Kurzer Hinweis an Administratoren und IT-Dienstleister unter den Blog-Lesern, die TrendMicro Apex One bei sich oder bei Kunden einsetzen. Das für diese Sicherheitslösung verfügbare Update 13150 ist mir Vorsicht zu genießen. Ein Blog-Leser hat mich darüber informiert (danke), dass das Update möglicherweise die Funktion SmartScan killt.
Anzeige
Blog-Leser Sebastian A. hat sich kürzlich bei mir per Mail gemeldet, weil er beim Einsatz von TrendMicro Apex One in ein Problem gelaufen ist, was evtl. auch andere Admins betreffen kann.
Der Leser schrieb, dass die onPremise-Installation der TrendMicro Apex One SP1 mit dem neusten Update in seiner Umgebung ein Problem verursache. Die Installation läuft zwar regulär durch. Die Clients ziehen sich das Update auch ganz normal, schrieb der Blog-Leser.
Anzeige
Wie obiger Screenshot zeigt, funktioniert der SmartScan nicht mehr, sobald das TrendMicro Apex One Update 13150 installiert wurde. Das muss wohl zum 23. Januar 2025 ausgerollt worden sein. Laut Leser sind in der Admin-Konsole alle Clients/Server online aber "rot" markiert.
Im Event-Log finden sich laut Leser weder am Client noch am Server keine weiteren Einträge.
diagnostic_spsc_updatepattern.log 2025/01/17 22:56:36:523 Mitteleuropäische Zeit [ 7068:16036] ERROR [UpdateImportPattern::Import] import error 230[0xe6](ICRC_CONSOLE_DB_FAIL) [updatepattern_import_obj.cpp:156] TmuDump.txt Err 20250117 22:56:28 17828 17032 Getaddrinfo failure, return code: 11001, error: Der angegebene Host ist unbekannt. . Err 20250117 22:56:28 17828 17032 Connect returns, WSAerror(183) Err 20250117 22:56:28 17828 17032 Getaddrinfo error Err 20250117 22:56:28 17828 17032 HttpsConnection: Socket connect fail Err 20250117 22:56:28 17828 17032 connect failed, will not send the report
Der Leser steht mit dem Support in Kontakt und schreibt, dass die obigen Einträge die ersten Fehler waren, die der Support gesehen habe. Laut Leser sind ihm weitere Betroffene bekannt. Die Virenerkennung funktioniere aber weiterhin normal – das EICAR Testfile wird sofort erkannt, merkt der Leser an.
In der Administration unter "Smart Protection > Integrierter Server" sind eine Fehlermeldung ohne Text zu ein unplausibler Datumsstempel zu sehen, teilte der Leser noch mit. Ein Rollback list laut Anleitung im Changelog auch nicht ganz möglich, da Dateien fehlen, auf die verwiesen werden. Noch jemand betroffen?
Anzeige
Wieder mal geht mein Dank an Günter und dem Blog Leser Sebastian. Danke für die INFO.
Ich wollte heute das Update bei uns installieren, daher lasse ich lieber wieder mal die Finger davon.
Bei der letzten Schulung wurde auch mal gesagt. Spielt die Updates erst nach ca. 1 Monat ein. Da sind die meisten Fehler ausgebügelt worden. Stimmt hier wieder mal.
P.S.: Günter, du kannst nicht in Pension gehen. Das geht einfach nicht. Woher sollen wir sonst solche Infos her bekommen wenn nicht von dir.
Moin,
gab es nicht auchmal eine Ankündigung für den Smart Scan Server in der OnPremises Variante? 🤔 (kommt alle zu One Vision 😛)
Finde am Smartphone auf die schnelle nichts.
MfG,
Blackii
Soweit ich weiß funktionieren die neuen (standalone) Smart Scan Server nur noch in Verbindung mit Vision One, man muss sich on Premise sog. "Service Gateways" installieren die dann in Vision One auftauchen und man kann dann in Vision One einstellen dass diese (on Premise) Service Gatways die Smart Protection Services zur Verfügung stellen.
Die bisherigen (standalone) Smart Scan Server werden meines Wissens nicht mehr unterstützt weil sie auf CentOS 7 basierten, siehe diesen KB Artikel: https://success.trendmicro.com/en-US/solution/KA-0014430
Bei uns tritt das Problem mit 13150 nicht auf.
