Vorübergehendes Deaktivieren des Kernelmodus-Filtertreibers in Windows

  • Artikel

In diesem Artikel wird beschrieben, wie Sie den Kernelmodusfiltertreiber deaktivieren, ohne die entsprechende Software zu entfernen.

Gilt für: Windows Server 2012 R2, Windows 10 – alle Editionen
Ursprüngliche KB-Nummer: 816071

Wichtig

Dieser Artikel enthält Informationen, die Ihnen zeigen, wie Sie die Sicherheitseinstellungen verringern oder Sicherheitsfeatures auf einem Computer deaktivieren können. Sie können diese Änderungen vornehmen, um ein bestimmtes Problem zu umgehen. Bevor Sie diese Änderungen vornehmen, empfehlen wir Ihnen, die Risiken zu bewerten, die mit der Implementierung dieser Problemumgehung in Ihrer speziellen Umgebung verbunden sind. Wenn Sie diese Problemumgehung implementieren, führen Sie alle geeigneten zusätzlichen Schritte aus, um Ihr System zu schützen.

Zusammenfassung

Möglicherweise möchten Sie den Filtertreiber deaktivieren, wenn Sie die folgenden Probleme beheben:

Deaktivieren von Filtertreibern

Wenn Sie eines dieser Probleme beheben, müssen Sie häufig mehr tun, als nur die mit der Software verknüpften Dienste zu beenden oder zu deaktivieren. Auch wenn Sie die Softwarekomponente deaktivieren, wird der Filtertreiber weiterhin geladen, wenn Sie den Computer neu starten. Möglicherweise sind Sie gezwungen, eine Softwarekomponente zu entfernen, um die Ursache eines Problems zu ermitteln. Alternativ zum Entfernen der Softwarekomponente können Sie die relevanten Dienste beenden und die entsprechenden Filtertreiber in der Registrierung deaktivieren. Wenn Sie beispielsweise verhindern, dass Antivirensoftware Dateien auf Ihrem Computer überprüft oder filtert, müssen Sie auch die entsprechenden Filtertreiber deaktivieren.

Um Filtertreiber zu deaktivieren, müssen Sie zuerst Drittanbieterdienste und deren entsprechende Filtertreiber identifizieren. Führen Sie anschließend die folgenden Schritte aus.

Warnung

Diese Problemumgehung kann Ihren Computer oder Ihr Netzwerk anfälliger für Angriffe durch böswillige Benutzer oder durch Schadsoftware wie Viren machen. Wir empfehlen diese Problemumgehung nicht, stellen aber diese Informationen bereit, damit Sie diese Problemumgehung nach eigenem Ermessen implementieren können. Die Verwendung dieser Problemumgehung erfolgt auf eigene Verantwortung.

Wichtig

Ein Antivirenprogramm wurde entwickelt, um Ihren Computer vor Viren zu schützen. Sie dürfen keine Dateien aus Quellen herunterladen oder öffnen, denen Sie nicht vertrauen, Websites besuchen, denen Sie nicht vertrauen, oder E-Mail-Anlagen öffnen, wenn Ihr Antivirenprogramm deaktiviert ist.

Weitere Informationen zu Computerviren finden Sie unter Verhindern und Entfernen von Viren und anderer Schadsoftware.

  1. Beenden Sie alle Dienste, die zum Softwarepaket gehören.

  2. Legen Sie als Starttyp Deaktiviert fest. Gehen Sie dazu wie folgt vor:

    1. Klicken Sie auf Start, klicken Sie auf Systemsteuerung, doppelklicken Sie auf Verwaltung, und doppelklicken Sie dann auf Dienste.
    2. Klicken Sie im Bereich Details mit der rechten Maustaste auf den Dienst, den Sie konfigurieren möchten, und klicken Sie dann auf Eigenschaften.
    3. Klicken Sie auf der Registerkarte Allgemein im Feld Starttyp auf Deaktiviert.

  3. Legen Sie den Registrierungsschlüssel Start der entsprechenden Filtertreiber auf 0x4 fest. Der Wert 0x4 deaktiviert den Filtertreiber. Gehen Sie hierzu wie folgt vor.

    Wichtig

    Dieser Abschnitt, diese Methode bzw. diese Aufgabe enthält eine Beschreibung der Schritte zum Bearbeiten der Registrierung. Durch die falsche Bearbeitung der Registrierung können schwerwiegende Probleme verursacht werden. Daher ist es wichtig, bei der Ausführung der folgenden Schritte sorgfältig vorzugehen. Für zusätzlichen Schutz sichern Sie die Registrierung, bevor Sie sie ändern. Sie können die Registrierung wiederherstellen, wenn ein Problem auftritt. Weitere Informationen zum Sichern und Wiederherstellen der Registrierung finden Sie unter Sichern und Wiederherstellen der Registrierung in Windows.

