[English]Microsoft hat vor einigen Tagen einen Bug im Defender beseitigt, der bereits seit fünf Jahren bekannt war. Der Bug führte dazu, dass der Defender bei laufendem Firefox-Browser eine hohe CPU-Last unter Windows erzeugte. Benutzer mussten eine Ausnahme für den Firefox im Defender erzeugen, um das Problem zu umgehen. Das ist jetzt nicht mehr erforderlich.
Das Thema ist mir vorige Woche bei Ghacks.net unter die Augen gekommen, weil Martin Brinkmann das in nachfolgendem Tweet und im Artikel Microsoft fixes 5 year old Windows Defender bug that affected Firefox’s performance aufgegriffen hatte.
Im Mai 2018 gab es im Bugzilla-Bereich des Firefox einen Thread mit dem Titel Antimalware Service Executable (Windows Defender) very active / high CPU when using Firefox die folgende Beschreibung:
I noticed that for some time now most of the time Firefox is active, the Windows 10 built in `Antimalware Service Executable` is using well above *30% of my CPU*, and is reading and writing random files in `Windows/Temp`, all starting with `etilqs_`.
This is considerably slowing me down and makes Firefox feel really slow.
I reproduced this in a new profile, and so far the only thing that helped is excluding the Firefox process from Windows Defender Antivirus. (something most of our users will probably not do)[…}
I am on Windowns 10 on Surface Pro 4, running the current Nightly[…}
Sobald der Firefox läuft, stellt der Nutzer eine hohe CPU-Last fest. Bezog sich zwar auf Nightly Builds des Firefox – aber es stellte sich nach Tests der Mozilla Entwickler heraus, dass der Defender in Windows 10 (und auch in Windows 11) für die CPU-Last verantwortlich war. Der Antimalware-Dienst, Msmpeng.exe (Microsoft Malware Protection Engine) verursachte das Problem, weil sie auf sechost.dll zugriff, um ein ProcessTrace auszuführen. Dadurch wurden zu viele ETW-Ereignisse als normal ausgeführt. Das verbrauchte mit dem Firefox fünfmal mehr CPU-Leistung als mit Chrome und anderen Browsern. Viele Nutzer berichteten, dass die Leistung so schlecht war, dass ihre PCs bei der Verwendung des Browsers ins Stocken gerieten.
Der Echtzeitschutz des Windows Defender rief – laut Untersuchungen – mehrmals VirtualProtect auf, was die Last auslöste. Die Entwickler von Mozilla kooperierten mit Microsoft und fanden heraus, dass die Deaktivierung des JIT-Compilers (per about:config) das Problem zwar entschärfte, aber die CPU-Auslastung nicht vollständig beheben konnte.
Nutzer mussten im Defender eine Ausnahme definieren, die den Defender von der Prüfung der Firefox-Dateien abhielt. Der Fehler wurde später von Microsoft behoben, und dann mit der Beta-Version der Defender-Engine (1.1.20200.2) getestet. Die Korrektur wurde nun in den stabilen Kanal der Antivirendefinitionen aufgenommen und breit ausgerollt. Laut Ghacks.net wurde dieses Update am 4. April 2023 mit der Version 1.1.20200.4 allgemein ausgerollt. Wer prüfen will, ob das Update installiert ist, findet im Pfad:
C:\ProgramData\Microsoft\Windows Defender\Definition Updates
einen Unterordner mit einem langen alphanumerischen Namen. In den Eigenschaften der dort gespeicherten mpengine.dll sollte die Version 1.1.20200.4 angezeigt werden.
Der Pfad am Ende des Textes sollte
C:\ProgramData\Microsoft\Windows Defender\Definition Updates bzw. %ProgramData%\Microsoft\Windows Defender\Definition Updates lauten.
Vielleicht ein Fehler in der Pfad Angabe ?
Bei mir ist die mpengine.dll in
C:\ProgramData\Microsoft\Windows Defender\Definition Updates
und dann in dem Unterordner mit einem langen alphanumerischen Namen.
Dort ist sie dann auch auf der Version 1.1.20200.4.
Ist bei mir auch so!
Asche auf mein Haupt – war mein Fehler – ist korrigiert.
schnell ist der Fuchs trotzdem nicht ;-P
Aber er bläst nicht so viel Tracking-Mist in die Welt.
Wobei man da beim FF auch nachschärfen muß.
Lass ihn mal ausschließlich mit Memory-Cache laufen (about:config, dort browser.cache.memory.enable auf true, *.memory.capacity auf -1 und *.disk.enable sowie *.offline.enable auf false).
Und Version 113 könnte noch ein 13 Jahre alten Request bringen.
„A 13-year-old feature request was fulfilled, and Firefox now supports files being drag-and-dropped directly from Microsoft Outlook.“
https://www.mozilla.org/en-US/firefox/113.0beta/releasenotes/
Was evtl. auch Last erzeugt ist, das manch Scanner jeden Schreibzugriff zum Anlass nehmen, das Geschriebene zu scannen (nicht etwa nur das Gelesene. Man weiß ja das Viren auch kreuzgefährlich sind wenn sie auf einer Festplatte rumliegen. Man denke nur ans Kalte Buffet.)
Es scheint nicht sehr bekannt zu sein, das Firefox ständig sehr oft seine History und den aktuellen Zustand in eine Datei speichert. Das stammt aus der Zeit als Programme noch abstürzten und man den User beim Neustart möglichst genau zum letzten gute Zustand zurück bringen wollte. Heute aber eigentlich überflüssig.
Ob der Defender das auch macht weiß ich nicht.
Man kann dieses Logging abschalten.
wer das Problem hat kann ja mal probieren, ob das die Scanner Last reduziert.