Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Microsoft Windows 2000/XP (http://forum.oszone.net/forumdisplay.php?f=6)
-   -   [решено] Ошибка 0x80070645 при попытке обновления сигнатур Microsoft Security Essentials (http://forum.oszone.net/showthread.php?t=325488)

tnkfs 03-04-2017 02:36 2725436
Ошибка 0x80070645 при попытке обновления сигнатур Microsoft Security Essentials
 
C 24 марта в логах при любой (как по Unmanaged Update, так и вручную через Mpcmdrun) попытке обновления сигнатур вылезает вот это:

Код:
MpCmdRun: Command Line: mpcmdrun -SignatureUpdate -MMPC
 Start Time: Пн апр 03 2017 01:08:53

Start: MpSignatureUpdate()
Update started
Search Started (HTTP) (Path: http://go.microsoft.com/fwlink/?LinkID=121721&clcid=0x409&arch=x86&eng=1.1.13601.0&avdelta=1.239.592.0&asdelta=1.239.592.0&prod=EDB4FA23-53B8-4AFA-8C5D-99752CCA7094)...
Download Started...
Time Info - Пн апр 03 2017 01:09:15 Download Completed
Installation Started...
Update failed with hr: 0x80070645
Installation Completed
Update completed with hr: 0x80070645
ERROR: Signature Update failed with hr=80070645
Установлено вот это:

Product Version: 4.4.304.0
Service Version: 4.4.304.0
Engine Version: 1.1.13601.0

Теперь каждые несколько часов во временной папке в MpSigStub.log имею запись следующего типа:

Код:
Start time: 2017-04-02 22:09:16Z
Process: b2c.1d2abfdc504a13a
Command: /version 1.1.13642.0 /program C:\DOCUME~1\USIKPA\LOCALS~1\Temp\mpam-f9ef84b1.exe /q /ProductGUID EDB4FA23-53B8-4AFA-8C5D-99752CCA7094
Administrator: yes
Version: 1.1.13642.0

=================================== ProductSearch ==================================

ERROR 0x80070645 : No installed products found
ERROR 0x80070645 : SearchForInstalledProducts
ERROR 0x80070645 : MpSigStubMain
End time: 2017-04-02 22:09:16Z
Удаление MSEv2 через Установка и удаление программ с последующей переустановкой как через Microsoft Update, так и MSEinstall.exe, ситуации не изменили.

"Ручками скормил" системе содержимое последнего mpam-fe.exe (тупо отключив Antimalware службу и скопировав фалы в путь C:\Documents and Settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\{EA296F79-8587-46CE-8A05-44F24B06D0D2}), MSEv2 после перезагрузки системы обновился, сообщений об ошибках в событиях нет.


PS В системе установлен Kaspersky Security Scan (загрузка при старте ОТКЛЮЧЕНА), но его наличие ранее не вызывало никаких проблем.

ЗЗЫ Перед переустановкой продукта специально проверял, чтобы в реестре не было

HKEY_CLASSES_ROOT\Installer\UpgradeCodes\26D13F39948E1D546B0106B5539504D9

со значением

24174DC0F4AB0B64AA2962576894828B

- они появляются там после установки

Petya V4sechkin 03-04-2017 09:42 2725678
tnkfs, сделайте лог Process Monitor (по ссылке версия 3.10, совместимая с Windows XP) следующим образом:
  1. запустите Process Monitor;
  2. попытайтесь обновить сигнатуры MSE, чтобы получилась ошибка;
  3. сохраните лог: меню File -> Save -> PML-формат;
  4. заархивируйте и выложите на любой файлообменник, например dropmefiles.com.

tnkfs 04-04-2017 13:38 2726110
Вот здесь

Запустил ProcMon, затем mpcmdrun - SignatureUpdate - MMPC до появления уведомления об ошибке, затем сохранил лог

Я читал, как Русинович отслеживал ошибки обновлений Windows, но, к сожалению, не знаком с ProcMon на пользовательском уровне.

Кстати, указанной ошибке предшествовала за несколько дней иная, которую я и не заметил ранее:

Код:
При попытке обновления сигнатур программа Microsoft Antimalware обнаружила ошибку.
        Новая версия сигнатур:
        Предыдущая версия сигнатур: 1.237.1445.0
        Источник обновления: Центр Майкрософт по защите от вредоносных программ
        Этап обновления: Установить
        Путь к источнику: http://go.microsoft.com/fwlink/?LinkID=121721&clcid=0x409&arch=x86&eng=1.1.13504.0&avdelta=1.237.1445.0&asdelta=1.237.1445.0&prod=EDB4FA23-53B8-4AFA-8C5D-99752CCA7094
        Тип сигнатур: AntiVirus
        Тип обновления: Полное
        Пользователь: NT AUTHORITY\NETWORK SERVICE
        Текущая версия ядра:
        Предыдущая версия ядра: 1.1.13504.0
        Код ошибки: 0x8000ffff
        Описание ошибки: Разрушительный сбой




Тип события:        Ошибка
Источник события:        MPSampleSubmission
Категория события:        Отсутствует
Код события:        5000
Дата:                23.03.2017
Время:                21:50:30
Пользователь:                Н/Д
Компьютер:        USIKPA-NOTEBOOK
Описание:
EventType mptelemetry, P1 0x8000ffff, P2 patchapplication, P3 am bde, P4 1.1.13251.0, P5 mpsigstub.exe, P6 4.4.304.0, P7 microsoft security essentials, P8 NIL, P9 NIL, P10 NIL.

Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".
Данные:
0000: 6d 00 70 00 74 00 65 00  m.p.t.e.
0008: 6c 00 65 00 6d 00 65 00  l.e.m.e.
0010: 74 00 72 00 79 00 2c 00  t.r.y.,.
0018: 20 00 30 00 78 00 38 00    .0.x.8.
0020: 30 00 30 00 30 00 66 00  0.0.0.f.
0028: 66 00 66 00 66 00 2c 00  f.f.f.,.
0030: 20 00 70 00 61 00 74 00    .p.a.t.
0038: 63 00 68 00 61 00 70 00  c.h.a.p.
0040: 70 00 6c 00 69 00 63 00  p.l.i.c.
0048: 61 00 74 00 69 00 6f 00  a.t.i.o.
0050: 6e 00 2c 00 20 00 61 00  n.,. .a.
0058: 6d 00 20 00 62 00 64 00  m. .b.d.
0060: 65 00 2c 00 20 00 31 00  e.,. .1.
0068: 2e 00 31 00 2e 00 31 00  ..1...1.
0070: 33 00 32 00 35 00 31 00  3.2.5.1.
0078: 2e 00 30 00 2c 00 20 00  ..0.,. .
0080: 6d 00 70 00 73 00 69 00  m.p.s.i.
0088: 67 00 73 00 74 00 75 00  g.s.t.u.
0090: 62 00 2e 00 65 00 78 00  b...e.x.
0098: 65 00 2c 00 20 00 34 00  e.,. .4.
00a0: 2e 00 34 00 2e 00 33 00  ..4...3.
00a8: 30 00 34 00 2e 00 30 00  0.4...0.
00b0: 2c 00 20 00 6d 00 69 00  ,. .m.i.
00b8: 63 00 72 00 6f 00 73 00  c.r.o.s.
00c0: 6f 00 66 00 74 00 20 00  o.f.t. .
00c8: 73 00 65 00 63 00 75 00  s.e.c.u.
00d0: 72 00 69 00 74 00 79 00  r.i.t.y.
00d8: 20 00 65 00 73 00 73 00    .e.s.s.
00e0: 65 00 6e 00 74 00 69 00  e.n.t.i.
00e8: 61 00 6c 00 73 00 2c 00  a.l.s.,.
00f0: 20 00 4e 00 49 00 4c 00    .N.I.L.
00f8: 2c 00 20 00 4e 00 49 00  ,. .N.I.
0100: 4c 00 20 00 4e 00 49 00  L. .N.I.
0108: 4c 00 0d 00 0a 00        L..... 



Тип события:        Ошибка
Источник события:        MPSampleSubmission
Категория события:        Отсутствует
Код события:        5000
Дата:                22.03.2017
Время:                10:39:14
Пользователь:                Н/Д
Компьютер:        USIKPA-NOTEBOOK
Описание:
EventType mptelemetry, P1 microsoft security essentials (edb4fa23-53b8-4afa-8c5d-99752cca7094), P2 4.4.304.0, P3 timeout, P4 1.1.13504.0, P5 fixed, P6 2 _ 2048, P7 5 _ not boot, P8 NIL, P9 NIL, P10 NIL.

Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".
Данные:
0000: 6d 00 70 00 74 00 65 00  m.p.t.e.
0008: 6c 00 65 00 6d 00 65 00  l.e.m.e.
0010: 74 00 72 00 79 00 2c 00  t.r.y.,.
0018: 20 00 6d 00 69 00 63 00    .m.i.c.
0020: 72 00 6f 00 73 00 6f 00  r.o.s.o.
0028: 66 00 74 00 20 00 73 00  f.t. .s.
0030: 65 00 63 00 75 00 72 00  e.c.u.r.
0038: 69 00 74 00 79 00 20 00  i.t.y. .
0040: 65 00 73 00 73 00 65 00  e.s.s.e.
0048: 6e 00 74 00 69 00 61 00  n.t.i.a.
0050: 6c 00 73 00 20 00 28 00  l.s. .(.
0058: 65 00 64 00 62 00 34 00  e.d.b.4.
0060: 66 00 61 00 32 00 33 00  f.a.2.3.
0068: 2d 00 35 00 33 00 62 00  -.5.3.b.
0070: 38 00 2d 00 34 00 61 00  8.-.4.a.
0078: 66 00 61 00 2d 00 38 00  f.a.-.8.
0080: 63 00 35 00 64 00 2d 00  c.5.d.-.
0088: 39 00 39 00 37 00 35 00  9.9.7.5.
0090: 32 00 63 00 63 00 61 00  2.c.c.a.
0098: 37 00 30 00 39 00 34 00  7.0.9.4.
00a0: 29 00 2c 00 20 00 34 00  ).,. .4.
00a8: 2e 00 34 00 2e 00 33 00  ..4...3.
00b0: 30 00 34 00 2e 00 30 00  0.4...0.
00b8: 2c 00 20 00 74 00 69 00  ,. .t.i.
00c0: 6d 00 65 00 6f 00 75 00  m.e.o.u.
00c8: 74 00 2c 00 20 00 31 00  t.,. .1.
00d0: 2e 00 31 00 2e 00 31 00  ..1...1.
00d8: 33 00 35 00 30 00 34 00  3.5.0.4.
00e0: 2e 00 30 00 2c 00 20 00  ..0.,. .
00e8: 66 00 69 00 78 00 65 00  f.i.x.e.
00f0: 64 00 2c 00 20 00 32 00  d.,. .2.
00f8: 20 00 5f 00 20 00 32 00    ._. .2.
0100: 30 00 34 00 38 00 2c 00  0.4.8.,.
0108: 20 00 35 00 20 00 5f 00    .5. ._.
0110: 20 00 6e 00 6f 00 74 00    .n.o.t.
0118: 20 00 62 00 6f 00 6f 00    .b.o.o.
0120: 74 00 2c 00 20 00 4e 00  t.,. .N.
0128: 49 00 4c 00 2c 00 20 00  I.L.,. .
0130: 4e 00 49 00 4c 00 20 00  N.I.L. .
0138: 4e 00 49 00 4c 00 0d 00  N.I.L...
0140: 0a 00                    ..

