INTRODUÇÃO
Este artigo descreve os problemas de cliente de antimalware do Microsoft Forefront Client Security (FCS) corrigidos neste pacote de hotfix.
Problemas corrigidos neste pacote de hotfix
Problema 1
Proteção em tempo real do Forefront Client Security detecta, suspende e executará uma ação contra ameaças de malware. Depois que uma ameaça é suspenso, o usuário é notificado. O usuário pode ser dada a opção de decidir qual ação será executada, dependendo da configuração do cliente. Se nenhuma ação for tomada após 10 minutos, uma ação padrão que é definida por diretiva ou pelas definições é executada. Durante esse tempo, as ameaças de malware estão suspensos e não podem ser lidos ou executadas por outros aplicativos.
Esse período de atraso de proteção em tempo real é implementado por um processo de interface do usuário. Se um usuário não fizer logon no computador, esse processo não é executado. Portanto, FCS não agir sobre malware suspenso.
Solução alternativa
Quando o malware é detectado pela proteção em tempo real, o malware está suspenso e não pode ser ler ou executado por outros aplicativos. Esse comportamento ocorre quando um usuário estiver conectado ao computador e quando um usuário não fizer logon no computador. Portanto, o computador está sob proteção. No entanto, o malware ainda residirá no disco.
Se um usuário fizer logon no computador depois que o malware é detectado, eles são notificados na interface do usuário e inicia o período de atraso de proteção em tempo real.
Quando você implanta uma diretiva para computadores cliente, FCS age automaticamente sobre malware detectado durante as verificações programadas. Se você executar uma varredura programada completa do computador, a ação é executada contra qualquer malware que é detectado e suspenso depois que a varredura for concluída. Uma verificação completa inclui todos os discos rígidos no computador e toma a ação independentemente de haver um usuário está conectado ao computador durante a verificação.
Resolução
Essa atualização adiciona um cronômetro adicional para o serviço de proteção contra malware. Este timer adicional implementa o período de atraso de proteção em tempo real. Portanto, a ação padrão que é definida por diretiva ou pelas definições é executada quando nenhum usuário estiver conectado ao computador.
Problema 2
Uma alteração nas bibliotecas do Driver Install Frameworks (DIFx) para aplicativos é descrita sob o título "Problema 1" na seção "Resolução" do seguinte artigo da Base de dados de Conhecimento (KB) artigo:
976668 atualização do cliente de antimalware do forefront Client Security: dezembro de 2009
Muitos métodos de instalação automatizada instalam atualizações usando a conta LocalSystem. Por exemplo, as atualizações automáticas e o System Center Configuration Manager usam a conta LocalSystem para atualizações. Quando é instalado o hotfix 976668, usando a conta LocalSystem em um computador baseado no Windows 2000, a atualização falha e o seguinte erro é registrado no arquivo Mp_ambits.log:
DIFXAPP: INFO: creating HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\DIFxApp\Components\{153AA63E-3BFD-495C-A35F-85F66650141D} (User's SID: 'S-1-5-18') ...
DIFXAPP: ERROR 0x57 encountered while creating subkey for component '{153AA63E-3BFD-495C-A35F-85F66650141D}'
DIFXAPP: RETURN: ProcessDriverPackages() 87 (0x57)
Solução alternativa
Para instalar a atualização descrita no 976668 KB em um computador baseado no Windows 2000, faça logon no computador como um usuário interativo e, em seguida, executar a atualização. Para obter a atualização, use o site do Microsoft Update na Web usando um navegador da Web, ou baixe e execute a atualização do catálogo do Microsoft Update descrita na KB 976668.
Resolução
Esta atualização não usa mais DIFx para aplicativos durante a instalação. A atualização utiliza uma tecnologia de instalação personalizada que pode ser usada em todos os sistemas de operacionais FCS suportados atualmente.
Problema 3
O serviço de antimalware FCS é fechado inesperadamente em um computador que esteja executando o Windows Vista, Windows Server 2008, Windows 7 ou Windows Server 2008 R2.
Resolução
Essa atualização corrige um problema no serviço de antimalware do FCS no em um computador que esteja executando o Windows Vista, Windows Server 2008, Windows 7 ou Windows Server 2008 R2.
Mais informações
Informações sobre o hotfix
Um hotfix compatível foi disponibilizado pela Microsoft.
Observação: Esse hotfix está disponível no Microsoft Update e Windows Server Update Services. Além disso, o hotfix pode ser obtido executando as seguintes etapas:
-
Visite o seguinte site do catálogo do Microsoft Update na Web:
-
Digite 979536 na caixa de pesquisa e, em seguida, clique em Pesquisar.
-
Clique em Adicionar para adicionar o hotfix ao carrinho.
-
Próximo à barra de pesquisa na parte superior, clique no link Exibir cesta .
-
Clique em Download.
-
Clique em Procurar, especifique a pasta para a qual você deseja baixar o hotfix e, em seguida, clique em Okey.
-
Clique em continuare, em seguida, clique em aceito para aceitar os termos de licença para Software Microsoft.
-
Quando a atualização é baixada para o local que você especificou, clique em Fechar.
Pré-requisitos:
Não existem pré-requisitos para instalar esse hotfix.
Requisitos de reinicialização:
Você terá que reiniciar o computador após aplicar esse hotfix.
Informações de substituição do hotfix:
Esse hotfix substitui o cliente de antimalware é implantado usando o pacote de implantação do Forefront Client Security (1.0.1725.0) em um computador.
976669 pacote de implantação do forefront Client Security (1.0.1725.0): dezembro de 2009
Este hotfix substitui os seguintes hotfixes:
976668 atualização do cliente de antimalware do forefront Client Security: dezembro de 2009
971026 um hotfix está disponível para resolver alguns problemas com o cliente de antimalware do Forefront Client Security
952265 pode ocorrer corrupção de dados em um computador que tenha instalado o Forefront Client Security
938054 um hotfix está disponível para resolver alguns problemas com o cliente do Forefront Client Security
956280 minifiltro do modo kernel do Forefront Client Security descarrega ao navegar em um compartilhamento de rede que contém muitos arquivos mal-intencionados
Informações sobre o arquivo:
A versão em inglês deste hotfix possui os atributos de arquivo (ou atributos de arquivo posteriores) listados na tabela a seguir. As datas e horas desses arquivos estão listadas na Hora Universal Coordenada (UTC). Quando você exibe as informações do arquivo, ele é convertido para a hora local. Para localizar a diferença entre o UTC e a hora local, use a guia Fuso Horário no item Data e Hora no Painel de Controle.
O Forefront Client Security, versões de 32 bits
Nome do Arquivo |
Versão do arquivo |
Tamanho do arquivo |
Data |
Hora |
---|---|---|---|---|
Amhelp.chm |
Não aplicável |
65,216 |
28-Oct-2008 |
17:55 |
Mpasbase.vdm |
1.0.0.0 |
572,720 |
28-Oct-2008 |
17:58 |
Mpasdesc.dll |
1.5.1981.0 |
49,024 |
19-Jan-2010 |
22:10 |
Mpasdlta.vdm |
1.0.0.0 |
9,008 |
28-Oct-2008 |
17:58 |
Mpavbase.vdm |
1.0.0.0 |
204,624 |
28-Oct-2008 |
17:58 |
Mpavdlta.vdm |
1.0.0.0 |
9,040 |
28-Oct-2008 |
17:58 |
Mpavrtm.dll |
1.5.1981.0 |
128,384 |
19-Jan-2010 |
21:51 |
Mpclient.dll |
1.5.1981.0 |
366,976 |
19-Jan-2010 |
21:51 |
Mpcmdrun.exe |
1.5.1981.0 |
349,048 |
19-Jan-2010 |
21:49 |
Mpengine.dll |
1.1.3520.0 |
3,308,624 |
28-Oct-2008 |
17:57 |
Mpevmsg.dll |
1.5.1981.0 |
23,424 |
19-Jan-2010 |
22:10 |
Mpfilter.sys |
1.5.1969.0 |
69,616 |
15-May-09 |
17:35 |
Mpoav.dll |
1.5.1981.0 |
92,032 |
19-Jan-2010 |
21:51 |
Mprtmon.dll |
1.5.1981.0 |
731,008 |
19-Jan-2010 |
21:51 |
Mpsigdwn.dll |
1.5.1981.0 |
129,920 |
19-Jan-2010 |
