none
Зависают Windows XP на которые недавно развернули Endpoint Protection RRS feed

  • Вопрос

  • SCCM 2012 R2, один лес, один домен. Позавчера и вчера разворачивали на все компьютеры Endpoint protection, всё работало прекрасно. Сегодня утром все машины на базе Windows XP не загружаются и наглухо виснут. Как это выглядит:

    Загружается ОС, после этого с большой задержкой появляется приглашение на logon. Вводим login и password, после этого появляется пустой фон рабочего стола (без иконок). Можно нажать ctrl+alt+del, появляется диспетчер задач, после чего виснет на долгое время. Если долго ждать (минут 15), то загрузка все-таки происходит, но в правом нижнем углу иконка антивируса красная.

    Единственное за что можно зацепиться:

    и

    Что делать?!

     

    • Изменено Vashchukov 16 апреля 2014 г. 6:44
    16 апреля 2014 г. 5:27

Ответы

  • Как лечили мы:

    1) Политикой на SCCm отключили защиту в реальном времени

    2) распространили политику на компы. Пользователи смогли делать хоть что-то

    3) Через wuauclt обновили определения до версии 1.171.79

    4) Включили защиту в реальном времени

    Проблема ушла.

    • Предложено в качестве ответа PylnovN 17 апреля 2014 г. 6:30
    • Помечено в качестве ответа Vashchukov 17 апреля 2014 г. 6:56
    17 апреля 2014 г. 5:47

Все ответы

  • SCCM 2012 R2, один лес, один домен. Позавчера и вчера разворачивали на все компьютеры Endpoint protection, всё работало прекрасно. Сегодня утром все машины на базе Windows XP не загружаются и наглухо виснут. Как это выглядит:

    Загружается ОС, после этого с большой задержкой появляется приглашение на logon. Вводим login и password, после этого появляется пустой фон рабочего стола (без иконок). Можно нажать ctrl+alt+del, появляется диспетчер задач, после чего виснет на долгое время. Если долго ждать (минут 15), то загрузка все-таки происходит, но в правом нижнем углу иконка антивируса красная.

    Что делать?!

     
     Точь-в-точь такаяже проблема и у нас. Появилась утром 16.04.2014. При отключении Endpoint protection проблема уходит. До этого работал больше года, всё было нормально.
    16 апреля 2014 г. 6:39
  • Roman1992, как вы отключаете SCEP? Вручную или как-то автоматизированно? Поделитесь решением пожалуйста.
    16 апреля 2014 г. 6:47
  • ЗАчем что либо отключать?

    Вы в проблеме бы разобрались...

    Не исключено что это либо кривые апдейты сигнатур, либо проблемы после последнего апдейта движка.

    Откатите их. Разница есть?


    blog.wadmin.ru

    16 апреля 2014 г. 6:50
  • Проблема возникла у многих.

    Кто решит проблему, сообщите пожалуйста.

    16 апреля 2014 г. 7:16
  • Не исключено что это либо кривые апдейты сигнатур, либо проблемы после последнего апдейта движка.

    Откатите их. Разница есть?

    Скорее всего в этом и есть проблема, т.к. те, у которых Версия определений вирусов 1.169.2534.0 - работают нормально

    А кто обновился до 1.171.1.0 - виснут и ведут себя выше описанным образом.

    Подскажите, как откатить последнее обновление определений?

    16 апреля 2014 г. 7:16
  • На тестовых машинах отключили вручную, увидели, что помогло. Затем в политиках SCCM отключили для всех XP
    16 апреля 2014 г. 7:17
  • Вы через WSUS ставите апдейты?

    Пока что проблем не вижу. С указанными апдейтами проблем нет т.к. из нет на WSUS-е


    blog.wadmin.ru


    • Изменено zero55 16 апреля 2014 г. 7:24
    16 апреля 2014 г. 7:20
  • ЗАчем что либо отключать?

    Вы в проблеме бы разобрались...