Petya V4sechkin 04-04-2017 18:38 2726187
tnkfs, странно, откуда в вашей Windows XP взялся файл
C:\WINDOWS\system32\api-ms-win-core-synch-l1-2-0.dll из Windows 10.

tnkfs 04-04-2017 22:19 2726239
Следствием установлены несколько странные вещи:

1. Система показывает, что указанный файл и его сообщники ассоциируются с Universal Extractor, установленным в системе ещё летом 2016 года.




2. Однако, слепки с системы появления этих файлов во время установки UE не зафиксировали, НО однозначно указывают на пакет Microsoft Visual C++ 2015 Redistributable (x86) - 14.0.23026 в качестве наиболее вероятного подозреваемого:



Как быть?

Pilate 04-04-2017 22:22 2726240
Этот файл действительно появляется после установки Microsoft Visual C++ 2015.

Petya V4sechkin 05-04-2017 12:04 2726366
tnkfs, ну а если его переименовать и перезагрузиться?

Charg 05-04-2017 12:10 2726369
Цитата:
Цитата tnkfs
1. Система показывает, что указанный файл и его сообщники ассоциируются с Universal Extractor, установленным в системе ещё летом 2016 года. »
Вообще-то система показывает что windows была дана установка "открывать все файлы *.dll с помощью universal extractor". Информация совершенно бесполезная, в принципе.

tnkfs 05-04-2017 12:55 2726389
Цитата:
Цитата Charg
Вообще-то система показывает что windows была дана установка "открывать все файлы *.dll с помощью universal extractor". »
Да, виноват, именно так, сразу не сообразил.

Есть ощущение, что сам Microsoft Visual C++ 2015 Redistributable (x86) - 14.0.23026 мне уже не нужен. Как проверить зависимость установленного в системе от наличия этих библиотек?

И почему, собственно, обновление MSEv2 об них спотыкается?

Petya V4sechkin 05-04-2017 17:59 2726457
tnkfs, спотыкается или не спотыкается MSEv2, можно выяснить, если переименовать файл и перезагрузиться.

tnkfs 07-04-2017 15:11 2727135
UpdateПереименовал файл в C:\WINDOWS\system32\api-ms-win-core-synch-l1-2-0.old.

Перезагрузился.

Выполнение обновления в режиме командной строки дало неожиданный результат, учитывая, что в системе установлены определения аж от 1 апреля:

Код:
MpCmdRun: Command Line: mpcmdrun -SignatureUpdate - MMPC
 Start Time: Пт апр 07 2017 14:32:04

Start: MpSignatureUpdate()
Update started
Search Started (MU/WU update) (Path: http://www.microsoft.com)...
Search Completed
Update completed succesfully . no updates needed (hr:0x00000001)
Finish: MpSignatureUpdate()
MpCmdRun: End Time: Пт апр 07 2017 14:32:11
Скачал актуальную версию Mpam-fe.exe для 32 разрядных систем и запустил её. Результат:

Код:
Start time: 2017-04-07 11:46:49Z
Process: 9d4.1d2af94a44b7096
Command: /version 1.1.13735.0 /program mpam-fe
Administrator: yes
Version: 1.1.13735.0

=================================== ProductSearch ==================================

              Microsoft Antimalware (Beijing):
      Status: Active                         
      Update: 1.1.13735.0                   
      Engine: 1.1.13601.0                   
 AS delta VDM: 1.239.592.0                   
  NIS engine: Not found                     
 NIS full VDM: Not found                     

================================ PackageDiscovery ================================

