C 24 марта в логах при любой (как по Unmanaged Update, так и вручную через Mpcmdrun) попытке обновления сигнатур вылезает вот это:

MpCmdRun: Command Line: mpcmdrun -SignatureUpdate -MMPC
Start Time: Пн апр 03 2017 01:08:53

Start: MpSignatureUpdate()
Update started
Search Started (HTTP) (Path: http://go.microsoft.com/fwlink/?LinkID=121721&clcid=0x409&arch=x86&eng=1.1.13601.0&avdelta=1.239.592.0&asdelta=1.239.592.0&prod=EDB4FA23-53B8-4AFA-8C5D-99752CCA7094)...
Download Started...
Time Info - Пн апр 03 2017 01:09:15 Download Completed
Installation Started...
Update failed with hr: 0x80070645
Installation Completed
Update completed with hr: 0x80070645
ERROR: Signature Update failed with hr=80070645

Установлено вот это:

Product Version: 4.4.304.0
Service Version: 4.4.304.0
Engine Version: 1.1.13601.0

Теперь каждые несколько часов во временной папке в MpSigStub.log имею запись следующего типа:

Start time: 2017-04-02 22:09:16Z
Process: b2c.1d2abfdc504a13a
Command: /version 1.1.13642.0 /program C:\DOCUME~1\USIKPA\LOCALS~1\Temp\mpam-f9ef84b1.exe /q /ProductGUID EDB4FA23-53B8-4AFA-8C5D-99752CCA7094
Administrator: yes
Version: 1.1.13642.0

=================================== ProductSearch ==================================

ERROR 0x80070645 : No installed products found
ERROR 0x80070645 : SearchForInstalledProducts
ERROR 0x80070645 : MpSigStubMain
End time: 2017-04-02 22:09:16Z

Удаление MSEv2 через Установка и удаление программ с последующей переустановкой как через Microsoft Update, так и MSEinstall.exe, ситуации не изменили.

"Ручками скормил" системе содержимое последнего mpam-fe.exe (тупо отключив Antimalware службу и скопировав фалы в путь C:\Documents and Settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\{EA296F79-8587-46CE-8A05-44F24B06D0D2}), MSEv2 после перезагрузки системы обновился, сообщений об ошибках в событиях нет.


PS В системе установлен Kaspersky Security Scan (загрузка при старте ОТКЛЮЧЕНА), но его наличие ранее не вызывало никаких проблем.

ЗЗЫ Перед переустановкой продукта специально проверял, чтобы в реестре не было

HKEY_CLASSES_ROOT\Installer\UpgradeCodes\26D13F39948E1D546B0106B5539504D9

со значением

24174DC0F4AB0B64AA2962576894828B

- они появляются там после установки

tnkfs, сделайте лог Process Monitor (https://yadi.sk/d/u_VTzHK_3FHffh) (по ссылке версия 3.10, совместимая с Windows XP) следующим образом:
запустите Process Monitor;
попытайтесь обновить сигнатуры MSE, чтобы получилась ошибка;
сохраните лог: меню File -> Save -> PML-формат;
заархивируйте и выложите на любой файлообменник, например dropmefiles.com.

Вот здесь (http://dropmefiles.com/2kCPH)

Запустил ProcMon, затем mpcmdrun - SignatureUpdate - MMPC до появления уведомления об ошибке, затем сохранил лог

Я читал, как Русинович отслеживал ошибки обновлений Windows, но, к сожалению, не знаком с ProcMon на пользовательском уровне.

Кстати, указанной ошибке предшествовала за несколько дней иная, которую я и не заметил ранее:

При попытке обновления сигнатур программа Microsoft Antimalware обнаружила ошибку.
Новая версия сигнатур:
Предыдущая версия сигнатур: 1.237.1445.0
Источник обновления: Центр Майкрософт по защите от вредоносных программ
Этап обновления: Установить
Путь к источнику: http://go.microsoft.com/fwlink/?LinkID=121721&clcid=0x409&arch=x86&eng=1.1.13504.0&avdelta=1.237.1445.0&asdelta=1.237.1445.0&prod=EDB4FA23-53B8-4AFA-8C5D-99752CCA7094
Тип сигнатур: AntiVirus
Тип обновления: Полное
Пользователь: NT AUTHORITY\NETWORK SERVICE
Текущая версия ядра:
Предыдущая версия ядра: 1.1.13504.0
Код ошибки: 0x8000ffff
Описание ошибки: Разрушительный сбой




Тип события: Ошибка
Источник события: MPSampleSubmission
Категория события: Отсутствует
Код события: 5000
Дата: 23.03.2017
Время: 21:50:30
Пользователь: Н/Д
Компьютер: USIKPA-NOTEBOOK
Описание:
EventType mptelemetry, P1 0x8000ffff, P2 patchapplication, P3 am bde, P4 1.1.13251.0, P5 mpsigstub.exe, P6 4.4.304.0, P7 microsoft security essentials, P8 NIL, P9 NIL, P10 NIL.

Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".
Данные:
0000: 6d 00 70 00 74 00 65 00 m.p.t.e.
0008: 6c 00 65 00 6d 00 65 00 l.e.m.e.
0010: 74 00 72 00 79 00 2c 00 t.r.y.,.
0018: 20 00 30 00 78 00 38 00 .0.x.8.
0020: 30 00 30 00 30 00 66 00 0.0.0.f.
0028: 66 00 66 00 66 00 2c 00 f.f.f.,.
0030: 20 00 70 00 61 00 74 00 .p.a.t.
0038: 63 00 68 00 61 00 70 00 c.h.a.p.
0040: 70 00 6c 00 69 00 63 00 p.l.i.c.
0048: 61 00 74 00 69 00 6f 00 a.t.i.o.
0050: 6e 00 2c 00 20 00 61 00 n.,. .a.
0058: 6d 00 20 00 62 00 64 00 m. .b.d.
0060: 65 00 2c 00 20 00 31 00 e.,. .1.
0068: 2e 00 31 00 2e 00 31 00 ..1...1.
0070: 33 00 32 00 35 00 31 00 3.2.5.1.
0078: 2e 00 30 00 2c 00 20 00 ..0.,. .
0080: 6d 00 70 00 73 00 69 00 m.p.s.i.
0088: 67 00 73 00 74 00 75 00 g.s.t.u.
0090: 62 00 2e 00 65 00 78 00 b...e.x.
0098: 65 00 2c 00 20 00 34 00 e.,. .4.
00a0: 2e 00 34 00 2e 00 33 00 ..4...3.
00a8: 30 00 34 00 2e 00 30 00 0.4...0.
00b0: 2c 00 20 00 6d 00 69 00 ,. .m.i.
00b8: 63 00 72 00 6f 00 73 00 c.r.o.s.
00c0: 6f 00 66 00 74 00 20 00 o.f.t. .
00c8: 73 00 65 00 63 00 75 00 s.e.c.u.
00d0: 72 00 69 00 74 00 79 00 r.i.t.y.
00d8: 20 00 65 00 73 00 73 00 .e.s.s.
00e0: 65 00 6e 00 74 00 69 00 e.n.t.i.
00e8: 61 00 6c 00 73 00 2c 00 a.l.s.,.
00f0: 20 00 4e 00 49 00 4c 00 .N.I.L.
00f8: 2c 00 20 00 4e 00 49 00 ,. .N.I.
0100: 4c 00 20 00 4e 00 49 00 L. .N.I.
0108: 4c 00 0d 00 0a 00 L.....



Тип события: Ошибка
Источник события: MPSampleSubmission
Категория события: Отсутствует
Код события: 5000
Дата: 22.03.2017
Время: 10:39:14
Пользователь: Н/Д
Компьютер: USIKPA-NOTEBOOK
Описание:
EventType mptelemetry, P1 microsoft security essentials (edb4fa23-53b8-4afa-8c5d-99752cca7094), P2 4.4.304.0, P3 timeout, P4 1.1.13504.0, P5 fixed, P6 2 _ 2048, P7 5 _ not boot, P8 NIL, P9 NIL, P10 NIL.

Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".
Данные:
0000: 6d 00 70 00 74 00 65 00 m.p.t.e.
0008: 6c 00 65 00 6d 00 65 00 l.e.m.e.
0010: 74 00 72 00 79 00 2c 00 t.r.y.,.
0018: 20 00 6d 00 69 00 63 00 .m.i.c.
0020: 72 00 6f 00 73 00 6f 00 r.o.s.o.
0028: 66 00 74 00 20 00 73 00 f.t. .s.
0030: 65 00 63 00 75 00 72 00 e.c.u.r.
0038: 69 00 74 00 79 00 20 00 i.t.y. .
0040: 65 00 73 00 73 00 65 00 e.s.s.e.
0048: 6e 00 74 00 69 00 61 00 n.t.i.a.
0050: 6c 00 73 00 20 00 28 00 l.s. .(.
0058: 65 00 64 00 62 00 34 00 e.d.b.4.
0060: 66 00 61 00 32 00 33 00 f.a.2.3.
0068: 2d 00 35 00 33 00 62 00 -.5.3.b.
0070: 38 00 2d 00 34 00 61 00 8.-.4.a.
0078: 66 00 61 00 2d 00 38 00 f.a.-.8.
0080: 63 00 35 00 64 00 2d 00 c.5.d.-.
0088: 39 00 39 00 37 00 35 00 9.9.7.5.
0090: 32 00 63 00 63 00 61 00 2.c.c.a.
0098: 37 00 30 00 39 00 34 00 7.0.9.4.
00a0: 29 00 2c 00 20 00 34 00 ).,. .4.
00a8: 2e 00 34 00 2e 00 33 00 ..4...3.
00b0: 30 00 34 00 2e 00 30 00 0.4...0.
00b8: 2c 00 20 00 74 00 69 00 ,. .t.i.
00c0: 6d 00 65 00 6f 00 75 00 m.e.o.u.
00c8: 74 00 2c 00 20 00 31 00 t.,. .1.
00d0: 2e 00 31 00 2e 00 31 00 ..1...1.
00d8: 33 00 35 00 30 00 34 00 3.5.0.4.
00e0: 2e 00 30 00 2c 00 20 00 ..0.,. .
00e8: 66 00 69 00 78 00 65 00 f.i.x.e.
00f0: 64 00 2c 00 20 00 32 00 d.,. .2.
00f8: 20 00 5f 00 20 00 32 00 ._. .2.
0100: 30 00 34 00 38 00 2c 00 0.4.8.,.
0108: 20 00 35 00 20 00 5f 00 .5. ._.
0110: 20 00 6e 00 6f 00 74 00 .n.o.t.
0118: 20 00 62 00 6f 00 6f 00 .b.o.o.
0120: 74 00 2c 00 20 00 4e 00 t.,. .N.
0128: 49 00 4c 00 2c 00 20 00 I.L.,. .
0130: 4e 00 49 00 4c 00 20 00 N.I.L. .
0138: 4e 00 49 00 4c 00 0d 00 N.I.L...
0140: 0a 00 ..

tnkfs, странно, откуда в вашей Windows XP взялся файл
C:\WINDOWS\system32\api-ms-win-core-synch-l1-2-0.dll из Windows 10.

Следствием установлены несколько странные вещи:

1. Система показывает, что указанный файл и его сообщники ассоциируются с Universal Extractor, установленным в системе ещё летом 2016 года.

http://i91.fastpic.ru/big/2017/0404/10/8aa786c98fe3938c31b3fb6c13387510.jpg


2. Однако, слепки с системы появления этих файлов во время установки UE не зафиксировали, НО однозначно указывают на пакет Microsoft Visual C++ 2015 Redistributable (x86) - 14.0.23026 в качестве наиболее вероятного подозреваемого:

http://i91.fastpic.ru/big/2017/0404/f6/a2e1fb6e8653363c2cfb323deb295bf6.jpg

Как быть?

Этот файл действительно появляется после установки Microsoft Visual C++ 2015.

tnkfs, ну а если его переименовать и перезагрузиться?

1. Система показывает, что указанный файл и его сообщники ассоциируются с Universal Extractor, установленным в системе ещё летом 2016 года. »
Вообще-то система показывает что windows была дана установка "открывать все файлы *.dll с помощью universal extractor". Информация совершенно бесполезная, в принципе.

Вообще-то система показывает что windows была дана установка "открывать все файлы *.dll с помощью universal extractor". »

Да, виноват, именно так, сразу не сообразил.

Есть ощущение, что сам Microsoft Visual C++ 2015 Redistributable (x86) - 14.0.23026 мне уже не нужен. Как проверить зависимость установленного в системе от наличия этих библиотек?

И почему, собственно, обновление MSEv2 об них спотыкается?

tnkfs, спотыкается или не спотыкается MSEv2, можно выяснить, если переименовать файл и перезагрузиться.

UpdateПереименовал файл в C:\WINDOWS\system32\api-ms-win-core-synch-l1-2-0.old.

Перезагрузился.

