微点交流论坛

标题: Bug:服务器上用微点，系统注销时mpmon进程不能关闭造成的问题 [打印本页]

作者: ssnet 时间: 2008-4-17 14:46 标题: Bug:服务器上用微点，系统注销时mpmon进程不能关闭造成的问题

我的服务器(windows server 2003)通过远程桌面连接管理，昨天顺利安装了微点，但安装重启系统后微点托盘图标不能加载，而mpsvc等进程正常，手工启动微点主界面后，微点托盘图标正常显示。

然后从系统注销（不是重启，也不是断开），再次远程连接登录，登录后还是没有托盘图标，再手工启动微点软件，主界面和托盘都不出现，看任务管理器，微点托盘进程mpmon.exe已经存在，也就是说，刚才注销系统没有正常结束该进程。然后重启系统（不是注销），系统提示，已经有其他用户登录到计算机，现在关闭计算机会造成该用户的数据丢失。我就纳闷了，难道是系统被入侵？想到了刚才那个没有正常关闭的mpmon.exe，于是手工结束该进程，再重新重启服务器，ok，一切正常，没有什么提示了。

看来这是mpmon.exe的进程的小bug, 系统注销时不能正常被关闭，再重新进入系统会造成微点主界面都无法启动，也会让系统误以为还有其他用户登录系统（当然，也可能是因为该进程造成上次注销实际上是失败的）

而奇怪的是，我本地系统也装的win2003，注销却没这样的问题，难道是远程桌面的注销才会产生这样的问题？

作者: Legend 时间: 2008-4-17 14:52
微点目前还不支持多用户，故您远程登陆会看不到微点托盘图标。

作者: ssnet 时间: 2008-4-17 15:16
那只有每次配置完微点后手工退出托盘图标喽？但我又不想总是非正常的在任务管理器中结束mpmon进程，但当我右键单击托盘图标选择“退出”的时候又提示我：“退出微点主动防御软件将使你的系统失去保护，确定退出吗”，我点击确定后再看任务管理器，mpmon进程没了，但mpsvc,mpsvc1..等服务进程还在，请问这时候微点主动防御还在生效吗？为什么微点没有选项让用户自己选择是否生成托盘图标呢？

作者: ssnet 时间: 2008-4-17 15:32
我不是要退出微点，是要退出托盘图标。只要在托盘图标显示的情况下（也就是mpmon进程存在）注销系统，下次就打不开微点主界面，且重启服务器还会说有其他用户登录。毕竟这是服务器，每天都要注销好几次，我希望一切正常，看到这些提示总是让人心里异样。
还有什么更好的办法吗？没有这个mpmon.exe进程是不是只是不能提示用户发现病毒，实际上还是阻止了病毒的运行？（我已经设置了不延迟，直接删除病毒文件）

作者: ssnet 时间: 2008-4-17 15:42
刚在kafan的论坛上看到一段话，特别是这一句：“手动干掉MPMON.EXE进程，微点托盘退出，解压病毒样本微点不拦截，运行病毒样本时出现“WINDOWS无法访问指定设备、路径或文件。您可能没有合适的权限访问这个项目。”

解压的时候不拦截，病毒运行的时候拦截，是不是说明mpmon.exe提供一定的病毒特征码扫描功能，但主动防御功能是mpsvc等进程提供的。关掉mpmon.exe是不是还是不太好，少了一部分防范能力？

========================
手动干掉MPMON.EXE进程，微点托盘退出，解压病毒样本微点不拦截，运行病毒样本时出现“WINDOWS无法访问指定设备、路径或文件。您可能没有合适的权限访问这个项目。最近的一个病毒就是干掉MPMON.EXE进程的，初步看来，微点托盘退出依然能够提供很好的保护。
手动干掉MPSVC.EXE进程，貌似对微点杀毒没有影响，病毒样本一解压就报了。
手动干掉MPSVC1.EXE进程，复活3-5次，然后不再出现，过一小段时间，微点托盘退出，进任务管理器看，这时微点的进程已全数退出，一个不剩。
手动干掉MPSVC2.EXE进程，复活四次，然后不再出现，过了很短的一段时间（比MPSVC1.EXE那里的短），微点托盘退出，微点进程全数退出，一个不剩。
MPSTART.EXE进程只在启动微点的时候出现，微点的进程悉数加载后自动退出。
总结：猜想MPSVC1.EXE和MPSVC2.EXE是微点的核心进程，肯定是需要特别保护。以上都是进任务管理器里关闭进程的，而微点为了用户方便是允许用户自行结束微点的进程的，但是现在就已经出现能够结束微点进程的病毒，就算用户上报了，改下特征，成了变种，依然可以结束微点的进程，可能解决的难度比较大吧？所以才先用特征码解决？这些只是猜想，还是希望微点可以从根本上解决这问题。