    1. Starten Sie den Registrierungs-Editor.
    2. Erstellen Sie eine Sicherung der HKEY_LOCAL_MACHINE\System Registrierungsstruktur.
    3. Suchen Sie den Registrierungsunterschlüssel, und klicken Sie dann auf den Registrierungsunterschlüssel HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services.
    4. Klicken Sie auf den Eintrag für den Filtertreiber, den Sie deaktivieren möchten.
    5. Doppelklicken Sie auf die Einstellung Registrierung starten , und legen Sie sie dann auf den Wert 0x4 fest.

    Hinweis

    Dieser Registrierungseintrag hat in der Regel den Wert 0x3.

  4. Starten Sie den Computer neu.

Die meisten Antivirensoftware verwendet Filtertreiber, die mit einem Dienst zusammenarbeiten, um nach Viren zu suchen. Diese Filtertreiber werden weiterhin geladen, nachdem der Dienst deaktiviert wurde. Diese Filtertreiber scannen Dateien, wenn sie auf einer Festplatte geöffnet und geschlossen werden. Entfernen Sie zur Problembehandlung vorübergehend die Antivirensoftware, oder wenden Sie sich an den Hersteller der Software, um festzustellen, ob eine neuere Version verfügbar ist.

Beispiel für Filtertreiber

In diesem Abschnitt werden einige der typischen Filtertreibernamen nach Produkt beschrieben:

Antivirus

  • Inoculan: INO_FLPY und INO_FLTR
  • Norton: SYMEVENT, NAVAP, NAVEN und NAVEX
  • McAfee (NAI): NaiFiltr und NaiFsRec
  • Trend Micro: Tmfilter.sys und Vsapint.sys

Sicherungs-Agent

  • Sicherungs-Agent für geöffnete Dateien: Ofant.sys

  • Öffnen Des Transaktions-Managers über Veritas BackupExec: Otman.sys (Otman4.sys oder Otman5.sys)

    Hinweis

    Seien Sie vorsichtig, wenn Sie diese Filtertreiber mit der in diesem Artikel beschriebenen Methode deaktivieren. Wenn Sie dies tun, erhalten Sie möglicherweise eine Fehlermeldung zum Beenden 0x7b .

    Die Fehlermeldung stop 0x7b Inaccessible_Boot_Device kann auftreten, wenn die folgenden Registrierungsschlüssel vorhanden sind und Verweise auf den Otman5-Treiber enthalten, wenn der Otman5.sys Treiber entweder nicht auf der Festplatte vorhanden ist oder wenn der Treiber auf deaktiviert festgelegt ist.

    • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E967-E325 -11CE-BFC1-08002BE10318}\UpperFilters

    • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{71A27CDD-812A -11D0-BEC7-08002BE2092F}\UpperFilters

      Wenn die Fehlermeldung stop 0x7b angezeigt wird, sollten Sie diese Registrierungsschlüssel sichern und den Otman5-Verweis löschen.

Einstellungen für die Treiberregistrierung

In der folgenden Tabelle sind gültige Einstellungen und deren Beschreibung für die Registrierungseinstellungen Start und Typ des Treibers aufgeführt:

Name Werteinstellung Beschreibung der Werteinstellung
Start 0 = SERVICE_BOOT_START Ntldr oder Osloader laden den Treiber vorab, sodass er sich beim Starten des Computers im Arbeitsspeicher befindet.

Diese Treiber werden direkt vor dem SERVICE_SYSTEM_START-Treiber initialisiert.
Start 1 = SERVICE_SYSTEM_START Der Treiber wird geladen und initialisiert, nachdem SERVICE_BOOT_START Treiber initialisiert wurden.
Start 2 = SERVICE_AUTO_START Service Control Manager (SCM) startet den Treiber oder Dienst.
Start 3 = SERVICE_DEMAND_START SCM muss den Treiber oder Dienst bei Bedarf starten.
Start 4 = SERVICE_DISABLED Der Treiber oder Dienst wird nicht geladen oder initialisiert.
Typ 1 = SERVICE_KERNEL_DRIVER Gerätetreiber.
Typ 2 = SERVICE_FILE_SYSTEM_DRIVER Kernelmodus-Dateisystemtreiber.
Typ 8 = SERVICE_RECOGNIZER_DRIVER Treiber für die Dateisystemerkennung.

Informationen zum Haftungsausschluss von Drittanbietern

Die in diesem Artikel genannten Drittanbieterprodukte stammen von Herstellern, die von Microsoft unabhängig sind. Microsoft gewährt keine implizite oder sonstige Garantie in Bezug auf die Leistung oder Zuverlässigkeit dieser Produkte.

Datensammlung

Wenn Sie Unterstützung vom Microsoft-Support benötigen, empfehlen wir Ihnen, die Informationen zu sammeln, indem Sie die Schritte unter Sammeln von Informationen mithilfe von TSS für Bereitstellungsprobleme ausführen.