Welcher Smart Server bzw URL wird verwendet?
Dieses Problem tritt in unserer Apex One Umgebung mit aktivem Smart Scan per lokalem Trend Micro Service Gateway (Nachfolgeprodukt des abgekündigten Smart Protection Server) nicht auf.
Wir haben ähnliche Probleme bei einigen Kunden mit der SMB-Lösung Worry-Free Business Security von Trend Micro. Sobald auf dem Security Server das kumulative Windows-Update 01/2025 installiert ist funktioniert das Update des Smart-Scan-Patterns nicht mehr. Smart Scan selbst fällt aber laut Konsole nicht aus.
Die bisherigen Lösungsansätze des Support waren nicht hilfreich.
Ohne das Januar-CU treten die Probleme nicht auf.
Kann ich bestätigen für Windows 2016, 2019 Server. Fehler: Smart Protection Services – Service unaviable nach Windows Update 01/2025.
Bei uns keine Probleme mit lokalen SPS Servern ohne Gateway oder protection server.
Ich habe bei Trendmicro schon seit letzter Woche einen Call offen.
Der Fehler tritt auf Server 2016 und Server 2019 auf, sobald das kumulative Windows Update 2025-01 installiert ist. Betroffen ist Worry Free Business und Apex One mit integriertem Smart Scan.
Auf Server 2022 gibt es das Problem nicht.
Ggf weil der Server (2016 / 2019) kein TLS 1.3 unterstützt?
Das scheint nicht der Grund zu sein.
Denn selbst auf einem Server 2012 R2 und einem Server 2008 R2 gibt es kein Problem mit dem Smart Scan Pattern Update.
Sind die Server APEX Clients oder läuft da der APEX Server selbst drauf?
Auch hier mit Windows Server 2022 und Vision One Gateways kein Problem vorhanden.
Das Windows Update 2025-01 installiert.
Apex Central und APEX One OnPrem alle auf den aktuellen Stand.
Die Alten SPS Server sind EOL seit Okt/Nov 2024 und können keine Verbindung mehr aufnehmen mit den Update Sourcen.
Wurde aber Anfang letztes Jahr per Newsletter angekündigt von Trend Micro.
Für den Umstieg auf die Gateways ist ein Business Konto und eine aktive Lizenz erforderlich.
Die Auswirkungen können echt frustrierend sein mit den alten SPS, langsame Rechner oder deaktiviertes SmartScan auf den Client Rechnern.
man kann auch den APEX One selbst (oder einen 2. Apex One ohne Clients) als Smartscan Server verwenden.
Ja, man muss die Gateways nicht nutzen, aber sie entlasten die Management Server von den Anfragen. Gerade bei größeren Umgebungen. Muss jeder Apex Admin für sich entscheiden.
gibt es schon eine Lösung?
Wir sind auch betroffen Win 2019 mit CU 2015-01 und jetzt Apex b13150
Was passiert wenn man den Apex One Server von vor Update zurücksichert?
Bekommen die Clients das mit und ändert sich dann der Status vom Smart Scan?
Kann nur empfehlen mal einen anderen MSP Virenscanner zu testen. Wir hatten Worry Free ca. 3 Jahre bei unseren Kunden im Einsatz, und ständig Probleme (z. B. ScanSnap, Deaktivierung, Blockierung, häufig falsch Positiv etc.). Es gibt eine super Alternative (Securepoint Antivirus Pro) inkl. MSP-Portal via Securepoint, welche m. E. schneller und besser ist. Mit der Alternative ist der Virenschutz übrigens in 10 Minuten nötig. Innerhalb der betreuten Systeme wurde nach dem Wechsel Schadsoftware gefunden und entfernt, welche TM nicht angezeigt hat. Größter Vorteil nach dem Wechsel – die Systeme laufen wieder flott, wie in den Anfangszeiten von ESET.
Hallo zusammen,
ich bin "Verantwortliche" für den Blogbeitrag.
ApexCentral hatte ich null auf dem Schirm (Vielen Dank @Korny und alle die dazu beigetragen haben )und ich habe es nun installiert und patche ApexCentral gerade.
Der TrendMicro Client auf den Rechern etc. hat sich schon wieder beruhigt und zeit den grünen Haken an. Auch im Webinterface beruhigt sich alles wieder – Clients tauchen grün auf.
Kontakt mit dem Support läuft parallel noch, aber da war im Verlauf das Thema ApexCentral nie erwähnt worden. Ob es langfristig mit Umwegen auch zu dem Ergebnis geführt hätte kann ich leider nicht sagen.
Logauszug
Global Smart Scan Connection failing..
2025 01/23 14:14:16 [1524 : 43b4] (00) (D) [-REAL-][ntrtscan.exe][CiCrcHandlerWrapper::GetiCrcServerConfig] – Get iCRC server config OK. – [cnttmnts_iCrcHandlerWrapper.cpp(330)]
2025 01/23 14:14:16 [1524 : 43b4] (00) (D) [-REAL-][ntrtscan.exe][CiCrcHandlerWrapper::SetiCrcForceQueryPeriod] – Set force query period (1800) OK – [cnttmnts_iCrcHandlerWrapper.cpp(813)]
2025 01/23 14:14:16 [1524 : 43b4] (00) (D) [-REAL-][ntrtscan.exe][CiCrcHandlerWrapper::SetiCrcServerConfig] – Set iCRC server config OK. – [cnttmnts_iCrcHandlerWrapper.cpp(304)]
2025 01/23 14:14:16 [1524 : 43b4] (00) (D) [-REAL-][ntrtscan.exe][CiCrcHandlerWrapper::SetiCrcSSLOptions] – Set SSL options (0) OK – [cnttmnts_iCrcHandlerWrapper.cpp(735)]
2025 01/23 14:14:16 [1524 : 2878] (00) (D) [-REAL-][ntrtscan.exe]CiCrcScanTypeEventManager::FetchEvent – The event queue is empty; no event to be processed – [cnttmnts_iCrcScanTypeEventManager.cpp(256)]
2025 01/23 14:14:16 [1524 : 43b4] (00) (I) [-REAL-][ntrtscan.exe]CiCrcVirusScanType::InitializeiCrcHandler – Current iCRC server config, server: http://xxx.local:8080/tmcss/? – [cnttmnts_iCrcVirusScanMode.cpp(788)]
2025 01/23 14:14:16 [1524 : 43b4] (00) (D) [-REAL-][ntrtscan.exe][CiCrcHandlerWrapper::GetiCrcServerConfig] – Get iCRC server config OK. – [cnttmnts_iCrcHandlerWrapper.cpp(330)]
2025 01/23 14:14:16 [1524 : 43b4] (00) (I) [-REAL-][ntrtscan.exe]CiCrcVirusScanType::InitializeiCrcHandler – Current iCRC server config, SSL option: 0 – [cnttmnts_iCrcVirusScanMode.cpp(798)]
2025 01/23 14:14:16 [1524 : 43b4] (00) (D) [-REAL-][ntrtscan.exe][CiCrcHandlerWrapper::GetiCrcSSLOptions] – Get SSL options (0) OK – [cnttmnts_iCrcHandlerWrapper.cpp(761)]
2025 01/23 14:14:16 [1524 : 43b4] (00) (I) [-REAL-][ntrtscan.exe]CiCrcHandlerWrapper::CheckiCrcServerStatus – Hostname failed, use FQDN to check status – [cnttmnts_iCrcHandlerWrapper.cpp(493)]
2025 01/23 14:14:16 [1524 : 43b4] (00) (D) [-REAL-][ntrtscan.exe]CiCrcHandlerWrapper::CheckiCrcServerStatus – Check server: (http://xxx.local:8080/tmcss/?) – [cnttmnts_iCrcHandlerWrapper.cpp(528)]
2025 01/23 14:14:16 [1524 : 43b4] (00) (I) [-REAL-][ntrtscan.exe]CiCrcHandlerWrapper::CheckiCrcServerStatus – Use Hostname at first – [cnttmnts_iCrcHandlerWrapper.cpp(482)]
2025 01/23 14:14:16 [1524 : 43b4] (00) (D) [-REAL-][ntrtscan.exe]CiCrcHandlerWrapper::CheckiCrcServerStatus – SSL option: (0) – [cnttmnts_iCrcHandlerWrapper.cpp(533)]
2025 01/23 14:14:16 [1524 : 43b4] (00) (D) [-REAL-][ntrtscan.exe]CiCrcHandlerWrapper::CheckiCrcServerStatus – Set check server status timeout: 2000, retry timeout: 2000 – [cnttmnts_iCrcHandlerWrapper.cpp(537)]
2025 01/23 14:14:16 [1524 : 43b4] (00) (W) [-REAL-][ntrtscan.exe]CiCrcHandlerWrapper::CheckiCrcServerStatus – Check server status failed (1st time), code: 0x20000008, detail error: 0x000001f4; try 2nd time… – [cnttmnts_iCrcHandlerWrapper.cpp(544)]
2025 01/23 14:14:16 [1524 : 43b4] (00) (E) [-REAL-][ntrtscan.exe]CiCrcHandlerWrapper::CheckiCrcServerStatus – Check server status failed (2nd time), code: 0x20000008, detail error: 0x000001f4 – [cnttmnts_iCrcHandlerWrapper.cpp(557)]
Danke für eure Hilfe
Sebastian
Um ehrlich zu sein ich vergesse den Central auch ständig…….
Auch wir haben das Problem mit Worry-Free Business Security auf einem Server2019 mit dem installierten Windows Update.
Fehlermeldung in der Protokollabfrage der Verwaltungskonsole:
"Smart-Scan-Pattern : Update fehlgeschlagen Versuchen Sie, das Update erneut durchzuführen oder wenden Sie sich an Ihren Support-Anbieter, falls das Problem weiterhin besteht [Fehlernr.: 232]."
Support hat eben noch das geantwortet:
Our Product Engineering team has performed their investigation and the issue is that the issue has been confirmed that the Smart Scan database for Apex One is corrupt and not that the SPS is EOL.
Habe da noch einige Schritte geschickt bekommen, was zu tun ist… mal sehen ob das das Problem behebt, da ich den Fehler "Update fehlgeschlagen. Versuchen Sie das Update erneut, oder wenden Sie sich an Ihren Support-Anbieter, falls das Problem weiterhin besteht [Fehlernr.: 224]."
auch noch zusätzlich habe.
Einfach lästiges Thema irgendwie momentan
Hallo zusammen,
ich habe folgenden Workaround vom TM Support erhalten:
1. Execute the Case Diagnostic Tool (CDT) and then set LogEnable=1 and LogLevel=4 in \WSS\log.ini to turn debug mode on
2. Go to the WSS folder, e.g., {OfficeScan, Apex One Server or WFBS installation path}\PCCSRV\WSS\
3. Reset the CONT_FULL_TBLPTN_COUNT counter to 0 in \WSS\FRSUpdateCounter.ini (CONT_FULL_TBLPTN_COUNT=0)
4. Remove all files from \WSS\activeupdate\tmp. If the tmp folder does not exist, create a new tmp folder.
5. Copy the TBL pattern (icrc$tbl.XXX) into \WSS\activeupdate\tmp
6. Stop the "Trend Micro Smart Protection Server" service in services.msc or use the Windows NET command "net stop TMiCRCScanService"
7. Rename \WSS\service.ini to \WSS\service_tmp.ini for preventing the service being invoked during pattern import
8. Open a Command Prompt with Administrative Privileges and switch to the WSS folder
9. Execute the import command and wait until the command execution has finished: AU_FRS.exe –servimporttbl
10. (Optional) How to check if the import was successful?
11.1 If debug mode is enabled in step 1, you can see the text "AU_FRS exit code : 0, arg: –servimporttbl" in \WSS\diagnostic.log
11.2 If the text does not appear, please check that the above steps were performed correctly and repeat the steps again
11.3 Go to the web console and check if the Smart Scan Pattern version is updated
12. Rollback \WSS\service.ini from \WSS\service_tmp.ini
13. Start the "Trend Micro Smart Protection Server" service in services.msc or use the Windows NET command "net start TMiCRCScanService"
14. Reproduce the problem.
15. If the problem still persists, please help to collect CDT log back
Bei mir läuft Smart Scan wieder und gibt beim Update auch keine Fehlermeldung mehr. Hoffentlich haben andere damit auch Erfolg :)
VG
fogell.
Hi,
habe das auch bekommen … beim ersten mal hats nicht funktioniert.
ApexCentral Verknüpfung wurde aufgehoben und einiges andere lief auf einmal auch nicht mehr.
Dann das ganze nochmal neu aber jetzt scheint es zu passen.
Waren jetzt ein paar ärgerliche Tage muss ich schon sagen :(
Vielen Dank.
Funktioniert bei uns auch so.
Allerdings mussten wir erst ein entsprechendes irc$tbl-file finden (http://slspn30-p.activeupdate.trendmicro.com/activeupdate/pattern/icrc$tbl.zip).
Und zur Sicherheit: es sind zwei — vor servimporttbl.
Danke, hat funktioniert bei uns.
Von zwei Apex One Servern war eine davon betroffen.
vermutlich hat das eher hiermit zu tun als mit dem 13150 Patch
https://success.trendmicro.com/en-US/solution/KA-0018494
"
Schedule
The termination of updates for the legacy Smart Scan Cloud Pattern will follow the schedule below:
Worry-Free Business Security 10: End of January 2025
Trend Micro Apex One Service Pack 1: End of February 2025
"
Support hat geantwortet bzgl. Verweis auf den Link
No it is not related to https://success.trendmicro.com/en-US/solution/KA-0018494, as detailed in the article old version of Apex One are impacted from End of February 2025 and the recommendation is to update to the latest build, you are on the latest build.
Engineering are investigating why downloading the latest pattern causes the corruption again.
Wir hatten mit dem Update 13150 das selbe Problem. Auch wir haben einen Call bei TM eröffnet mit den gleichen Anweisungen wie meine Vorredner schon gepostet haben. Wie Sebastian schrieb, habe auch ich es mehrfach vollzogen. Auch bei mir hat es beim ersten mal nicht geklappt. Ganz speziell bei "Run command: AU_FRS.exe –servimporttbl" ist mir aufgefallen das ich schon vorher den TMSPS Service beendet hatte welcher sich aber automatisch zumindest bei uns nach einiger Zeit wieder selbst startet. Darauf und das die Konsole mit erweiterten Admin rechten läuft sollte man achten. Ist der Dienst down dauert der Command auch wesentlich länger als mit gestartetem Dienst. Im Übrigen bin ich sehr enttäuscht über den Support. Wir selbst haben lediglich einen Copy and Paste aus einem anderen Call eines Kunden erhalten zumindest gab es eindeutige Hinweise darauf. Nach einigen Nachfragen und schlussendlich auch diesem Beitrag hier haben wir uns dann selbst " hindurch gewurstelt". Sebastians Worten kann ich nur Beipflichten sehr unschön und absolut verschwendete Arbeitszeit.
Wollte heute mal testweise im SPS die Komponenten manuell aktualisieren.
Smart Scan-Pattern 21474.630.46 28.01.2025 13:27:37
läuft wieder in den gleichen Fehler "Update fehlgeschlagen. Versuchen Sie das Update erneut, oder wenden Sie sich an Ihren Support-Anbieter, falls das Problem weiterhin besteht [Fehlernr.: 223]."
Websperrliste 10104981 29.01.2025 11:01:43
erolgreich…
Am Client selbst sieht man nichts.
AgentVerwaltung sieht auch sauber aus
SmartProtection Quellen sind auch beide grün
Fängt der Mittwoch schon wieder gut an?!
Auf Reddit hab ich grad was dazu gefunden:
https://www.reddit.com/r/Trendmicro/comments/1i5qdwr/support_system_down/
Aktuell finde ich den Patch zumindest im deutschsprachigem Download Center nicht mehr, kann es sein dass der entfernt wurde?
Tatsache – der Patch wurde bei Trend Micro still und leise entfernt. Als ob es ihn nie gegeben hätte…
Ich hatte das Problem nach dem kumulative Windows Januar 2025 update auch.
Bei mir hat einfach der 13140er Patch vom November letzten Jahres geholfen.
Einen 13150er kann ich gar nicht finden auf der Downloadseite für die deutsche Version.
https://success.trendmicro.com/en-US/solution/KA-0018958
Patch 13150 wurde aufgrund von Kompatibilitätsproblemen mit Microsoft update KB5050094 zurückgezogen