作者: Legend 时间: 2008-4-17 15:48
在注销系统后，您双击微点快捷方式后，可以用任务管理器查看一下微点的进程：mpmain.exe mpsvc.exe mpsvc1.exe mpsvc2.exe mpmon.exe，您可以看到它们都是正常运行的，您之所以看不到主界面，是由于目前微点不支持多用户导致的，此时依然能很好的保护您的系统的。

建议您使用pcanywhere工具登陆服务器，这样您便可以很好的进行远程控制了。

另外，上述进程都是微点重要进程，请不要手动结束。

[ Last edited by Legend on 2008-4-17 at 15:59 ]

作者: ssnet 时间: 2008-4-17 16:02
请问预升级版支持多用户吗？

作者: images 时间: 2008-4-17 16:04
看下mpmon.exe的用户名称就知道了。

作者: ssnet 时间: 2008-4-17 16:09
mpmon的用户名称就是登录的系统帐户，这能知道什么呢？

作者: images 时间: 2008-4-17 16:17
你注销了当前用户当然也就把当前用户启动的程序全部注销了。

作者: y0365 时间: 2008-4-17 16:39
退出mpmon.exe，微点就不会对系统中出现的有害程序进行报警了。

作者: ssnet 时间: 2008-4-17 16:41

Quote:

Originally posted by images at 2008-4-17 16:17:
你注销了当前用户当然也就把当前用户启动的程序全部注销了。

问题是恰恰相反，mpmon.exe注销后还在，否则我重启系统不会提示我还有其他用户登录。因为mpmon.exe是以上一个用户的名义运行的，系统会把这个行为当作上一个用户还在系统上操作。也可能是因为这个进程根本就没有注销成功，卡住了，只是断开了系统。

作者: ssnet 时间: 2008-4-17 16:45

Quote:

Originally posted by y0365 at 2008-4-17 16:39:
退出mpmon.exe，微点就不会对系统中出现的有害程序进行报警了。

我不需要报警，这是服务器，报警了大多数时候我也看不见，只要能自动阻止就行了。mpmon仅仅只有报警和提示的作用吗？

作者: y0365 时间: 2008-4-17 16:49
我说的不报警，就是不能对有害程序进行拦截和处理了，所以必须启动.
你说的重启系统提示还有用户登录，是系统提示的吧，跟微点托盘是否启动没有关系，即使没有安装微点，你用这种方式操作，同样系统会这样提示你啊

[ Last edited by y0365 on 2008-4-17 at 16:51 ]

作者: ssnet 时间: 2008-4-17 17:04

Quote:

Originally posted by y0365 at 2008-4-17 16:49:
我说的不报警，就是不能对有害程序进行拦截和处理了，所以必须启动.
你说的重启系统提示还有用户登录，是系统提示的吧，跟微点托盘是否启动没有关系，即使没有安装微点，你用这种方式操作，同样系统会这样提示你 ...

首先，这是google到的一段话：“手动干掉MPMON.EXE进程，微点托盘退出，解压病毒样本微点不拦截，运行病毒样本时出现“WINDOWS无法访问指定设备、路径或文件。您可能没有合适的权限访问这个项目。最近的一个病毒就是干掉MPMON.EXE进程的，初步看来，微点托盘退出依然能够提供很好的保护。”

这怎么解释呢？

其次，我重启系统提示还有用户登录，这绝对是和微点有关的，服务器运行几年了，昨天装微点才有这样的提示，且手工杀掉mpmon进程(上次注销前运行的)再重启就没有提示了。请注意，我说的是注销，不是断开，对于远程连接和终端服务来说，正常情况下注销后再登录，再重启是绝对不会有这样的提示的。除非是断开，断开后换另一个用户名登录，再重启，就会提示还有用户在系统中。

作者: ssnet 时间: 2008-4-17 17:25
刚才通过测试发现了一个有趣的现象，右键点击托盘图标选"退出"和手工杀掉mpmon.exe进程的效果是不一样的，至少对微点防火墙是这样。
我选了一个禁止Ping的防火墙规则包，这样远程ping我的服务器ping不通，如果我右键点击微点图标退出，mpmon.exe进程也跟着关闭了，这时马上就ping通了，说明微点防火墙失效了。但如果我是在任务管理器中强制结束mpmon.exe进程，却还是ping不通，说明防火墙还有效。
这是不是说明右键点击托盘图标选择退出(同时mpmon.exe进程也自动终止)就真的退出了微点且失去保护了，而手工杀掉mpmon.exe进程，微点的保护依然有效？

作者: ssnet 时间: 2008-4-20 16:46
微点为什么不把 mpmon.exe 进程设置为和mpsvc进程一样，通过system用户运行呢？

作者: ssnet 时间: 2008-12-25 12:41
请问微点现在是否已经解决多用户运行的问题？
我还是很想在我的服务器上使用微点。

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn