Introduktion
Den här artikeln beskrivs Microsoft Forefront Client Security (FCS) skadlig klient problem som korrigeras i snabbkorrigeringspaketet.
Problem som korrigeras i snabbkorrigeringspaketet
Problem 1
Forefront Client Security realtidsskydd upptäcker, pausar och vidtar åtgärder mot skadlig kod hot. Användaren får ett meddelande när ett hot är pausad. Användaren får möjlighet att bestämma vilken åtgärd som vidtas beroende på konfigurationen av klienten. Om ingen åtgärd utförs efter 10 minuter körs en standardåtgärd som definieras av en princip eller av definitioner. Under den här tiden kan inte malware hot är tillfälligt och läsas eller utföras av andra program.
Denna realtidsskydd Fördröjningsperiod implementeras genom user interface. Om en användare inte loggar in på datorn, fungerar inte den här processen. FCS tar därför inte åtgärden på avbrutna malware.
Temporär lösning
När skadlig kod har identifierats av realtidsskyddet kan inte det skadliga programmet inaktiveras och läsas eller utföras av andra program. Problemet uppstår både när en användare är inloggad på datorn och när en användare är inte inloggad på datorn. Därför är datorn under skydd. Det skadliga programmet finns dock fortfarande på disken.
Om en användare loggar in på datorn efter den skadlig kod har identifierats, de meddelas i användargränssnittet och realtidsskydd dröjsmål perioden börjar.
När du distribuerar en princip till klientdatorer får FCS åtgärden automatiskt skadliga program upptäcks under schemalagda sökningar. Om du utför en schemalagd fullständig genomsökning av datorn kan vidtas mot eventuella skadliga program som upptäcks och uppehåll när skanningen är klar. En fullständig sökning innehåller alla hårddiskar på datorn och vidtar åtgärder oavsett om en användare är inloggad på datorn under genomsökningen.
Lösning
Den här uppdateringen lägger till en ytterligare timer malware protection service. Denna ytterligare timer implementerar Fördröjningsperiod realtidsskydd. Därför körs den standardåtgärd som definieras av en princip eller av definitioner när ingen användare är inloggad på datorn.
Problem 2
En ändring av bibliotek med de Driver Install Frameworks (DIFx) för program som beskrivs under rubriken "Nummer 1" i avsnittet "Lösning" i följande artikel i Knowledge Base (KB) artikel:
976668 forefront Client Security skadlig klientuppdateringen: December 2009
Många metoder för automatisk installation installera uppdateringar genom att använda det lokala systemkontot. Till exempel använda automatiska uppdateringar och System Center Konfigurationshanteraren kontot LocalSystem för uppdateringar. När snabbkorrigeringen 976668 installeras med LocalSystem-kontot i en Windows 2000-baserad dator uppdateringen misslyckas och följande fel loggas i filen Mp_ambits.log:
DIFXAPP: INFO: creating HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\DIFxApp\Components\{153AA63E-3BFD-495C-A35F-85F66650141D} (User's SID: 'S-1-5-18') ...DIFXAPP: ERROR 0x57 encountered while creating subkey for component '{153AA63E-3BFD-495C-A35F-85F66650141D}'
DIFXAPP: RETURN: ProcessDriverPackages() 87 (0x57)
Temporär lösning
Logga in på datorn som en interaktiv användare för att installera uppdateringen som beskrivs i KB 976668 på en dator med Windows 2000, och kör sedan uppdateringen. Använda webbplatsen Microsoft Update genom att använda en webbläsare om du vill hämta uppdateringen eller hämtar och kör sedan uppdateringen som beskrivs i KB 976668 Microsoft Update-katalogen.
Lösning
Den här uppdateringen används inte längre DIFx för program under installationen. Uppdateringen använder en anpassad installation-teknik som kan användas på alla operativsystem som stöds för närvarande FCS.
Problem 3
FCS skadlig tjänsten avslutas oväntat på en dator som kör Windows Vista, Windows Server 2008, Windows 7 eller Windows Server 2008 R2.
Lösning
Den här uppdateringen åtgärdas ett problem i tjänsten FCS skadlig kod på den på en dator som kör Windows Vista, Windows Server 2008, Windows 7 eller Windows Server 2008 R2.
Mer Information
Information om snabbkorrigeringen
En snabbkorrigering är tillgänglig från Microsoft.
Obs! Den här snabbkorrigeringen är tillgänglig från Microsoft Update och Windows Server Update Services. Dessutom kan snabbkorrigeringen erhållas på följande sätt:
-
Besök Microsoft-webbplatsen Update Catalog:
-
Skriv 979536 i rutan Sök och klicka sedan på Sök.
-
Klicka på Lägg till om du vill lägga till snabbkorrigeringen i korgen.
-
Klicka på länken Visa korg nära sökfältet längst upp.
-
Klicka på Hämta.
-
Klicka på Bläddraoch ange i vilken mapp du vill hämta snabbkorrigeringen.
-
Klicka på Fortsättoch klicka sedan på jag accepterar om du accepterar licensvillkoren för programvara från Microsoft.
-
Klicka på Stängnär uppdateringen har hämtats till den plats som du har angett.
Förutsättningar
Det finns inga särskilda förutsättningar för installation av den här snabbkorrigeringen.
Krav på omstart
Du kan behöva starta om datorn när du har installerat den här snabbkorrigeringen.
Ersättningsinformation för Hotfix
Den här snabbkorrigeringen ersätter klienten mot skadlig kod som distribueras med hjälp av distributionspaketet Forefront Client Security (1.0.1725.0) på en dator.
Distributionspaketet för 976669 forefront Client Security (1.0.1725.0): December 2009
Den här snabbkorrigeringen ersätter följande snabbkorrigeringar:
976668 forefront Client Security skadlig klientuppdateringen: December 2009
971026 en snabbkorrigering är tillgänglig för att lösa vissa problem med skadlig Forefront Client Security-klienten
952265 skador kan uppstå på en dator som har installerats för Forefront Client Security
938054 en snabbkorrigering är tillgänglig för att lösa vissa problem med Forefront Client Security-klienten
956280 av Forefront Client Security kernel-läge Mini filter inaktiveras när du bläddrar till en nätverksresurs som innehåller många skadliga filer
Filinformation
Den engelska versionen av den här snabbkorrigeringen har de filattribut (eller senare filattribut) som visas i följande tabell. Datum och tider för dessa filer anges i UTC-tid (UTC). När du visar filinformationen konverteras den till lokal tid. Använd fliken tidszon i datum och tid på Kontrollpanelen om du vill se skillnaden mellan UTC-tid och lokal tid.
Forefront Client Security, 32-bitarsversioner
|
Filnamn |
Filversion |
Storlek |
Datum |
Tid |
|---|---|---|---|---|
|
Amhelp.chm |
Ej tillämplig |
65,216 |
28-Oct-2008 |
17:55 |
|
Mpasbase.vdm |
1.0.0.0 |
572,720 |
28-Oct-2008 |
17:58 |
|
Mpasdesc.dll |
1.5.1981.0 |
49,024 |
19-Jan-2010 |
22:10 |
|
Mpasdlta.vdm |
1.0.0.0 |
9,008 |
28-Oct-2008 |
17:58 |
|
Mpavbase.vdm |
1.0.0.0 |
204,624 |
28-Oct-2008 |
17:58 |
|
Mpavdlta.vdm |
1.0.0.0 |
9,040 |
28-Oct-2008 |
17:58 |
|
Mpavrtm.dll |
1.5.1981.0 |
128,384 |
19-Jan-2010 |
21:51 |
|
Mpclient.dll |
1.5.1981.0 |
366,976 |
19-Jan-2010 |
21:51 |
|
Mpcmdrun.exe |
1.5.1981.0 |
349,048 |
19-Jan-2010 |
21:49 |
|
Mpengine.dll |
1.1.3520.0 |
3,308,624 |
28-Oct-2008 |
17:57 |
|
Mpevmsg.dll |
1.5.1981.0 |
23,424 |
19-Jan-2010 |
22:10 |
|
Mpfilter.sys |
1.5.1969.0 |
69,616 |
15-May-09 |
17:35 |
|
Mpoav.dll |
1.5.1981.0 |
92,032 |
19-Jan-2010 |
21:51 |
|
Mprtmon.dll |
1.5.1981.0 |
731,008 |
19-Jan-2010 |
21:51 |
|
Mpsigdwn.dll |
1.5.1981.0 |
129,920 |
19-Jan-2010 |
21:51 |
|
Mpsoftex.dll |
1.5.1981.0 |
518,016 |
19-Jan-2010 |