Выполнение обновления в режиме командной строки дало неожиданный результат, учитывая, что в системе установлены определения аж от 1 апреля:

MpCmdRun: Command Line: mpcmdrun -SignatureUpdate - MMPC
Start Time: Пт апр 07 2017 14:32:04

Start: MpSignatureUpdate()
Update started
Search Started (MU/WU update) (Path: http://www.microsoft.com)...
Search Completed
Update completed succesfully . no updates needed (hr:0x00000001)
Finish: MpSignatureUpdate()
MpCmdRun: End Time: Пт апр 07 2017 14:32:11

Скачал актуальную версию Mpam-fe.exe для 32 разрядных систем и запустил её. Результат:

Start time: 2017-04-07 11:46:49Z
Process: 9d4.1d2af94a44b7096
Command: /version 1.1.13735.0 /program mpam-fe
Administrator: yes
Version: 1.1.13735.0

=================================== ProductSearch ==================================

Microsoft Antimalware (Beijing):
Status: Active
Update: 1.1.13735.0
Engine: 1.1.13601.0
AS delta VDM: 1.239.592.0
NIS engine: Not found
NIS full VDM: Not found

================================ PackageDiscovery ================================

Package files discovered:
mpasbase.vdm: dcf2553c6199293a6359db761b04d3da9c7cb3c24d4ee07a6030c4410668fc79 1.239.0.0
mpasdlta.vdm: fd55e658c807bf0a7fd99459933030e4e973bf39a610546440aa225952484345 1.239.990.0
mpavbase.vdm: b00babea2669d37d3436f96f8ed8c1f4a522a5d14e8e3e41cdbf3e334e18d0b1 1.239.0.0
mpavdlta.vdm: e31e6d35dab1238d264306a1f07843b046133572939782046cd9d9f49cd86748 1.239.990.0
mpengine.dll: 6f4466b67afdbf73922c607e4f84f3569771655760754b6fe253fb2612162a64 1.1.13601.0
MPSigStub.exe: 3d75f913e8dffdc6e4a60293090152880a8f36907549792c8b84c66d648ce6e2 1.1.13735.0
AM FE:
Engine: 1.1.13601.0
AS base VDM: 1.239.0.0
AV base VDM: 1.239.0.0
AS delta VDM: 1.239.990.0
AV delta VDM: 1.239.990.0

===================================== Update =====================================

Product name: Microsoft Antimalware (Beijing)
Package files:
mpasbase.vdm: dcf2553c6199293a6359db761b04d3da9c7cb3c24d4ee07a6030c4410668fc79 1.239.0.0
mpasdlta.vdm: fd55e658c807bf0a7fd99459933030e4e973bf39a610546440aa225952484345 1.239.990.0
mpavbase.vdm: b00babea2669d37d3436f96f8ed8c1f4a522a5d14e8e3e41cdbf3e334e18d0b1 1.239.0.0
mpavdlta.vdm: e31e6d35dab1238d264306a1f07843b046133572939782046cd9d9f49cd86748 1.239.990.0
mpengine.dll: 6f4466b67afdbf73922c607e4f84f3569771655760754b6fe253fb2612162a64 1.1.13601.0
MPSigStub.exe: 3d75f913e8dffdc6e4a60293090152880a8f36907549792c8b84c66d648ce6e2 1.1.13735.0
ERROR 0x80070020 : MpUpdateEngine(C:\DOCUME~1\USIKPA\LOCALS~1\Temp\{9289A943-57C6-4C6A-9525-A9D423946617})

================================== XcopyDeployment =================================

Using Xcopy location: C:\Documents and Settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\Updates

================================== XcopyForProduct =================================

DropLocation: C:\Documents and Settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\Updates
Copied mpengine.dll
Copied mpasbase.vdm
Copied mpavbase.vdm
Copied mpasdlta.vdm
Copied mpavdlta.vdm

============================= WaitForSignatureUpdate =============================

The msmpsvc service reports a successful update
SignatureLocation changed from C:\Documents and Settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\{EA296F79-8587-46CE-8A05-44F24B06D0D2} to C:\Documents and Settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\{583E0105-583E-446B-8574-B88A38C13B10}
Signatures updated from C:\DOCUME~1\USIKPA\LOCALS~1\Temp\{9289A943-57C6-4C6A-9525-A9D423946617}

================================= ValidateUpdate =================================

MpSigStub successfully updated Microsoft Antimalware (Beijing) using the AM FE package.