21:51 |
Mpsoftex.dll |
1.5.1981.0 |
518,016 |
19-Jan-2010 |
21:51 |
Mpsvc.dll |
1.5.1981.0 |
316,288 |
19-Jan-2010 |
21:51 |
Mputil.dll |
1.5.1981.0 |
177,024 |
19-Jan-2010 |
21:51 |
Msascui.exe |
1.5.1981.0 |
1,033,600 |
19-Jan-2010 |
21:51 |
Msmpcom.dll |
1.5.1981.0 |
221,056 |
19-Jan-2010 |
21:51 |
Msmpeng.exe |
1.5.1981.0 |
16,880 |
19-Jan-2010 |
21:49 |
Msmplics.dll |
1.5.1981.0 |
9,088 |
19-Jan-2010 |
21:51 |
Msmpres.dll |
1.5.1981.0 |
766,336 |
19-Jan-2010 |
22:10 |
O Forefront Client Security, versões de 64 bits
Nome do Arquivo |
Versão do arquivo |
Tamanho do arquivo |
Data |
Hora |
---|---|---|---|---|
Amhelp.chm |
Não aplicável |
65,216 |
28-Oct-2008 |
17:55 |
Mpasbase.vdm |
1.0.0.0 |
572,720 |
28-Oct-2008 |
17:58 |
Mpasdesc.dll |
1.5.1981.0 |
49,536 |
19-Jan-2010 |
23:59 |
Mpasdesc.dll (WOW64) |
1.5.1981.0 |
49,024 |
19-Jan-2010 |
22:10 |
Mpasdlta.vdm |
1.0.0.0 |
9,008 |
28-Oct-2008 |
17:58 |
Mpavbase.vdm |
1.0.0.0 |
204,624 |
28-Oct-2008 |
17:58 |
Mpavdlta.vdm |
1.0.0.0 |
9,040 |
28-Oct-2008 |
17:58 |
Mpavrtm.dll |
1.5.1981.0 |
155,008 |
19-Jan-2010 |
23:41 |
Mpclient.dll |
1.5.1981.0 |
546,688 |
19-Jan-2010 |
23:41 |
Mpclient.dll (WOW64) |
1.5.1981.0 |
366,976 |
19-Jan-2010 |
21:51 |
Mpcmdrun.exe |
1.5.1981.0 |
504,096 |
19-Jan-2010 |
23:38 |
Mpengine.dll |
1.1.3520.0 |
4,431,952 |
28-Oct-2008 |
17:57 |
Mpevmsg.dll |
1.5.1981.0 |
23,424 |
19-Jan-2010 |
23:59 |
Mpfilter.sys |
1.5.1969.0 |
88,944 |
15-May-2009 |
17:35 |
Mpoav.dll |
1.5.1981.0 |
117,632 |
19-Jan-2010 |
23:41 |
Mpoav.dll (WOW64) |
1.5.1981.0 |
92,032 |
19-Jan-2010 |
21:51 |
Mprtmon.dll |
1.5.1981.0 |
1,181,056 |
19-Jan-2010 |
23:41 |
Mpsigdwn.dll |
1.5.1981.0 |
179,584 |
19-Jan-2010 |
23:41 |
Mpsoftex.dll |
1.5.1981.0 |
791,424 |
19-Jan-2010 |
23:41 |
Mpsvc.dll |
1.5.1981.0 |
434,560 |
19-Jan-2010 |
23:41 |
Mputil.dll |
1.5.1981.0 |
247,168 |
19-Jan-2010 |
23:41 |
Mputil.dll (WOW64) |
1.5.1981.0 |
177,024 |
19-Jan-2010 |
21:51 |
Msascui.exe |
1.5.1981.0 |
1,636,736 |
19-Jan-2010 |
23:41 |
Msmpcom.dll |
1.5.1981.0 |
305,536 |
19-Jan-2010 |
23:41 |
Msmpeng.exe |
1.5.1981.0 |
16,368 |
19-Jan-2010 |
23:38 |
Msmplics.dll |
1.5.1981.0 |
9,088 |
19-Jan-2010 |
23:41 |
Msmplics.dll (WOW64) |
1.5.1981.0 |
9,088 |
19-Jan-2010 |
23:41 |
Msmpres.dll |
1.5.1981.0 |
764,288 |
19-Jan-2010 |
23:59 |
Problemas conhecidos
Se você executar a solução alternativa descrita sob o título "Problema 2" ao instalar o hotfix 976668 como um usuário interativo em um computador que esteja executando o Windows 2000, você também deve executar essa atualização como um usuário interativo. Esse requisito é necessário porque essa atualização desinstala a atualização descrita no artigo KB 976668 antes que essa atualização seja instalada. Se você instalar essa atualização usando a conta LocalSystem, os mesmos problemas que estão descritos no artigo KB 976668 ocorrem durante que desinstalar o estágio da atualização.
Status
A Microsoft confirma que este é um problema em seus produtos listados na seção "Aplica-se a".