 Package files discovered:
            mpasbase.vdm: dcf2553c6199293a6359db761b04d3da9c7cb3c24d4ee07a6030c4410668fc79  1.239.0.0 
            mpasdlta.vdm: fd55e658c807bf0a7fd99459933030e4e973bf39a610546440aa225952484345  1.239.990.0
            mpavbase.vdm: b00babea2669d37d3436f96f8ed8c1f4a522a5d14e8e3e41cdbf3e334e18d0b1  1.239.0.0 
            mpavdlta.vdm: e31e6d35dab1238d264306a1f07843b046133572939782046cd9d9f49cd86748  1.239.990.0
            mpengine.dll: 6f4466b67afdbf73922c607e4f84f3569771655760754b6fe253fb2612162a64  1.1.13601.0
            MPSigStub.exe: 3d75f913e8dffdc6e4a60293090152880a8f36907549792c8b84c66d648ce6e2  1.1.13735.0
              AM FE:   
      Engine: 1.1.13601.0
  AS base VDM: 1.239.0.0 
  AV base VDM: 1.239.0.0 
 AS delta VDM: 1.239.990.0
 AV delta VDM: 1.239.990.0

===================================== Update =====================================

 Product name: Microsoft Antimalware (Beijing)
 Package files:
  mpasbase.vdm: dcf2553c6199293a6359db761b04d3da9c7cb3c24d4ee07a6030c4410668fc79  1.239.0.0 
  mpasdlta.vdm: fd55e658c807bf0a7fd99459933030e4e973bf39a610546440aa225952484345  1.239.990.0
  mpavbase.vdm: b00babea2669d37d3436f96f8ed8c1f4a522a5d14e8e3e41cdbf3e334e18d0b1  1.239.0.0 
  mpavdlta.vdm: e31e6d35dab1238d264306a1f07843b046133572939782046cd9d9f49cd86748  1.239.990.0
  mpengine.dll: 6f4466b67afdbf73922c607e4f84f3569771655760754b6fe253fb2612162a64  1.1.13601.0
 MPSigStub.exe: 3d75f913e8dffdc6e4a60293090152880a8f36907549792c8b84c66d648ce6e2  1.1.13735.0
ERROR 0x80070020 : MpUpdateEngine(C:\DOCUME~1\USIKPA\LOCALS~1\Temp\{9289A943-57C6-4C6A-9525-A9D423946617})

================================== XcopyDeployment =================================

Using Xcopy location: C:\Documents and Settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\Updates

================================== XcopyForProduct =================================

DropLocation: C:\Documents and Settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\Updates
    Copied mpengine.dll
    Copied mpasbase.vdm
    Copied mpavbase.vdm
    Copied mpasdlta.vdm
    Copied mpavdlta.vdm

============================= WaitForSignatureUpdate =============================

The msmpsvc service reports a successful update
SignatureLocation changed from C:\Documents and Settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\{EA296F79-8587-46CE-8A05-44F24B06D0D2} to C:\Documents and Settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\{583E0105-583E-446B-8574-B88A38C13B10}
Signatures updated from C:\DOCUME~1\USIKPA\LOCALS~1\Temp\{9289A943-57C6-4C6A-9525-A9D423946617}

================================= ValidateUpdate =================================

MpSigStub successfully updated Microsoft Antimalware (Beijing) using the AM FE package.

              Original:    Updated to:
      Engine: 1.1.13601.0  1.1.13601.0
  AS base VDM: 1.239.0.0    1.239.0.0 
  AV base VDM: 1.239.0.0    1.239.0.0 
 AS delta VDM: 1.239.592.0  1.239.990.0
 AV delta VDM: 1.239.592.0  1.239.990.0

Set DeltaUpdateFailure to 0
Set BddUpdateFailure to 0
End time: 2017-04-07 11:47:52Z
Перезагрузился. Определения вирусов и программ-шпионов - последняя версия. Однако, в событиях в разделе Система появилось уведомление об ошибке:


