INLEIDING
In dit artikel worden de Microsoft Forefront Client Security (FCS) anti-malware client problemen beschreven die worden opgelost in dit hotfix-pakket.
Problemen die met dit hotfix-pakket worden opgelost
Probleem 1
Realtime bescherming van Forefront Client Security detecteert, wordt onderbroken en neemt maatregelen tegen schadelijke software. Nadat een bedreiging is onderbroken, wordt de gebruiker gewaarschuwd. De gebruiker kan worden gegeven als een optie om te bepalen welke actie wordt ondernomen, afhankelijk van de configuratie van de client. Als er geen actie na 10 minuten ondernomen, wordt een standaardactie die wordt gedefinieerd door een beleid of door definities uitgevoerd. Gedurende deze periode kunnen de malware-bedreigingen worden geschorst en worden gelezen of door andere toepassingen worden uitgevoerd.
Deze vertragingstijd real-time bescherming wordt door een proces van gebruiker-interface geïmplementeerd. Als een gebruiker wordt niet aangemeld bij de computer, wordt dit proces niet uitgevoerd. FCS heeft dus geen actie ondernemen op de geschorste malware.
Tijdelijke oplossing
Als malware wordt gedetecteerd door realtime bescherming, kan de malware is geschorst en worden gelezen of door andere toepassingen worden uitgevoerd. Dit gebeurt zowel wanneer een gebruiker is aangemeld bij de computer en wanneer een gebruiker niet is aangemeld bij de computer. Daarom is de computer onder beveiliging. De malware zich echter nog steeds op de schijf.
Als een gebruiker zich bij de computer aanmeldt nadat de malware is gedetecteerd, ze worden meegedeeld in de gebruikersinterface en begint de periode van de vertraging realtime bescherming.
Wanneer u een beleid op clientcomputers implementeert, neemt FCS actie automatisch malware tijdens geplande scans worden gedetecteerd. Als u een geplande volledige scan van de computer uitvoert, wordt actie ondernomen tegen alle schadelijke software die is gedetecteerd en geschorst nadat het scannen is voltooid. Een volledige scan omvat alle vaste schijven op de computer en actie, ongeacht of een gebruiker is aangemeld bij de computer tijdens het scannen duurt.
Oplossing
Deze update voegt een extra timer aan de malware protection-service. Deze extra timer implementeert de vertragingstijd voor real-time bescherming. Daarom is de standaardactie die wordt gedefinieerd door een beleid of definities uitgevoerd wanneer er geen gebruiker is aangemeld bij de computer.
Probleem 2
Een wijziging in de bibliotheken van de Driver Install Frameworks (DIFx) voor toepassingen wordt in de rubriek "Nummer 1" in de sectie 'Oplossing' van het volgende artikel Knowledge Base (KB)-artikel beschreven:
976668 forefront Client Security anti-malware client-update: December 2009
Veel methoden voor geautomatiseerde installatie installeren van updates met behulp van de account LocalSystem. Bijvoorbeeld, Automatische Updates en System Center Configuration Manager gebruiken de account LocalSystem voor updates. Wanneer de hotfix 976668 is geïnstalleerd met behulp van de account LocalSystem op Windows 2000-computer, mislukt de update en de volgende fout vastgelegd in het bestand Mp_ambits.log:
DIFXAPP: INFO: creating HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\DIFxApp\Components\{153AA63E-3BFD-495C-A35F-85F66650141D} (User's SID: 'S-1-5-18') ...
DIFXAPP: ERROR 0x57 encountered while creating subkey for component '{153AA63E-3BFD-495C-A35F-85F66650141D}'
DIFXAPP: RETURN: ProcessDriverPackages() 87 (0x57)
Tijdelijke oplossing
Melden bij de computer als een interactieve gebruiker wilt installeren met de update die wordt beschreven in KB 976668 op een Computer met Windows 2000, en voer de update. U kunt de update gebruiken de Microsoft Update-website met behulp van een webbrowser of downloaden en vervolgens de update uitvoeren vanaf de Microsoft Update-catalogus die wordt beschreven in KB 976668.
Oplossing
Deze update niet meer DIFx voor toepassingen gebruikt tijdens de installatie. De update maakt gebruik van een aangepaste installatie-technologie die kan worden gebruikt op alle ondersteunde besturingssystemen van FCS.
Probleem 3
De FCS anti-malware-service wordt onverwacht afgesloten op een computer waarop Windows Vista, Windows Server 2008, Windows 7 of Windows Server 2008 R2 wordt uitgevoerd.
Oplossing
Deze update corrigeert een probleem in het FCS anti-malware-service op de op een computer waarop Windows Vista, Windows Server 2008, Windows 7 of Windows Server 2008 R2 wordt uitgevoerd.
