Loading...

Die Anwendung oder DLL [...] ist kein gültiges Windows-Image (beim Starten eines On-Demand-Scans)
Technische Artikel ID:   KB73521
Zuletzt geändert am:  03.11.2016
Bewertet:


Umgebung

McAfee VirusScan Enterprise (VSE) 8.8 Patch 1 oder höher
McAfee VirusScan Enterprise 8.7i Patch 5

 

Problem

Wenn Sie einen On-Demand-Scan (ODS) oder einen Scan über die rechte Maustaste ausführen oder die VSE-Konsole öffnen, wird Ihnen eine Nachricht bezüglich eines fehlerhaften Image angezeigt, ähnlich einer der folgenden Nachrichten:

Die Anwendung oder DLL C:\WINDOWS\system32\msi.dll ist kein gültiges Windows-Image. Überprüfen Sie dies anhand der Installationsdiskette.

Die Anwendung oder DLL C:\Windows\system32\sxwmon32.dll ist kein gültiges Windows-Image. Überprüfen Sie dies anhand der Installationsdiskette.

Die Anwendung oder DLL C:\Windows\system32\AMInit.dll ist kein gültiges Windows-Image. Überprüfen Sie dies anhand der Installationsdiskette.

Die Anwendung oder DLL C:\Windows\system32\Vsxwmon32.dll ist kein gültiges Windows-Image. Überprüfen Sie dies anhand der Installationsdiskette.
 
Im möglicherweise aufgeführten Prozessnamen ist Folgenden enthalten:
  • scan32.exe
  • scan64.exe
  • scncfg32.exe
  • mcshield.exe
  • myAgtSvc.exe
HINWEISE:
  • Dieses Problem betrifft nur 8.7i Patch 5 und VSE 8.8 Patch 1 und höher.
  • Dies ist das Windows-Standarddialogfeld, das angibt, dass es sich bei der DLL eines Drittanbieters nicht um ein gültiges Windows-Image handelt. Es können verschiedene ausführbare Dateien und DLL-Dateien betroffen sein. Dies ist lediglich eine Beispielnachricht.
  • Der Fehler hat keine Auswirkungen auf den ODS. Nachdem Sie auf OK geklickt haben, wird Ihnen wie erwartet das übliche ODS-Dialogfeld angezeigt.

Problem

Nach der Installation von VSE 8.8 Patch 1 können Sie einen ODS nicht über die VSE-Konsole starten.

Im Allgemeinen öffnet sich keine Popup-Meldung, manchmal wird jedoch der folgende Fehler angezeigt:

Die erforderlichen DAT-Dateien fehlen oder sind beschädigt.

Wenn Sie den Zugriffsschutz deaktivieren, können Sie den ODS ohne Probleme ausführen.


Wenn Sie einen ODS bei aktiviertem Zugriffsschutz ausführen, wird im Ereignisprotokoll gelegentlich das folgende Ereignis gemeldet:

Ereignis-ID: 514
Beschreibung: Prozess **\MCSHIELD.EXE pid (1560) enthielt nicht signierten oder beschädigten Code. Es wurde nicht zugelassen, dass er einen Vorgang mit besonderen Berechtigungen mit einem McAfee-Treiber durchführt.

Systemänderung

Aktualisiert auf VSE 8.7i Patch 5 oder 8.8 Patch 1.

Ursache

Mit VSE 8.7i Patch 5 und 8.8 Patch 1 wurde eine neue AP-Regel eingeführt. Diese Regel, Einklinken von McAfee-Prozessen verhindern, ist standardmäßig aktiviert. Die durch diese Regel gebotene verbesserte Sicherheit schützt vor einer nicht signierten oder signierten DLL-Einschleusung, wenn das Zertifikat von einem anderen Anbieter als Microsoft und McAfee stammt.

Wenn das Problem durch DLL-Dateien von Microsoft verursacht wird, die eigentlich vertrauenswürdig sein sollten, müssen Sie den Microsoft-Zertifikatsspeicher aktualisieren. Dies tritt auf, wenn für die Datei kein entsprechendes oder gültiges Zertifikat vorhanden ist.

Wenn der Fehler durch die signierte DLL-Datei eines anderen Anbieters verursacht wurde und Sie der Einschleusung in den geschützten Prozess vertrauen, muss das Zertifikat dem McAfee-Speicher vertrauenswürdiger Zertifikate hinzugefügt werden.

