Обновление клиента защиты от вредоносных программ Forefront Client Security: апрель 2010
ВВЕДЕНИЕ
Этой статье описаны проблемы клиента вредоносного безопасности клиента Microsoft Forefront (FCS), которые входят в данный пакет исправлений.
Проблемы, которые данное исправление устраняет
Проблема 1
Защита в реальном времени Microsoft Forefront Client Security обнаруживает, приостанавливает и принимает меры против угрозы вредоносных программ. После приостановки угрозы, пользователь получает уведомление. Возможно, пользователь получает возможность выбрать, какие действия, в зависимости от конфигурации клиента. Если никакие действия не выполняются через 10 минут, выполняется действие по умолчанию и определяется с помощью политики или определения. В течение этого времени угрозы вредоносных программ приостанавливается и удается прочитать или выполняются другие приложения.
Этот период задержки защиты в реальном времени реализуется процесс интерфейса пользователя. Если пользователь не войти в систему, этот процесс не выполняется. Таким образом FCS, вступают в действие в приостановленном вредоносных программ.
Временное решение
При обнаружении вредоносных программ с помощью защиты в реальном времени вредоносная программа приостанавливается и удается прочитать или выполнения других приложений. Это происходит, и когда пользователь вошел на компьютер, и когда пользователь не вошел в систему на компьютере. Таким образом компьютер находится под защитой. Тем не менее вредоносные программы по-прежнему находится на диске.
При входе пользователя в систему после обнаружения вредоносного программного обеспечения, они получают в пользовательском интерфейсе, и начинается период задержки защиты в реальном времени.
При развертывании политики на клиентских компьютерах, действие автоматически принимает FCS вредоносных программ, обнаруженных во время запланированного сканирования. При выполнении полной проверки компьютера является действий против вредоносных программ, обнаруженных и приостановлен после завершения сканирования. Полная проверка включает в себя все жесткие диски на компьютере и принимает меры независимо от ли пользователь вошел в систему на компьютере во время сканирования.
Решение
Это обновление добавляет дополнительные таймера служба защиты от вредоносных программ. Этот дополнительный таймер реализует период задержки защиты в реальном времени. Таким образом действие по умолчанию, который определен с помощью политики или путем определения выполняется, когда пользователь не вошел в систему на компьютере.
Проблема 2
Под заголовком «Проблема 1» в разделе «Решение» следующей статьи базы знаний (KB) в статье описывается изменение библиотеки драйверов установка платформы (DIFx) для приложений:
Обновление клиента защиты от вредоносных программ forefront Client Security 976668 : декабрь 2009 г.
Многие методы автоматической установки обновлений с помощью учетной записи LocalSystem. Например автоматического обновления и System Center Configuration Manager используют для обновления учетной записи LocalSystem. После установки исправления 976668 с помощью учетной записи LocalSystem на компьютере под управлением Windows 2000 происходит сбой обновления и в файле Mp_ambits.log регистрируется следующее сообщение об ошибке:
Временное решение
Чтобы установить обновление, описанное в КБ 976668 на компьютере под управлением Windows 2000, вход в систему в качестве интерактивного пользователя и затем выполнить обновление. Чтобы получить обновления, используйте обновление веб-узла с помощью веб-обозревателя, или загрузите и запустите обновление из каталога Центра обновления Майкрософт, описанное в КБ 976668.
Решение
Это обновление больше не использует DIFx для приложений во время установки. Обновление использует технологию выборочной установки, который может быть использован во всех поддерживаемых операционных системах FCS.
Проблема 3
Служба защиты от вредоносных программ FCS неожиданно завершает работу на компьютере под управлением Windows Vista, Windows Server 2008, Windows 7 или Windows Server 2008 R2.
Решение
Данное обновление исправляет ошибку, служба защиты от вредоносных программ FCS на на компьютере под управлением Windows Vista, Windows Server 2008, Windows 7 или Windows Server 2008 R2.
Дополнительные сведения
Сведения об исправлении
Существует исправление от корпорации Майкрософт.