21:51 |
|
Mpsvc.dll |
1.5.1981.0 |
316,288 |
19-Jan-2010 |
21:51 |
|
Mputil.dll |
1.5.1981.0 |
177,024 |
19-Jan-2010 |
21:51 |
|
Msascui.exe |
1.5.1981.0 |
1,033,600 |
19-Jan-2010 |
21:51 |
|
Msmpcom.dll |
1.5.1981.0 |
221,056 |
19-Jan-2010 |
21:51 |
|
Msmpeng.exe |
1.5.1981.0 |
16,880 |
19-Jan-2010 |
21:49 |
|
Msmplics.dll |
1.5.1981.0 |
9,088 |
19-Jan-2010 |
21:51 |
|
Msmpres.dll |
1.5.1981.0 |
766,336 |
19-Jan-2010 |
22:10 |
Forefront Client Security, 64-bitars versioner
|
Filnamn |
Filversion |
Storlek |
Datum |
Tid |
|---|---|---|---|---|
|
Amhelp.chm |
Ej tillämplig |
65,216 |
28-Oct-2008 |
17:55 |
|
Mpasbase.vdm |
1.0.0.0 |
572,720 |
28-Oct-2008 |
17:58 |
|
Mpasdesc.dll |
1.5.1981.0 |
49,536 |
19-Jan-2010 |
23:59 |
|
Mpasdesc.dll (WOW64) |
1.5.1981.0 |
49,024 |
19-Jan-2010 |
22:10 |
|
Mpasdlta.vdm |
1.0.0.0 |
9,008 |
28-Oct-2008 |
17:58 |
|
Mpavbase.vdm |
1.0.0.0 |
204,624 |
28-Oct-2008 |
17:58 |
|
Mpavdlta.vdm |
1.0.0.0 |
9,040 |
28-Oct-2008 |
17:58 |
|
Mpavrtm.dll |
1.5.1981.0 |
155,008 |
19-Jan-2010 |
23:41 |
|
Mpclient.dll |
1.5.1981.0 |
546,688 |
19-Jan-2010 |
23:41 |
|
Mpclient.dll (WOW64) |
1.5.1981.0 |
366,976 |
19-Jan-2010 |
21:51 |
|
Mpcmdrun.exe |
1.5.1981.0 |
504,096 |
19-Jan-2010 |
23:38 |
|
Mpengine.dll |
1.1.3520.0 |
4,431,952 |
28-Oct-2008 |
17:57 |
|
Mpevmsg.dll |
1.5.1981.0 |
23,424 |
19-Jan-2010 |
23:59 |
|
Mpfilter.sys |
1.5.1969.0 |
88,944 |
15-May-2009 |
17:35 |
|
Mpoav.dll |
1.5.1981.0 |
117,632 |
19-Jan-2010 |
23:41 |
|
Mpoav.dll (WOW64) |
1.5.1981.0 |
92,032 |
19-Jan-2010 |
21:51 |
|
Mprtmon.dll |
1.5.1981.0 |
1,181,056 |
19-Jan-2010 |
23:41 |
|
Mpsigdwn.dll |
1.5.1981.0 |
179,584 |
19-Jan-2010 |
23:41 |
|
Mpsoftex.dll |
1.5.1981.0 |
791,424 |
19-Jan-2010 |
23:41 |
|
Mpsvc.dll |
1.5.1981.0 |
434,560 |
19-Jan-2010 |
23:41 |
|
Mputil.dll |
1.5.1981.0 |
247,168 |
19-Jan-2010 |
23:41 |
|
Mputil.dll (WOW64) |
1.5.1981.0 |
177,024 |
19-Jan-2010 |
21:51 |
|
Msascui.exe |
1.5.1981.0 |
1,636,736 |
19-Jan-2010 |
23:41 |
|
Msmpcom.dll |
1.5.1981.0 |
305,536 |
19-Jan-2010 |
23:41 |
|
Msmpeng.exe |
1.5.1981.0 |
16,368 |
19-Jan-2010 |
23:38 |
|
Msmplics.dll |
1.5.1981.0 |
9,088 |
19-Jan-2010 |
23:41 |
|
Msmplics.dll (WOW64) |
1.5.1981.0 |
9,088 |
19-Jan-2010 |
23:41 |
|
Msmpres.dll |
1.5.1981.0 |
764,288 |
19-Jan-2010 |
23:59 |
Kända problem
Om du utför lösningen som beskrivs under rubriken "Nummer 2" genom att installera snabbkorrigering 976668 en interaktiv användare på en dator som kör Windows 2000 kan köra du också uppdateringen som en interaktiv användare. Detta krav är nödvändigt eftersom uppdateringen avinstallerar uppdateringen som beskrivs i KB-artikel 976668 innan den här uppdateringen installeras. Om du installerar den här uppdateringen med hjälp av kontot LocalSystem, sker samma problem som beskrivs i KB-artikel 976668 under som avinstallerar scenen av uppdateringen.
Status
Microsoft har bekräftat att detta är ett problem i Microsoft-produkterna som nämns i avsnittet "Gäller".