Abhängig von der DLL-Einschleusungsmethode, die von der Anwendung des Drittanbieter verwendet wird, gilt einer der folgenden Punkte: 
  • Programmgesteuerte DLL-Einschleusung
    Anwendungen können überwachen, wann neue Prozesse gestartet werden, und Code aufrufen, der versucht, eine DLL-Datei in den Adressbereich des neuen Prozesses einzuschleusen. Wenn es sich bei dem Prozess um einen der durch McAfee geschützten Prozesse handelt und die Zugriffsschutzregel Einklinken von McAfee-Prozessen verhindern aktiviert ist, schlägt die DLL-Einschleusung fehl. Diese wird durch die Zugriffsschutzregel blockiert. 
  • AppInit_DLLs
    Anwendungen verwenden möglicherweise eine Windows-DLL-Einklinkmethode, die über den Registrierungswert AppInit_DLLs sicherstellt, das Prozesse die angegebenen DLL-Dateien in ihren Adressbereich laden. Weitere Informationen zu AppInit_DLLs finden Sie im Microsoft Knowledge Base-Artikel unter http://support.microsoft.com/kb/197571.

    Sie können feststellen, ob solch eine Anwendung bei Ihnen installiert ist, indem Sie den Inhalt des Registrierungswerts prüfen:

    x86 (32-Bit)-Systeme: 
    HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs 

    x64 (64-Bit)-Systeme: 
    HKLM\Software\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs
    HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs 

    HINWEIS: 64-Bit-Systeme enthalten beide Registrierungspfade.

Lösung

Verwenden Sie diese Lösung, wenn der Microsoft-Zertifikatsspeicher aktualisiert werden muss.

Informationen zum Beheben des Problems bezüglich MSI.DLL (eine Microsoft-Komponente) finden Sie im Microsoft Knowledge Base-Artikel unter http://support.microsoft.com/kb/972397.

HINWEIS: 
Dieser HotFix gilt für Windows Installer 4.5. Wenn Sie Windows Installer 3.5 verwenden, müssen Sie erst ein Upgrade auf Version 4.5 durchführen und dann den HotFix anwenden.

Wenn Sie den Microsoft-HotFix bereits angewendet haben, führen Sie die Systemdateiüberprüfung aus. Geben Sie den folgenden Befehl ein, und drücken Sie die EINGABETASTE:

sfc /scannow

Weitere Informationen zur Verwendung der Systemdateiüberprüfung finden Sie im Microsoft Knowledge Base-Artikel unter http://support.microsoft.com/kb/310747.

Zusätzlich zu den aufgeführten Dateien installiert dieser Sicherheits-Fix auch eine zugehörige Sicherheitskatalogdatei (KBnumber.cat), die mit einer digitalen Microsoft-Signatur signiert ist.

Weitere technische Informationen über die Aktualisierung von Stammzertifikaten in Windows XP SP2 und SP3 finden Sie im Microsoft TechNet-Artikel unter http://technet.microsoft.com/de-de/library/bb457160.aspx.

Detaillierte technische Informationen über die Aktualisierung von Stammzertifikaten in Windows Vista und höher finden Sie im Microsoft TechNet-Artikel unter http://technet.microsoft.com/de-de/library/cc749331(WS.10).aspx.

HINWEIS: Für versierte Benutzer gibt es weitere Methoden zur Aktualisierung des Zertifikatsspeichers:

Lösung

Um die Meldung bezüglich einer fehlerhaften DLL zu vermeiden, müssen Sie eine Kopie des digitalen Zertifikats für das Produkt des Drittanbieters in den McAfee-Speicher vertrauenswürdiger Zertifikate importieren:
  1. Wenden Sie sich an den technischen Support von McAfee.

    Zur Kontaktierung des technischen Supports melden Sie sich beim ServicePortal an und rufen dort die Seite "Service-Anfrage erstellen" unter https://support.mcafee.com/ServicePortal/faces/serviceRequests/createSR auf:
    • Wenn Sie sich bereits registriert haben, geben Sie Ihre Benutzer-ID und Ihr Kennwort ein, und klicken Sie dann auf Anmelden.
    • Wenn Sie sich noch nicht registriert haben, klicken Sie auf Registrieren, und füllen Sie die erforderlichen Felder aus. Ihr Kennwort und die Anleitung zur Anmeldung erhalten Sie per E-Mail.
  2. Stellen Sie die CER-Datei bereit, die Sie für den McAfee-Support hinzufügen möchten.
    Die CER-Zertifikatsdatei stammt aus der betroffenen DLL-Datei. Wenn die Datei über kein digitales Zertifikat verfügt, gibt es keine Möglichkeit, die Meldung zu vermeiden.
     
  3. Führen Sie die vom technischen Support von McAfee bereitgestellte ausführbare Datei aus.
    Das Paket verwendet die SuperDAT-Technologie. Daher können Sie es auf einzelnen Systemen ausführen oder einem ePolicy Orchestrator-Repository hinzufügen.
     
  4. Löschen Sie bei Bedarf den VSE 8.8-Scan-Cache. Empfohlene Vorgehensweisen finden Sie in KB71905.
  5. Starten Sie den Computer neu, damit die Änderungen am Zertifikatspeicher wirksam werden.
 