Примечание. Это исправление доступно из центра обновления Майкрософт и cлужбы Windows Server Update Services. Кроме того можно получить исправление, выполните следующие действия:
Обновление каталога веб-узлу Microsoft по адресу
В поле поиска введите 979536 и нажмите кнопку Найти.
Нажмите кнопку СКАЧАТЬ.
Нажмите кнопку Обзор, укажите папку, в которую вы хотите загрузить исправление и нажмите кнопку ОК.
Если обновление загружено в указанном месте, нажмите кнопку Закрыть.
Предварительные условия
Не существует предварительных условий для установки исправления.
Необходимость перезагрузки
Может потребоваться перезагрузить компьютер после установки данного исправления.
Сведения о замене исправлений
Данное исправление заменяет клиента защиты от вредоносных программ, который развернут с помощью пакета развертывания Forefront Client Security (1.0.1725.0) на компьютере.
Пакет развертывания forefront Client Security 976669 (1.0.1725.0): декабрь 2009 г.
Данное исправление заменяет следующие исправления:
Обновление клиента защиты от вредоносных программ forefront Client Security 976668 : декабрь 2009 г.
971026 доступно исправление для устранения некоторых проблем с клиентом защиты от вредоносных программ Forefront Client Security
952265 может привести к повреждению данных на компьютере с установленной Forefront Client Security
938054 доступно исправление для устранения некоторых проблем с клиентом Forefront Client Security
956280 мини-фильтра в режиме ядра Forefront Client Security выгружается при просмотре сетевой общей папке, содержащей много вредоносных файлов
Сведения о файлах
Английская версия данного исправления содержит атрибуты файла (или более поздние атрибуты файлов), приведенные в следующей таблице. Дата и время для этих файлов указаны в формате общего скоординированного времени (UTC). При просмотре сведений о файле, он преобразуется в локальное время. Чтобы узнать разницу между временем по Гринвичу и местным временем, откройте вкладку Часовой пояс элемента Дата и время в панели управления.
Доступно исправление для устранения некоторых проблем с клиентом Forefront Client Security
Симптомы
При использовании Microsoft Forefront Client Security возникновение следующих проблем.
Проблема 1
На компьютере под управлением Microsoft Windows 2000 Пакет обновления 4 пользовательский интерфейс защиты от вредоносных программ не удается открыть при входе в систему с учетной записью без прав администратора.
Случай 2
В области уведомлений значок Forefront Client Security становится оранжевый для указания того, что возникла проблема. При открытии клиента Forefront Client Security для просмотра проблемы клиента неправильно сообщает, что обновление не для клиента Forefront Client Security. Обновление продукта недоступен.
Примечание. В этом случае уведомление об обновлении нового продукта отличается от нового определения обновления уведомлений.
Проблема 3
При сохранении документа Microsoft Office Word, уже существует на том FAT32, данный файл исчезнет неожиданно. Это происходит, только когда включена антивирусная защита в реальном времени (RTP).
Симптом 4
Служба защиты от вредоносных программ Microsoft Forefront Client Security неустранимой ошибки. Затем эта служба не восстановиться автоматически. Эта проблема возникает, если подпись или обновлении ядра недопустим.
Причина
Причина 1
Причина 2
Проблема 2 возникает, поскольку значение реестра не сбрасывается после успешного обновления должным образом. Чтобы определить текущее состояние агента безопасности клиента Forefront клиент Forefront Client Security запрашивает следующий параметр реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Forefront\Client Security\1.0\AM\ProductUpdateAvailableПримечание. Значение 0 указывает, что новые обновления не требуются. Значение 1 указывает, что новые обновления требуется.
Однако пакет обновления клиента Forefront Client Security было не сбросить это значение реестра значение 0 после последнего обновления.
Причина 3
Проблема 3 возникает по одной из следующих причин:
Microsoft Word иногда удаляющего файлы, когда временный архивный файл недоступен.
