Ereignis-ID 5051, "The process will be terminated" [Der Prozess wird beendet] (Zeitüberschreitung des Scanner-Threads)
Technische Artikel ID:
KB52441
Zuletzt geändert am: 03.11.2016
Umgebung
McAfee VirusScan Enterprise (VSE) 8.8, 8.7i
Problem
In der Ereignisanzeige wird unter "Anwendungs- und Dienstprotokolle" der folgende Eintrag angezeigt:
Ereignis-ID: |
5051 |
Quelle: |
McLogEvent |
Typ: |
Fehler |
Beschreibung: |
A thread in process C:\Program Files\McAfee\VirusScan Enterprise\Mcshield.exe took longer than 90000 ms to complete a request. The process will be terminated. [Ein Thread im Prozess C:\Programme\McAfee\VirusScan Enterprise\Mcshield.exe benötigte mehr als 90.000 ms zur Verarbeitung einer Anforderung. Der Prozess wird beendet.] Thread id [Thread-ID]: 4884 (0x1314) Thread address [Thread-Adresse]: 0x7C8285EC Thread message [Thread-Meldung]: Build VSCORE.13.3.2.116 / 5200.2160 Object being scanned [Gescanntes Objekt] = \Device\HarddiskVolume2\Dept\Technical Services\HEAVY CLEANING DOCUMENTS\Y2007(CY5)\Year 5\Year 2007 Cat 4_5 Pipe Spreadsheet.xls by [durch] System:Remote 4(0)(0) 4(0)(0) 7200(0)(0) 7595(0)(0) 7005(0)(0) 7004(0)(0) 5006(0)(0) 5004(0)(0) |
HINWEIS: Diese Beschreibung ist ein Beispiel für die erfassten Informationen. Nach jedem Prüfpunkt wird der Wert Null (0) in Klammern angezeigt, dieser gibt die abgelaufene Zeit an. Dies bedeutet eine Sperre, d. h., der Dateizugriff wurde verweigert.
Ursache
Scans werden entsprechend den E/A-Aktivitäten für Dateien durchgeführt. Wenn das Scan-Modul eine Datei nicht vor dem Erreichen eines zweiten Zeitüberschreitungs-Schwellenwerts freigibt, wird der McShield-Prozess beendet, damit die Datei nicht gesperrt wird. Eine solche Prozessbeendigung tritt vor allem bei eingebetteten Objekten in Archivdateien auf, beispielsweise bei ZIP-, RAR- und CAB-Dateien. Sie kann jedoch auch durch die Größe, die Komplexität, die Nutzung und den Speicherort der Datei sowie die Verfügbarkeit der Datei für den Scanner zu dem Zeitpunkt, zu dem das Modul auf die Datei zugreift, bedingt sein.
Ablauf der Ereignisse
- Der Scan wird durch McShield gestartet.
- Wenn der Timer den für ScannerThreadTimeout angegebenen Wert erreicht, fordert McShield beim Modul die Beendigung des Scans an, und es wird ein weiterer Timer gestartet.
- McShield wartet nun auf die Freigabe der Datei durch das Modul.
- Wenn der Scan erfolgreich abgeschlossen wird, gibt McShield die Datei frei.
- Wenn der zweite Timer den Wert von ScannerThreadTimeoutEx (der dem von ScannerThreadTimeout entspricht) erreicht, wird McShield beendet, und die Datei wird freigegeben.
- Wenn McShield beendet wird, sendet der Task-Manager-Dienst (sofern gestartet) einen neuen Startbefehl an McShield.
- Der McShield-Prozess wird neu gestartet.
Lösung
HINWEIS: Dieser Fehler dient nicht ausschließlich zu Informationszwecken und sollte nicht ignoriert werden. Wenn dieser Fehler dennoch nicht angezeigt werden soll, führen Sie eine der folgenden Behelfslösungen aus:
Beachten Sie Folgendes:
- Das Auftreten einer Zeitüberschreitung bedeutet, dass eine Datei nicht vollständig gescannt wurde. VSE scannt diese Dateien erst nach einer DAT-Aktualisierung erneut (bzw. erst nach dem Zurücksetzen des Scan-Caches).
- Wenn es häufig bei der gleichen Datei zu einer Zeitüberschreitung kommt, sollten Sie ermitteln, ob diese Datei sicher ist. Wenn dies der Fall ist, können Sie sie problemlos aus den On-Access-Scans ausschließen.
- Wenn es häufig bei unterschiedlichen Dateien zu einer Zeitüberschreitung kommt, besteht möglicherweise eine Inkompatibilität zwischen VSE und einem anderen installierten Produkt. Sie sollten dieses Problem eingehender untersuchen.
- Wenn es häufig ohne klar ersichtliche Ursache oder beim Starten einer bestimmten Ereignisabfolge zu einer Zeitüberschreitung kommt, sollten Sie dies gründlich untersuchen und die Ursache ermitteln.
- Gelegentliche Zeitüberschreitungen sind in der Regel einmalige Ereignisse, die auf eine starke Computer-Auslastung zurückzuführen sind, aufgrund derer VSE den Scan nicht abschließen kann. In einem solchen Fall sollten Sie die Dateien durch einen On-Demand-Scan-Task scannen lassen. Bei On-Demand-Scans treten keine Zeitüberschreitungen auf.
Behelfslösung
Fügen Sie für Prozesse, die Zeitüberschreitungen bei Dateien verursachen, einen Ausschluss von Prozessen mit geringem Risiko hinzu. In KB67891 wird erläutert, wie Sie im Task-Manager auf der Grundlage der Datenträger-E/A mögliche Prozesse mit geringem Risiko ermitteln können. In Abhängigkeit von den Prozessen, die die Zeitüberschreitungen bei Dateien verursachen, können Sie auch das Scannen der vom jeweiligen Prozess ausgelösten Lese- und/oder Schreib-E/A-Vorgänge auf dem Datenträger unterbinden. Hierfür fügen Sie diesen Prozess den Prozessen mit geringem Risiko hinzu und deaktivieren die Optionen Beim Schreiben auf den Datenträger und/oder Beim Lesen vom Datenträger. Weitere Informationen hierzu finden Sie in den folgenden Artikeln:
- In KB55139 wird das Konfigurieren und Nutzen von Prozessen mit hohem bzw. geringem Risiko sowie von Standardprozessen erläutert.
- In KB67648 wird beschrieben, wie Sie ermitteln können, ob die Konfiguration von VirusScan Enterprise-Ausschlüssen oder die Festlegung von Prozessen mit geringem Risiko wirksam ist.
So fügen Sie einen Ausschluss für einen Prozess mit geringem Risiko hinzu:
- Klicken Sie auf Start, auf Programme, auf McAfee und dann auf VirusScan-Konsole.
- Doppelklicken Sie auf On-Access Scanner.
- Wählen Sie Prozesse mit geringem Risiko aus (wenn Prozesse mit geringem Risiko nicht verfügbar ist, wählen Sie Alle Prozesse aus).
- Klicken Sie auf der Registerkarte Prozesse auf Für Vorgänge mit geringem oder hohem Risiko andere Einstellungen verwenden.
- Klicken Sie auf Hinzufügen und dann auf Durchsuchen, wählen Sie den Prozess aus, und klicken Sie abschließend auf OK.
- Klicken Sie auf OK, und beenden Sie die VirusScan-Konsole.
HINWEISE:
- Die Richtlinien für Standardprozesse, Prozesse mit hohem Risiko und Prozesse mit geringem Risiko sind voneinander unabhängig und müssen separat konfiguriert werden.
- Das Hinzufügen eines Prozesses zu den Prozessen mit geringem Risiko kann Ihre Sicherheit beeinträchtigen. Sie sollten diese Lösung nur anwenden, wenn es unbedingt erforderlich ist.
Beispiel
Wenn Sie eine Datei auf der Registerkarte Ausschlüsse der Richtlinie für Standardvorgänge hinzufügen, sie jedoch nicht den Ausschlüssen der Richtlinie für Prozesse mit hohem Risiko hinzufügen, wird die Datei aufgrund der Richtlinie für Prozesse mit hohem Risiko dennoch gescannt.
Behelfslösung
Erstellen Sie einen spezifischen Ausschluss für die Datei:
-
Klicken Sie auf Start, auf Programme, auf McAfee und dann auf VirusScan-Konsole.
-
Doppelklicken Sie auf On-Access-Scanner, und wählen Sie Alle Prozesse aus.
-
Klicken Sie auf die Registerkarte Erkennung.
-
Wählen Sie Ausschlüsse aus, und klicken Sie auf Hinzufügen.
-
Geben Sie den Namen der Datei ein, die ausgeschlossen werden soll.
- Klicken Sie dreimal auf OK, um den On-Access-Scanner zu beenden.
- Beenden Sie die VirusScan-Konsole.
In KB54812 wird die Verwendung von Platzhaltern bei Ausschlüssen in VirusScan Enterprise 8.x erläutert.
Behelfslösung
Wenn dieses Problem nur beim Scannen von Archivdateien auftritt, deaktivieren Sie das Scannen von Archivdateien. Intel Security erachtet dies als unbedeutendes Sicherheitsrisiko, da alle Dateien in einem Archiv gescannt werden, wenn das Archiv geöffnet oder extrahiert wird.
VSE 8.7i:
- Klicken Sie auf Start, auf Programme, auf McAfee und dann auf VirusScan-Konsole.
- Doppelklicken Sie auf On-Access-Scanner, und wählen Sie Alle Prozesse aus.
- Klicken Sie auf die Registerkarte Erweitert.
- Deaktivieren Sie die Option Archivinhalte scannen.
- Klicken Sie auf Übernehmen und dann auf OK.
- Beenden Sie die VirusScan-Konsole.
VSE 8.8:
- Klicken Sie auf Start, auf Programme, auf McAfee und dann auf VirusScan-Konsole.
- Doppelklicken Sie auf On-Access-Scanner, und wählen Sie Standardprozesse aus.
- Klicken Sie auf die Registerkarte Scan-Elemente.
- Deaktivieren Sie unter "Dateien komprimieren" die Option Inhalt von Archiven scannen (z. B. ZIP).
- Klicken Sie auf Übernehmen und dann auf OK.
- Beenden Sie die VirusScan-Konsole.
Behelfslösung
Erhöhen des Schwellenwerts für "ScannerThreadTimeout" in der VirusScan-Konsole (nur VSE 8.7i):
-
Klicken Sie auf Start, auf Programme, auf McAfee und dann auf VirusScan-Konsole.
-
Doppelklicken Sie auf On-Access Scanner.
-
Erhöhen Sie auf der Registerkarte Allgemein den Wert für Maximale Scan-Zeit für Archive (Sekunden).
Der Standardwert beträgt 15 Sekunden. Sie können den Wert in Schritten von jeweils fünf Sekunden erhöhen.
-
Erhöhen Sie den Wert für Maximale Scan-Zeit für alle Dateien.
Der Standardwert beträgt 45 Sekunden. Sie können den Wert in Schritten von jeweils fünf Sekunden erhöhen.
-
Klicken Sie auf OK, und beenden Sie die VirusScan-Konsole.
Behelfslösung
Deaktivieren Sie opportunistische Sperren in Windows.
Das Konfigurieren opportunistischer Sperren in Windows wird im Microsoft KnowledgeBase-Artikel 296264 (http://support.microsoft.com/kb/296264) erläutert.
Haftungsausschluss
Der Inhalt dieses Artikels stammt aus dem Englischen. Bei Unterschieden zwischen dem englischen Text und seiner Übersetzung gilt der englische Text. Einige Inhalte wurden mit maschineller Übersetzung erstellt, die von Microsoft durchgeführt wurde.
|