Код:
Тип события:        Ошибка
Источник события:        Microsoft Antimalware
Категория события:        Отсутствует
Код события:        2001
Дата:                07.04.2017
Время:                14:46:58
Описание:
При попытке обновления сигнатур программа Microsoft Antimalware обнаружила ошибку.
        Новая версия сигнатур:
        Предыдущая версия сигнатур: 1.239.592.0
        Источник обновления: Пользователь
        Этап обновления: Установить
        Путь к источнику:
        Тип сигнатур: AntiSpyware
        Тип обновления: Добавочное
        Текущая версия ядра:
        Предыдущая версия ядра: 1.1.13601.0
        Код ошибки: 0x80070020
        Описание ошибки: Процесс не может получить доступ к файлу, так как этот файл занят другим процессом.
... после чего уже идёт уведомление об успешном обновлении версии сигнатур.


PS Обновляться могу только в режиме командной строки

tnkfs 14-04-2017 23:16 2729401
Так, что, решения нету? Так и обновляться?

morozoff 15-04-2017 00:25 2729422
Цитата:
Цитата tnkfs
Так, что, решения нету? »
tnkfs, А, рекомендации с сайта MS по этой ошибке выполняли?

tnkfs 15-04-2017 21:27 2729659
Цитата:
Цитата morozoff
А, рекомендации с сайта MS по этой ошибке выполняли? »
да:

Цитата:
Цитата tnkfs
Удаление MSEv2 через Установка и удаление программ с последующей переустановкой как через Microsoft Update, так и MSEinstall.exe, ситуации не изменили. »

tnkfs 07-06-2017 10:46 2742622
Новая напасть. Теперь в режиме командной строки mpcmdrun выдает ошибку:

Код:
Тип события:        Ошибка
Источник события:        Microsoft Antimalware
Категория события:        Отсутствует
Код события:        2001
***  При попытке обновления сигнатур программа Microsoft Antimalware обнаружила ошибку.
        Новая версия сигнатур:
        Предыдущая версия сигнатур: 1.245.459.0
        Источник обновления: Центр Майкрософт по защите от вредоносных программ
        Этап обновления: Найти
        Путь к источнику: http://go.microsoft.com/fwlink/?LinkID=121721&clcid=0x409&arch=x86&eng=1.1.13804.0&avdelta=1.245.459.0&asdelta=1.245.459.0&prod=EDB4FA23-53B8-4AFA-8C5D-99752CCA7094
        Тип сигнатур: AntiSpyware
        Тип обновления: Полное
        Текущая версия ядра:
        Предыдущая версия ядра: 1.1.13804.0
        Код ошибки: 0x80090326
        Описание ошибки: Получено непредвиденное сообщение или оно имеет неправильный формат.
Иду по ссылке: http://go.microsoft.com/fwlink/?Link...D-99752CCA7094 и всё скачиваетя прекрасно вручную ...

Что это может быть?

tnkfs 13-06-2017 12:30 2744165
Решение найдено вот здесь. Было бы неплохо запостить для всех

AlexBag 11-10-2017 13:17 2769805
Цитата:
Цитата tnkfs
Решение найдено вот здесь. Было бы неплохо запостить для всех »
Спасибо за инфу, но как и что конкретно там делать?!

tnkfs 12-10-2017 01:54 2769917
Цитата:
Цитата AlexBag
Спасибо за инфу, но как и что конкретно там делать?! »
Что сделал я:

1. Скачал по приведенной ссылке MSE_DEF_UPD_v1.5.exe
2. С периодичностью раз в пару-тройку дней вручную запускаю сей скрипт. Он выводит менюшку и ждёт подтверждения. - Я выбираю "1" и жму "Ввод".
3. Скачиваются и устанавливаются дефиниции. При необходимости апдейтится движок.

Вуаля! Жму "Q" + "Ввод", скрипт закрывается, базы обновлены

PS Там же есть описание как ПОЛНОСТЬЮ автоматизировать процесс, используя планировщик заданий (назначенные задания?)


Время: 02:10.

Время: 02:10.
© OSzone.net 2001-