Диспетчер ввода-вывода не закрывает файл правильно на FAT32, том, если диспетчер объектов отклоняет активное действие во время безопасности проверяет при обращении к файлу.
Причина 4
4 происходит потому, что служба защиты от вредоносных программ Microsoft Forefront Client Security регистрирует с диспетчером управления службами (SCM) для автоматического запуска два раза после сбоя. Если недопустимую подпись вызывает службу остановить несколько раз, SCM выполняет только двух попыток перезапуска и не перезапустить службу.
Решение
Сведения об исправлении
Существует исправление от корпорации Майкрософт. Однако данное исправление предназначено для устранения только проблемы, описанной в этой статье. Применяйте данное исправление только в тех системах, которые имеют данную проблему. Это исправление может проходить дополнительное тестирование. Таким образом если вы не подвержены серьезно этой проблеме, рекомендуется дождаться следующего пакета обновления, содержащего это исправление.
Если исправление доступно для скачивания, имеется раздел «Пакет исправлений доступен для скачивания» в верхней части этой статьи базы знаний. Если этот раздел не отображается, обратитесь в службу поддержки для получения исправления.
Примечание. Если наблюдаются другие проблемы или необходимо устранить неполадки, вам может понадобиться создать отдельный запрос на обслуживание. Стандартная оплата за поддержку будет взиматься только за дополнительные вопросы и проблемы, которые не соответствуют требованиям конкретного исправления. Полный список телефонов поддержки и обслуживания клиентов корпорации Майкрософт или создать отдельный запрос на обслуживание посетите следующий веб-узел корпорации Майкрософт:
http://support.microsoft.com/contactus/?ws=supportПримечание. В форме «Пакет исправлений доступен для скачивания» отображаются языки, для которых доступно исправление. Если нужный язык не отображается, значит исправление для данного языка отсутствует.
Примечание. Это исправление доступно из центра обновления Майкрософт или cлужбы Windows Server Update Services. Если вы хотите получить файл для развертывания с помощью другого метода, выполните следующие действия:
Обновление каталога веб-узлу Microsoft по адресу
В поле поиска введите 938054 и нажмите кнопку Найти.
Найдите и нажмите кнопку « загрузить ».
Нажмите кнопку Обзор, укажите папку, чтобы загрузить исправление и нажмите кнопку ОК.
Нажмите кнопку Продолжить, а затем примите условия лицензионного соглашения. Исправление начнется загрузка.
Предварительные условия
Не существует предварительных условий для установки исправления.
Необходимость перезагрузки
Необходимо перезагрузить компьютер после установки данного исправления.
Сведения о замене исправлений
Это исправление не заменяет ранее выпущенные исправления.
Сведения о файлах
Английская версия данного исправления содержит атрибуты файла (или более поздние атрибуты файлов), приведенные в следующей таблице. Дата и время для этих файлов указаны в формате общего скоординированного времени (UTC). При просмотре сведений о файле, он преобразуется в локальное время. Чтобы узнать разницу между временем по Гринвичу и местным временем, откройте вкладку Часовой пояс элемента Дата и время в панели управления.
Forefront Client Security для систем на базе x64
What is mpasdlta.vdm?
mpasdlta.vdm is part of Microsoft Malware Protection and developed by Microsoft Corporation according to the mpasdlta.vdm version information.
mpasdlta.vdm’s description is «AntiSpyware Definition Update«
mpasdlta.vdm is digitally signed by Microsoft Corporation.
mpasdlta.vdm is usually located in the ‘c:\ProgramData\Microsoft\Windows Defender\Definition Updates\<2C27B11C-50CF-4AF8-9362-C0A0DA9585AA>\’ folder.
If you have additional information about the file, please share it with the FreeFixer users by posting a comment at the bottom of this page.
Vendor and version information [?]
The following is the available information on mpasdlta.vdm:
| Property | Value |
|---|---|
| Product name | Microsoft Malware Protection |
| Company name | Microsoft Corporation |
| File description | AntiSpyware Definition Update |
| Internal name | mpasdlta |
| Original filename | mpasdlta.vdm |
| Legal copyright | Copyright (c) Microsoft Corporation. All rights reserved. |
| Product version | 1.71.1885.0 |
| File version | 1.71.1885.0 |
Here’s a screenshot of the file properties when displayed by Windows Explorer:
| Product name | Microsoft Malware Protection |
| Company name | Microsoft Corporation |
| File description | AntiSpyware Definition Update |
| Internal name | mpasdlta |
| Original filename | mpasdlta.vdm |
| Legal copyright | Copyright (c) Microsoft Corporation. |
| Product version | 1.71.1885.0 |
| File version | 1.71.1885.0 |
Digital signatures [?]
mpasdlta.vdm has a valid digital signature.
| Property | Value |
|---|---|
| Signer name | Microsoft Corporation |
| Certificate issuer name | Microsoft Code Signing PCA |
| Certificate serial number | 6101c9b000000000000e |
Folder name variants
mpasdlta.vdm may also be located in other folders than c:\ProgramData\Microsoft\Windows Defender\Definition Updates\<2C27B11C-50CF-4AF8-9362-C0A0DA9585AA>\. The most common variants are listed below:
Hashes [?]
| Property | Value |
|---|---|
| MD5 | 927014f8d0449aa1dd4e1cdabeeddd97 |
| SHA256 | 3de35844c91aea3002751cfccef485afcbcb47152f7bcea760150205c78eb792 |
What will you do with mpasdlta.vdm?
To help other users, please let us know what you will do with mpasdlta.vdm:
What did other users do?
The poll result listed below shows what users chose to do with mpasdlta.vdm. 93% have voted for removal. Based on votes from 42 users.
NOTE: Please do not use this poll as the only source of input to determine what you will do with mpasdlta.vdm.
Malware or legitimate?
If you feel that you need more information to determine if your should keep this file or remove it, please read this guide.
And now some shameless self promotion 😉
Hi, my name is Roger Karlsson. I’ve been running this website since 2006. I want to let you know about the FreeFixer program. FreeFixer is a freeware tool that analyzes your system and let you manually identify unwanted programs. Once you’ve identified some malware files, FreeFixer is pretty good at removing them. You can download FreeFixer here. It runs on Windows 2000/XP/2003/2008/2016/2019/Vista/7/8/8.1/10. Supports both 32- and 64-bit Windows.
If you have questions, feedback on FreeFixer or the freefixer.com website, need help analyzing FreeFixer’s scan result or just want to say hello, please contact me. You can find my email address at the contact page.
Comments
Please share with the other users what you think about this file. What does this file do? Is it legitimate or something that your computer is better without? Do you know how it was installed on your system? Did you install it yourself or did it come bundled with some other software? Is it running smoothly or do you get some error message? Any information that will help to document this file is welcome. Thank you for your contributions.
I’m reading all new comments so don’t hesitate to post a question about the file. If I don’t have the answer perhaps another user can help you.
Возможно повреждение данных на компьютере с установленной Forefront Client Security
Симптомы
На компьютере с Microsoft Forefront клиент Microsoft безопасности (FCS) установлен, возможно повреждение данных. Когда происходит порча данных, могут возникнуть следующие проблемы.
Проблема 1
При отправке файла на сайт Microsoft Office SharePoint Server или Web Distributed Authoring and Versioning (WebDAV) узел загруженный файл может быть поврежден. Это происходит через произвольные промежутки времени. Она может возникнуть с любых типов файлов и все расширения имен файлов. Поврежденные файлы могут содержать дополнительные нули в конце файла или на краях страницы записи.
Случай 2
На компьютере под управлением служб (IIS) 7.0 поврежден файл Applicationhost.config. Это происходит через произвольные промежутки времени. Это может произойти при изменении конфигурации IIS для веб-узла. Поврежденный файл может содержать дополнительные нули в конце файла или на краях страницы записи. Или, возможно, файл усечен.