Original: Updated to:
Engine: 1.1.13601.0 1.1.13601.0
AS base VDM: 1.239.0.0 1.239.0.0
AV base VDM: 1.239.0.0 1.239.0.0
AS delta VDM: 1.239.592.0 1.239.990.0
AV delta VDM: 1.239.592.0 1.239.990.0

Set DeltaUpdateFailure to 0
Set BddUpdateFailure to 0
End time: 2017-04-07 11:47:52Z

Перезагрузился. Определения вирусов и программ-шпионов - последняя версия. Однако, в событиях в разделе Система появилось уведомление об ошибке:


Тип события: Ошибка
Источник события: Microsoft Antimalware
Категория события: Отсутствует
Код события: 2001
Дата: 07.04.2017
Время: 14:46:58
Описание:
При попытке обновления сигнатур программа Microsoft Antimalware обнаружила ошибку.
Новая версия сигнатур:
Предыдущая версия сигнатур: 1.239.592.0
Источник обновления: Пользователь
Этап обновления: Установить
Путь к источнику:
Тип сигнатур: AntiSpyware
Тип обновления: Добавочное
Текущая версия ядра:
Предыдущая версия ядра: 1.1.13601.0
Код ошибки: 0x80070020
Описание ошибки: Процесс не может получить доступ к файлу, так как этот файл занят другим процессом.


... после чего уже идёт уведомление об успешном обновлении версии сигнатур.


PS Обновляться могу только в режиме командной строки

Так, что, решения нету? Так и обновляться?

Так, что, решения нету? »
tnkfs, А, рекомендации (https://support.microsoft.com/ru-ru/help/2635095/error-0x80070645-appears-when-you-try-to-upgrade-microsoft-security-essentials) с сайта MS по этой ошибке выполняли?

А, рекомендации с сайта MS по этой ошибке выполняли? »

да:

Удаление MSEv2 через Установка и удаление программ с последующей переустановкой как через Microsoft Update, так и MSEinstall.exe, ситуации не изменили. »

Новая напасть. Теперь в режиме командной строки mpcmdrun выдает ошибку:

Тип события: Ошибка
Источник события: Microsoft Antimalware
Категория события: Отсутствует
Код события: 2001
*** При попытке обновления сигнатур программа Microsoft Antimalware обнаружила ошибку.
Новая версия сигнатур:
Предыдущая версия сигнатур: 1.245.459.0
Источник обновления: Центр Майкрософт по защите от вредоносных программ
Этап обновления: Найти
Путь к источнику: http://go.microsoft.com/fwlink/?LinkID=121721&clcid=0x409&arch=x86&eng=1.1.13804.0&avdelta=1.245.459.0&asdelta=1.245.459.0&prod=EDB4FA23-53B8-4AFA-8C5D-99752CCA7094
Тип сигнатур: AntiSpyware
Тип обновления: Полное
Текущая версия ядра:
Предыдущая версия ядра: 1.1.13804.0
Код ошибки: 0x80090326
Описание ошибки: Получено непредвиденное сообщение или оно имеет неправильный формат.


Иду по ссылке: http://go.microsoft.com/fwlink/?LinkID=121721&clcid=0x409&arch=x86&eng=1.1.13804.0&avdelta=1.245.459.0&asdelta=1.245.459.0&prod=EDB4FA23-53B8-4AFA-8C5D-99752CCA7094 и всё скачиваетя прекрасно вручную ...

Что это может быть?

Решение найдено вот здесь (http://www.msfn.org/board/topic/175514-microsoft-security-essentials-and-windows-xp/?do=findComment&comment=1122545). Было бы неплохо запостить для всех

Решение найдено вот здесь. Было бы неплохо запостить для всех »
Спасибо за инфу, но как и что конкретно там делать?!

Спасибо за инфу, но как и что конкретно там делать?! »

Что сделал я:

1. Скачал по приведенной ссылке MSE_DEF_UPD_v1.5.exe
2. С периодичностью раз в пару-тройку дней вручную запускаю сей скрипт. Он выводит менюшку и ждёт подтверждения. - Я выбираю "1" и жму "Ввод".
3. Скачиваются и устанавливаются дефиниции. При необходимости апдейтится движок.

Вуаля! Жму "Q" + "Ввод", скрипт закрывается, базы обновлены

PS Там же есть описание как ПОЛНОСТЬЮ автоматизировать процесс, используя планировщик заданий (назначенные задания?)