HINWEISE:
  • ACHTUNG: Dieser Artikel enthält Informationen zum Öffnen oder Ändern der Registrierung.
    • Die folgenden Informationen richten sich an Systemadministratoren. Änderungen an der Registrierung können nicht rückgängig gemacht werden und können einen Systemfehler hervorrufen, wenn sie nicht ordnungsgemäß vorgenommen werden.
    • Bevor Sie diesen Vorgang fortsetzen, sollten Sie unbedingt die Registrierung sichern. Außerdem sollten Sie mit dem Wiederherstellungsprozess vertraut sein. Weitere Informationen finden Sie unter http://support.microsoft.com/kb/256986.
    • Führen Sie keine REG-Datei aus, deren Import aus der Registrierung nicht bestätigt ist.
  • Um das Einklinken in die Citrix-API für eine einzelne Anwendung zu deaktivieren, befolgen Sie die Anweisungen im Citrix-Dokument mit der ID CTX10782: http://support.citrix.com/article/CTX107825.
     
  • Wenn Sie Software von Lumension Securify installiert haben, sind die folgenden beiden Registrierungseinträge ebenfalls erforderlich.
Pfad
HKLM\System\CurrentControlSet\services\sk\Parameters

Hinzuzufügende Schlüssel
 
Typ
Wertname
Wertdaten 
REG_DWORD
C:\Programme (x86)\McAfee\VirusScan Enterprise\Scan32.exe
0
REG_DWORD 
C:\Programme (x86)\McAfee\VirusScan Enterprise\x64\Scan64.exe
0

Lösung

Bestätigen (oder ausschließen), dass es sich um eine nicht vertrauenswürdige Microsoft-Datei handelt: 

  1. Ermitteln Sie im Prozessmonitor von Microsoft Sysinternals (procmon.exe), welchen DLLs der Zugriff zum Laden verweigert wurde. Weitere Informationen zur Verwendung dieses Dienstprogramms erhalten Sie unter http://technet.microsoft.com/de-de/sysinternals/bb896645.aspx.
  2. Ermitteln Sie mit dem Signaturprüfer von Microsoft Sysinternals (sigcheck.exe), ob die Datei über eine gültige Signatur verfügt. Weitere Informationen zur Verwendung dieses Dienstprogramms erhalten Sie unter http://technet.microsoft.com/de-de/sysinternals/bb897441.

    Verwenden Sie für dieses Problem den folgenden Befehl:

Sigcheck -i -r -h <Dateiname>

Wenn dieses Tool anzeigt, dass die Datei ungültig oder nicht signiert ist, kann McAfee der Datei nicht trauen. Siehe Schritt 1 zur weiteren Vorgehensweise.

HINWEIS: Berichte zeigen möglicherweise an, dass einer Microsoft-ähnlichen Datei nicht vertraut wurde und das Laden der Datei daher blockiert wurde. Die Komponente, die die Datei geladen hat, war jedoch eine vertrauenswürdige Komponente. Dies führt zu neuen Symptomen, bei denen der Scan32/Scan64-Prozess abstürzt. In diesem Fall kann es sich bei der Microsoft-ähnlichen Datei um Malware handeln.

Behelfslösung

VORSICHT: Deaktivieren Sie die Zugriffsschutzregel Common – Standardschutz nur, wenn es keine andere Möglichkeit gibt. Aufgrund der sich ständig weiterentwickelnden Malware empfiehlt McAfee, die Zugriffschutzregel unbedingt aktiviert zu lassen. Wenn Sie die Regel deaktivieren, erlauben Sie fremdem Code (inklusive Malware), seine Inhalte in wichtige McAfee-Prozesse einzuschleusen. Dies kann die Entdeckung von Malware verhindern und/oder zu einer infizierten Computer-Umgebung führen.

So deaktivieren Sie die Zugriffschutzregel Common – Standardschutz, die ein Einklinken in die McAfee-Prozesse verhindert:
  1. Klicken Sie auf Start, auf Programme, auf McAfee und dann auf VirusScan-Konsole.
  2. Doppelklicken Sie auf Zugriffsschutz.
  3. Wählen Sie Common – Standardschutz.
  4. Heben Sie die Auswahl der Einträge Blockieren und Bericht für Einklinken von McAfee-Prozessen verhindern auf (dies ist standardmäßig aktiviert).
  5. Klicken Sie auf OK, und schließen Sie die VirusScan-Konsole.

Haftungsausschluss

Der Inhalt dieses Artikels stammt aus dem Englischen. Bei Unterschieden zwischen dem englischen Text und seiner Übersetzung gilt der englische Text. Einige Inhalte wurden mit maschineller Übersetzung erstellt, die von Microsoft durchgeführt wurde.

Dieses Dokument bewerten

Beta Translate with

Select a desired language below to translate this page.