В этом случае не удалось загрузить конфигурацию веб-узла, и следующая информация регистрируется в журнале служб IIS:8:56:16 PM [ERROR] Unable to IISAddVirtualDirectory. ERROR: Error adding virtual directory ‘ server1’ to W3SVC ‘2904452’: The data is invalid.8:56:16 PM [ERROR] Unable to add account filter. ERROR: Exception adding ISAPI filter, DomainMapper, to Metabase path, W3SVC/2904452: The data is invalid.
Проблема 3
На компьютере Windows Server 2008, которое будет выполняться Hyper-V, при использовании мастера создания виртуальной машины для создания виртуальных машин, происходит сбой операции. Кроме того появляется следующее сообщение об ошибке:
Сервер обнаружил ошибку при настройке памяти на новую виртуальную машину. Ошибка мастера в откат созданной виртуальной машины. Удалите его вручную позже.
Не удалось добавить устройство «Порт Ethernet синтетический корпорации Майкрософт»
Конфигурация виртуальной машины идентификатор GUID в «C:\Program Data\Microsoft\Windows\Hyper-V» больше не доступен: Запрошенная операция не может быть выполнена на файл с разделом пользователь сопоставлен открыть. (0x800704C8)
Причина
Эта проблема возникает из-за известной проблемы с кэшем между сопоставленные запросов ввода-вывода и без кэширования запросов ввода-вывода. Forefront Client Security защиты в реальном времени использует память сопоставления запросов ввода-вывода для сканирования файлов. Эта проблема затрагивает без кэширования запросов ввода-вывода. Это может привести к повреждению данных или вызвать операции усечения к ошибкам.
Дополнительные сведения
Сведения об исправлении
Существует исправление от корпорации Майкрософт. Однако данное исправление предназначено для устранения только проблемы, описанной в этой статье. Применяйте данное исправление только в тех системах, которые имеют данную проблему.
Если исправление доступно для скачивания, имеется раздел «Пакет исправлений доступен для скачивания» в верхней части этой статьи базы знаний. Если этого раздела нет, отправьте запрос в службу технической поддержки для получения исправления.
Примечание. Если наблюдаются другие проблемы или необходимо устранить неполадки, вам может понадобиться создать отдельный запрос на обслуживание. Стандартная оплата за поддержку будет взиматься только за дополнительные вопросы и проблемы, которые не соответствуют требованиям конкретного исправления. Полный список телефонов поддержки и обслуживания клиентов корпорации Майкрософт или создать отдельный запрос на обслуживание посетите следующий веб-узел корпорации Майкрософт:
http://support.microsoft.com/contactus/?ws=supportПримечание. В форме «Пакет исправлений доступен для скачивания» отображаются языки, для которых доступно исправление. Если нужный язык не отображается, значит исправление для данного языка отсутствует.
Примечание. Это исправление доступно из центра обновления Майкрософт и cлужбы Windows Server Update Services. Если вы хотите получить файл для развертывания с помощью другого метода, выполните следующие действия:
Обновление каталога веб-узлу Microsoft по адресу
В поле поиска введите 952265 и нажмите кнопку Найти.
Нажмите кнопку СКАЧАТЬ.
Нажмите кнопку Обзор, укажите папку, в которую вы хотите загрузить исправление и нажмите кнопку ОК.
Подождите, пока исправление загружается в указанное расположение и нажмите кнопку Закрыть.
Известные проблемы этого обновления
Это исправление не могут быть установлены при использовании Центра обновления Windows для установки обновлений на компьютере под управлением Windows Server 2008 установки Server Core. Дополнительные сведения об этой проблеме щелкните следующий номер статьи базы знаний Майкрософт:
955884 Обновление для Microsoft Forefront Client Security (обновление 952265) не может устанавливаться в установке Server Core Windows Server 2008, при использовании Центра обновления Windows
Предварительные условия
Для установки предварительные компоненты не требуются.
Необходимость перезагрузки
После установки исправления компьютер необходимо перезагрузить.
Сведения о замене исправлений
Это исправление заменяет исправление 938054. Для получения дополнительных сведений щелкните следующий номер статьи базы знаний Майкрософт:
938054 доступно исправление для устранения некоторых проблем с клиентом Forefront Client Security
Сведения о файлах
Английская версия данного исправления содержит атрибуты файла (или более поздние атрибуты файлов), приведенные в следующей таблице. Дата и время для этих файлов указаны в формате общего скоординированного времени (UTC). При просмотре сведений о файле, он преобразуется в локальное время. Чтобы узнать разницу между временем по Гринвичу и местным временем, откройте вкладку Часовой пояс элемента Дата и время в панели управления.
Batch-файл для удаления сильно защищенных директорий
BB-код ссылки (для форумов):
C:\totalcmd>
Мог бы и лог приложить, для сильно сомневающихся, могу прислать, более 278 000 строк 
Вот лог удаления O:\Recovery:
C:\totalcmd>takeown /F o:\Recovery /R
SUCCESS: The file (or folder): «o:\Recovery» now owned by user «R500C\Oleg».
SUCCESS: The file (or folder): «o:\Recovery\WindowsRE» now owned by user «R500C\Oleg».
SUCCESS: The file (or folder): «o:\Recovery\WindowsRE\boot.sdi» now owned by user «R500C\Oleg».
SUCCESS: The file (or folder): «o:\Recovery\WindowsRE\ReAgent.xml» now owned by user «R500C\Oleg».
SUCCESS: The file (or folder): «o:\Recovery\WindowsRE\Winre.wim» now owned by user «R500C\Oleg».
C:\totalcmd>icacls o:\Recovery /grant Oleg:F /T
processed file: o:\Recovery
processed file: o:\Recovery\WindowsRE
processed file: o:\Recovery\WindowsRE\boot.sdi
processed file: o:\Recovery\WindowsRE\ReAgent.xml
processed file: o:\Recovery\WindowsRE\Winre.wim
Successfully processed 5 files; Failed processing 0 files
C:\totalcmd>rmdir o:\Recovery /q /s
C:\totalcmd>
Буду думать дальше, хотя это была директория, для удаления которой надо было работать с правами SYSTEM, извините, что для столь круто защищенной расчистка проходит не до конца, а лишь на 99%
Таки снес ProgramData до конца ПОВТОРНЫМ удалением бэтч-файлом с нелепыми правками:
@echo off
@takeown /F %1 /R
@icacls %1 /grant %username%:F /T
rmdir %1 /q /s
Вот последние строки лога повтрного выполнения:
Successfully processed 218 files; Failed processing 0 files
SUCCESS: The file (or folder): «o:\perflogs» now owned by user «R500C\Oleg»
processed file: o:\perflogs
Successfully processed 1 files; Failed processing 0 files
Добавлено (13.02.2015, 09:28)
———————————————
То, что было написано вчера, это «игры разума», называемые программерами FAD, «Fast And Dirty», «быстрый и грязный код». Окончательное решение выглядит вот так, SYSRMDIR.CMD:
@echo off
echo Y|takeown /F %1 /R>nul
icacls %1 /grant %username%:F /T>nul
rmdir %1 /q /s
C:\totalcmd>sysrmdir «o:\Program Files»
C:\totalcmd>dir /d o:\
Volume in drive O is Copy of I
Volume Serial Number is 622D-B8D7
[Program Files (x86)] [totalcmd] [Users] [Windows]
0 File(s) 0 bytes
4 Dir(s) 35 457 499 136 bytes free
C:\totalcmd>dir /adh o:\
Volume in drive O is Copy of I
Volume Serial Number is 622D-B8D7
C:\totalcmd>dir /d o:\
Volume in drive O is Copy of I
Volume Serial Number is 622D-B8D7
[Program Files (x86)] [totalcmd] [Users]
0 File(s) 0 bytes
3 Dir(s) 48 302 948 352 bytes free
