon von W11 wieder zurück auf W10 und nun schon wieder nur Murks von MS.
„Tja, bis auf den Startbutton und die Uhr, war die ganze Taskleiste leer. Desktop-Icon hatte ich noch aber sie reagierten nicht mehr. Rechner komplett runtergefahren und Neustart, danach war dann alles wieder in Ordnung, bis auf die Verknüpfungen in der Taskleiste, die blieben weg.“
Ich halte das für zwei getrennte Fehler. Das mit der komplett leeren Taskleiste in Windows 10 kenne ich von zwei Laptops die ich hier mit Windows 10 betrieben habe. Und, der Fehler ist schon ziemlich alt.
Mich hat es leider gestern getroffen. Alle Ordner im Startmenü waren gelöscht und das Startmenü sah aus wie nach einer Windows 11 Neuinstallation. Lediglich die Verknüpfungen zu Office 365 waren zusätzlich noch vorhanden. Nun ja, ich habe mein Image zurückgespielt und damit war alles wieder in Ordnung.
Da fragt man sich doch, wo war die QS? So ein Fehler muss doch dem blindesten auffallen.
Eine Signatur für ein spezielles Sicherheitsfeature wird vermutlich automatisiert erzeugt. Meinst du, dass sowas in einer an sich nur automatisch durchführbaren QS auffällt?
Wenn die „Qualitätskontrolle“ von MS ihre Updates nur bei der Home- und Proversion testen, aber die
Defender-Endpoint Kunden aussen vorlassen, dann passiert so etwas am Freitag, den 13…….:)
Wobei es dürfe auch die Home-User treffen die DefenderUI verwenden und das Häkchen bei „empfohlenen Einstellungen“ gesetzt haben. Hier wurden nach den ASR-Regeln nicht nur blockiert bzw. gewarnt, sondern gelöscht
und damit wurden ALLE Verknüpfungen in „ProgramData\Microsoft\Windows\Start Menu\Programs“
sofort gelöscht.
Ich habe das heute morgen praktisch erlebt…:(
„Hier wurden nach den ASR-Regeln nicht nur blockiert bzw. gewarnt, sondern gelöscht :(“
Ich habe grade mal im Defender geschaut und da ist „Smart App Control“, das genau die von dir beschriebenen Punkte enthält, deaktiviert und kann nur durch eine Neuinstallation von Windows 11 aktiviert werden. Deaktiviert ist es wohl weil ich das senden optionaler Diagnosedaten schon bei der Installation von Windows nicht zugelassen habe.
Daran hat es nicht gelegen…
Die „Smart App Control“ ist bei mir von Anfang an deaktiviert und nicht nur die Sendung von Diagnosedaten etc. ist blockiert……
Ich habe auch kein Office 365.
https://share-your-photo.com/47e90ada88
Es lag an diesem hier beworbenen Programm DefenderUI:
https://www.deskmodder.de/blog/2021/10/26/defenderui-uebersichtliche-microsoft-defender-einstellungen-mit-mehreren-profilen/
……und den dort eingestellten „ASR-Regeln“
Also wenn man das Programm hat, dann kommt es dazu? Also ich hatte keinen Fehler gestern gehabt. Startmenü alles vorhanden und bei der Taskleiste auch alle Verknüpfungen da. Und dieses Programm DefenderUI hab ich nicht. Hab aber Office365
Daran lag es nicht…:
https://share-your-photo.com/47e90ada88
siehe meine anderen Post´s…
Wer eine Home Version von Windows verwendet, kann eigentlich nicht betroffen sein,
es sei denn er hat Defender UI, oder Configure Defender, oder ein ähnliches Tool eingesetzt.
Ausnahmsweise trifft diese Tools keine Schuld,
denn der Fehler wurde durch ein MS-Defender Update verursacht.
danke, das bestätigt nun meine Aussage. Habe Home und keines dieser Tools und bei mir ist alles vorhanden
Bei mir hat`s deutlich drastischere Auswirkungen: der Loader für Thunderbird-portable wurde gelöscht und läßt sich auch nicht wieder aus einem Backup zurückspielen, bzw. wird dann sofort wieder gelöscht. Die Aktion taucht zudem nicht im Schutzverlauf auf. Dazu wurde die exe meines IP-Kamera-Programms gelöscht. Das sind zumindest die Sachen, die ich bisher gefunden habe.
Wer hätte gedacht, dass der größte Schaden auf dem Rechner nicht von einem Virus, sondern von einem Sicherheits-Programm ausgelöst würde?! Respekt.
Hat das auch was damit zu tun?
Pfad der fehlerhaften Anwendung: C:\Users\Thorsten\AppData\Local\Microsoft\OneDrive\23.002.0102.0001\Microsoft.SharePoint.exe
Problemsignatur
Problemereignisame: BEX64
Anwendungsname: Microsoft.SharePoint.exe
Anwendungsversion: 23.2.102.1
Anwendungszeitstempel: f3432c8c
Fehlermodulname: ucrtbase.dll
Ich habe das auch alles miterleben müssen, plötzlich verschwanden fast alle Desktopicon Verknüpfungen bis auf einige wenige. Im Startmenue ebenfalls, habe ein Image eingespielt, war aber zwecklos da die Signatur vom Defender wieder kam. Da wusste ich noch nichts vom MS Problem. Inzwischen habe ich alle Verknüpfungen wieder per Hand hergestellt: auf dem Desktop und im Startmenue, allerdings weiß ich nicht, wie ich unter alle apps wieder alle Programme alphabetisch aufgelistet werden? da fehlen nun leider die meisten Verknüpfung, finde im Web aber keine entsprechenden Hinweise, ob das geht. Unter c:\ProgrammData\Microsoft\Windows\Startmenügebt es eine Auflistung.
Das Image brauchst du nicht komplett zurück spielen. Es reicht „C:\ProgramData\Microsoft\Windows\Start Menu\Programs“ aus dem Backup zu kopieren.
Die Signaturen vom Defender sollten auch keine Probleme mehr bereiten.
Ansonsten mußt du die entsprechende ASR-Regel „Win32-API-Aufrufe von Office-Makros blockieren“ abschalten, oder auf „Audit“ umstellen.
Ärgerlich, aber mit entsprechenden Backup dauert die Reperatur keine 2 Minuten.
ok., Danke für die Information
Moin zusammen,
habe den Fehler immer noch.
Bei mir werden nicht die Verknüpfungen gelöst oder sonst irgendwelche Sachen.
Bei mir auf Windows 11 Pro 22621.1105 und Office 365 Version 2212 Build 16.0.15928.20196) 64 Bit
erscheint der Fehler immer noch zuverlässig bei jedem Start im Zuverlässigkeitsverlauf. Habe OneDrive mal aus dem Autostart genommen Fehler weg Starte ich dann manuell erscheint er wieder
Aber Einschränkungen habe ich nicht feststellen können !!??
Gruß der Bremer
Nachtrag
was ich vorhin noch vergessen habe. Bei mir ist der Microsoft Defender gar nicht aktiv!!!! Nutze nach wie vor meine andere Firewall und Virenscanner !!
der Bremer
Du hast ein ganz anderes Problem.
Wenn du möchtest, komm damit in unser Forum.
Moin,
da der Fehler immer noch besteht
ja das kann schon sein. und werde es wohl jetzt auch tun
Gruß
der Bremer