    Не исключено что это либо кривые апдейты сигнатур, либо проблемы после последнего апдейта движка.

    Откатите их. Разница есть?


    blog.wadmin.ru

    Отключили потому, что невозможно работать, до выяснения причины. 

    Апдейтов не было.

    16 апреля 2014 г. 7:21
  • Вот решение:

    На проблемном компьютере, с правами администратора заходите в папку:

    C:\Program Files\Microsoft Security Client\

    И запускаете там команду:

    MpCmdrun –RemoveDefinitions

    Сам SCEP должен быть запущен.
    • Предложено в качестве ответа Yuri Kuvshinov 16 апреля 2014 г. 7:44
    • Отменено предложение в качестве ответа Vashchukov 16 апреля 2014 г. 7:52
    16 апреля 2014 г. 7:24
  • Для эксперимента, поставьте последние обновления отсюда. С вероятностью в 99% это решит проблему.

    http://www.microsoft.com/security/portal/definitions/adl.aspx


    blog.wadmin.ru

    16 апреля 2014 г. 7:25
  • Для эксперимента, поставьте последние обновления отсюда. С вероятностью в 99% это решит проблему.

    http://www.microsoft.com/security/portal/definitions/adl.aspx

    НЕ РЕШИТ!!! Это первое, что попробовали.

    16 апреля 2014 г. 7:29
  • Я вот пока проблем не вижу.

    Специально скачал эту обновку, на серверах после ее применения все хорошо. Проверялось на 2003, 2008, 2008 R2, 2012. На Windows 7 тоже все замечательно.

    XP как найдем проверим. 

    Windows 8 еще крайне мало что бы проверять :)

    Обновление откатывали?

    Распространяете их как?


    blog.wadmin.ru

    16 апреля 2014 г. 7:35
  • На американском текнете тоже началось. Раз, два

    • Изменено Vashchukov 16 апреля 2014 г. 8:02
    16 апреля 2014 г. 7:54
  • Вот решение:

    На проблемном компьютере, с правами администратора заходите в папку:

    C:\Program Files\Microsoft Security Client\

    И запускаете там команду:

    MpCmdrun –RemoveDefinitions
    .
    Сам SCEP должен быть запущен.

    Команда не отрабатывает. Ругается на ошибку аргумента.

    C:\Program Files\Microsoft Security Client\Antimalware>MpCmdrun -RemoveDefinitions
    CmdTool: Failed with hr = 0x80070667. Check C:\DOCUME~1\KUM~1.HLY\LOCALS~1\Temp\
    MpCmdRun.log for more information
    CmdTool: Invalid command line argument
    Microsoft Antimalware Service Command Line Utility (c)2006-2008 Microsoft Corp
    Use this tool to automate and troubleshoot Microsoft Antimalware Service

    В лог файле только это:

    -------------------------------------------------------------------------------------
    MpCmdRun: Command Line: MpCmdrun –RemoveDefinitions
    Start Time: ‎Ср ‎апр ‎16 ‎2014 10:55:03
    MpCmdRun: End Time: ‎Ср ‎апр ‎16 ‎2014 10:55:03
    -------------------------------------------------------------------------------------
    -------------------------------------------------------------------------------------
    MpCmdRun: Command Line: MpCmdrun –RemoveDefinitions
    Start Time: ‎Ср ‎апр ‎16 ‎2014 10:55:08
    MpCmdRun: End Time: ‎Ср ‎апр ‎16 ‎2014 10:55:08
    -------------------------------------------------------------------------------------
    -------------------------------------------------------------------------------------
    MpCmdRun: Command Line: MpCmdrun –RemoveDefinitions
    Start Time: ‎Ср ‎апр ‎16 ‎2014 10:56:26
    MpCmdRun: End Time: ‎Ср ‎апр ‎16 ‎2014 10:56:26
    -------------------------------------------------------------------------------------
    -------------------------------------------------------------------------------------
    MpCmdRun: Command Line: MpCmdrun –RemoveDefinitions -all
    Start Time: ‎Ср ‎апр ‎16 ‎2014 10:59:52
    MpCmdRun: End Time: ‎Ср ‎апр ‎16 ‎2014 10:59:52
    -------------------------------------------------------------------------------------

    16 апреля 2014 г. 8:08
  • Вообщем пока что найдены два метода решения проблемы:

    1. Централизованный

    При помощи групповой политики поменять в реестре параметр на:

    HKLM\Software\Microsoft\Microsoft Antimalware\Real-Time Protection DisableBehaviorMonitoring = 1  (REG_DWORD)

    2. Децентрализованный

    На проблемном компьютере, с правами администратора заходите в папку:

    C:\Program Files\Microsoft Security Client\
    И запускаете там команду:
    MpCmdrun –RemoveDefinitions (или MpCmdrun -RemoveDefinitions -All)

    Сам SCEP должен быть запущен.

    16 апреля 2014 г. 8:17
  • Вот решение:

    На проблемном компьютере, с правами администратора заходите в папку:

    C:\Program Files\Microsoft Security Client\

    И запускаете там команду:

    MpCmdrun –RemoveDefinitions

    Сам SCEP должен быть запущен.

    Команда не отрабатывает. Ругается на ошибку аргумента.
    C:\Program Files\Microsoft Security Client\Antimalware>MpCmdrun -RemoveDefinitions
     CmdTool: Failed with hr = 0x80070667. Check C:\DOCUME~1\KUM~1.HLY\LOCALS~1\Temp\
     MpCmdRun.log for more information
     CmdTool: Invalid command line argument
     Microsoft Antimalware Service Command Line Utility (c)2006-2008 Microsoft Corp
     Use this tool to automate and troubleshoot Microsoft Antimalware Service

    В лог файле только это

    -------------------------------------------------------------------------------------
    MpCmdRun: Command Line: MpCmdrun –RemoveDefinitions
    Start Time: ‎Ср ‎апр ‎16 ‎2014 10:55:03
    MpCmdRun: End Time: ‎Ср ‎апр ‎16 ‎2014 10:55:03
    -------------------------------------------------------------------------------------


    16 апреля 2014 г. 8:19
  • Вообщем пока что найдены два метода решения проблемы:

    1. Централизованный

    При помощи групповой политики поменять в реестре параметр на:

    HKLM\Software\Microsoft\Microsoft Antimalware\Real-Time Protection DisableBehaviorMonitoring = 1  (REG_DWORD)

    Я бы не рискнул отключать Защиту в реальном времени на всех компьютерах в домене.

    16 апреля 2014 г. 8:25
  • Насколько я понимаю, это отклюение эвристики и подозрительного поведения программ, но не отключение антивирусного сканирования по сигнатурам.

    Note that disabling BM is a temporary workaround, and customers should be advised/reminded to re-enable it after the next signature update.

    • Изменено Vashchukov 16 апреля 2014 г. 11:08
    16 апреля 2014 г. 8:31
  • Сделать WMI фильтр по XP
    16 апреля 2014 г. 9:20
  • Вроде как в Definition 1.171.64.0 полечили, но пока скачивает только WSUS их, через http://www.microsoft.com/security/portal/definitions/adl.aspx доступна только 1.171.53... версии.

    16 апреля 2014 г. 13:05
  • Как лечили мы:

    1) Политикой на SCCm отключили защиту в реальном времени

    2) распространили политику на компы. Пользователи смогли делать хоть что-то

    3) Через wuauclt обновили определения до версии 1.171.79

    4) Включили защиту в реальном времени

    Проблема ушла.

    • Предложено в качестве ответа PylnovN 17 апреля 2014 г. 6:30
    • Помечено в качестве ответа Vashchukov 17 апреля 2014 г. 6:56
    17 апреля 2014 г. 5:47