Meer informatie
Informatie over de hotfix
Een ondersteunde hotfix is beschikbaar bij Microsoft.
Opmerking Deze hotfix is beschikbaar via Microsoft Update en via Windows Server Update Services. De hotfix kan ook worden verkregen via de volgende stappen:
-
Ga naar de volgende website van Microsoft Update-catalogus:
-
Typ 979536 in het zoekvak en klik vervolgens op Zoeken.
-
Klik op toevoegen om de hotfix toevoegen aan het winkelmandje.
-
In de buurt van de zoekbalk aan de bovenkant, klikt u op de koppeling mandje weergeven .
-
Klik op downloaden.
-
Klik op Bladerenen geeft u de map die u wilt downloaden van de hotfix.
-
Klik op Doorgaanen klik vervolgens op ik ga akkoord om de gebruiksrechtovereenkomst van Microsoft accepteren.
-
Wanneer de update is gedownload naar de locatie die u hebt opgegeven, klikt u op sluiten.
Vereisten
Er zijn geen vereisten voor het installeren van deze hotfix is opgenomen.
Opnieuw opstarten
Mogelijk moet u de computer opnieuw opstarten nadat u deze hotfix hebt toegepast.
Informatie over het vervangen van hotfixes
Deze hotfix vervangt de client anti-malware die wordt gedistribueerd met behulp van het implementatiepakket Forefront Client Security (1.0.1725.0) op een computer.
976669 -implementatiepakket forefront Client Security (1.0.1725.0): December 2009
Deze hotfix vervangt de volgende hotfixes:
976668 forefront Client Security anti-malware client-update: December 2009
971026 is een hotfix beschikbaar voor het oplossen van problemen met de client van Forefront Client Security anti-malware
952265 gegevens beschadigd raken op een computer met Forefront Client Security is geïnstalleerd
938054 is een hotfix beschikbaar voor het oplossen van problemen met de client van Forefront Client Security
956280 de Forefront Client Security kernelmodus Mini-filter wordt verwijderd wanneer u een netwerkshare met veel schadelijke bestanden bladeren
Bestandsinformatie
De Engelse versie van deze hotfix heeft de bestandskenmerken (of recentere bestandskenmerken) die in de volgende tabel worden weergegeven. De datums en tijden voor deze bestanden worden weergegeven in Coordinated Universal Time (UTC). Wanneer u de bestandsinformatie weergeeft, wordt deze naar lokale tijd geconverteerd. Om het verschil tussen UTC en lokale tijd op te zoeken, gebruikt u het tabblad tijdzone in het onderdeel datum en tijd in het Configuratiescherm.
32-bits versies van Forefront Client Security
Bestandsnaam |
Bestandsversie |
Bestandsgrootte |
Datum |
Tijd |
---|---|---|---|---|
Amhelp.chm |
Niet van toepassing |
65,216 |
28-Oct-2008 |
17:55 |
Mpasbase.vdm |
1.0.0.0 |
572,720 |
28-Oct-2008 |
17:58 |
Mpasdesc.dll |
1.5.1981.0 |
49,024 |
19-Jan-2010 |
22:10 |
Mpasdlta.vdm |
1.0.0.0 |
9,008 |
28-Oct-2008 |
17:58 |
Mpavbase.vdm |
1.0.0.0 |
204,624 |
28-Oct-2008 |
17:58 |
Mpavdlta.vdm |
1.0.0.0 |
9,040 |
28-Oct-2008 |
17:58 |
Mpavrtm.dll |
1.5.1981.0 |
128,384 |
19-Jan-2010 |
21:51 |
Mpclient.dll |
1.5.1981.0 |
366,976 |
19-Jan-2010 |
21:51 |
Mpcmdrun.exe |
1.5.1981.0 |
349,048 |
19-Jan-2010 |
21:49 |
Mpengine.dll |
1.1.3520.0 |
3,308,624 |
28-Oct-2008 |
17:57 |
Mpevmsg.dll |
1.5.1981.0 |
23,424 |
19-Jan-2010 |
22:10 |
Mpfilter.sys |
1.5.1969.0 |
69,616 |
15-May-09 |
17:35 |
Mpoav.dll |
1.5.1981.0 |
92,032 |
19-Jan-2010 |
21:51 |
Mprtmon.dll |
1.5.1981.0 |
731,008 |
19-Jan-2010 |
21:51 |
Mpsigdwn.dll |
1.5.1981.0 |
129,920 |
19-Jan-2010 |
21:51 |
Mpsoftex.dll |
1.5.1981.0 |
518,016 |
19-Jan-2010 |
21:51 |
Mpsvc.dll |
1.5.1981.0 |
316,288 |
19-Jan-2010 |
21:51 |
Mputil.dll |
1.5.1981.0 |
177,024 |
19-Jan-2010 |
21:51 |
Msascui.exe |
1.5.1981.0 |
1,033,600 |
19-Jan-2010 |
21:51 |
Msmpcom.dll |
1.5.1981.0 |
221,056 |
19-Jan-2010 |
21:51 |
Msmpeng.exe |
1.5.1981.0 |
16,880 |
19-Jan-2010 |
21:49 |
Msmplics.dll |
1.5.1981.0 |
9,088 |
19-Jan-2010 |
21:51 |
Msmpres.dll |
1.5.1981.0 |
766,336 |
19-Jan-2010 |
22:10 |
64-bits versies van Forefront Client Security
Bestandsnaam |
Bestandsversie |
Bestandsgrootte |
Datum |
Tijd |
---|---|---|---|---|
Amhelp.chm |
Niet van toepassing |
65,216 |
28-Oct-2008 |
17:55 |
Mpasbase.vdm |
1.0.0.0 |
572,720 |
28-Oct-2008 |
17:58 |
Mpasdesc.dll |
1.5.1981.0 |
49,536 |
19-Jan-2010 |
23:59 |
Mpasdesc.dll (WOW64) |
1.5.1981.0 |
49,024 |
19-Jan-2010 |
22:10 |
Mpasdlta.vdm |
1.0.0.0 |
9,008 |
28-Oct-2008 |
17:58 |
Mpavbase.vdm |
1.0.0.0 |
204,624 |
28-Oct-2008 |
17:58 |
Mpavdlta.vdm |
1.0.0.0 |
9,040 |
28-Oct-2008 |
17:58 |
Mpavrtm.dll |
1.5.1981.0 |
155,008 |
19-Jan-2010 |
23:41 |
Mpclient.dll |
1.5.1981.0 |
546,688 |
19-Jan-2010 |
23:41 |
Mpclient.dll (WOW64) |
1.5.1981.0 |
366,976 |
19-Jan-2010 |
21:51 |
Mpcmdrun.exe |
1.5.1981.0 |
504,096 |
19-Jan-2010 |
23:38 |
Mpengine.dll |
1.1.3520.0 |
4,431,952 |
28-Oct-2008 |
17:57 |
Mpevmsg.dll |
1.5.1981.0 |
23,424 |
19-Jan-2010 |
23:59 |
Mpfilter.sys |
1.5.1969.0 |
88,944 |
15-May-2009 |
17:35 |
Mpoav.dll |
1.5.1981.0 |
117,632 |
19-Jan-2010 |
23:41 |
Mpoav.dll (WOW64) |
1.5.1981.0 |
92,032 |
19-Jan-2010 |
21:51 |
Mprtmon.dll |
1.5.1981.0 |
1,181,056 |
19-Jan-2010 |
23:41 |
Mpsigdwn.dll |
1.5.1981.0 |
179,584 |
19-Jan-2010 |
23:41 |
Mpsoftex.dll |
1.5.1981.0 |
791,424 |
19-Jan-2010 |
23:41 |
Mpsvc.dll |
1.5.1981.0 |
434,560 |
19-Jan-2010 |
23:41 |
Mputil.dll |
1.5.1981.0 |
247,168 |
19-Jan-2010 |
23:41 |
Mputil.dll (WOW64) |
1.5.1981.0 |
177,024 |
19-Jan-2010 |
21:51 |
Msascui.exe |
1.5.1981.0 |
1,636,736 |
19-Jan-2010 |
23:41 |
Msmpcom.dll |
1.5.1981.0 |
305,536 |
19-Jan-2010 |
23:41 |
Msmpeng.exe |
1.5.1981.0 |
16,368 |
19-Jan-2010 |
23:38 |
Msmplics.dll |
1.5.1981.0 |
9,088 |
19-Jan-2010 |
23:41 |
Msmplics.dll (WOW64) |
1.5.1981.0 |
9,088 |
19-Jan-2010 |
23:41 |
Msmpres.dll |
1.5.1981.0 |
764,288 |
19-Jan-2010 |
23:59 |
Bekende problemen
Als u de tijdelijke oplossing die wordt beschreven in de rubriek "Punt 2" door hotfix 976668 installeert als interactieve gebruiker op een computer waarop Windows 2000 wordt uitgevoerd, moet u deze update ook uitvoeren als interactieve gebruiker. Deze eis is nodig omdat deze update verwijdert de update die wordt beschreven in Knowledge Base-artikel 976668 voordat deze update is geïnstalleerd. Als u deze update installeert met behulp van de account LocalSystem, optreden dezelfde problemen die worden beschreven in Knowledge Base-artikel 976668 tijdens die fase van de update te verwijderen.
Status
Microsoft heeft bevestigd dat dit probleem kan optreden in de Microsoft-producten die worden vermeld in de sectie 'Van toepassing op'.