Loading...

La aplicación o el archivo DLL [...] no son una imagen de Windows válida (cuando se inicia un análisis bajo demanda)
Artículos técnicos ID:   KB73521
Última modificación:  03/11/2016
Calificado:


Entorno

McAfee VirusScan Enterprise (VSE) 8.8 Parche 1 o posteriores
McAfee VirusScan Enterprise 8.7i Parche 5

 

Problema

Al realizar un análisis bajo demanda (ODS, On-Demand Scan), hacer doble clic en el análisis o abre la consola de VSE, aparecerá un mensaje de imagen defectuosa similar a uno de los siguientes:

La aplicación o DLL C:\WINDOWS\system32\msi.dll no es una imagen válida de Windows. Compruebe esto contra su disquete de instalación.

La aplicación o DLL C:\Windows\system32\sxwmon32.dll no es una imagen válida de Windows. Compruebe esto contra su disquete de instalación.

La aplicación o DLL C:\Windows\system32\AMInit.dll no es una imagen válida de Windows. Compruebe esto contra su disquete de instalación.

La aplicación o DLL C:\Windows\system32\Vsxwmon32.dll no es una imagen válida de Windows. Compruebe esto contra su disquete de instalación.
 
Entre los nombres de proceso que pueden mostrarse se incluyen los siguientes:
  • scan32.exe
  • scan64.exe
  • scncfg32.exe
  • mcshield.exe
  • myAgtSvc.exe
NOTAS:
  • Este problema solo se produce en el parche 5 de 8.7i y en el parche 1 de VSE 8.8 y posteriores.
  • Este es el diálogo de Windows habitual que indica que un archivo DLL de terceros no es una imagen de Windows válida. Puede afectar a distintos archivos DLL y ejecutables. Este mensaje se muestra solo a modo de ejemplo.
  • El error no influye en el ODS. Después de hacer clic en Aceptar, verá el diálogo de ODS habitual tal y como cabía esperar.

Problema

Después de instalar el parche 1 de VSE 8.8, no puede iniciar un ODS desde la consola de VSE.

Normalmente, no aparece ningún mensaje emergente, pero, en ocasiones, se muestra el siguiente error:

Required DAT is missing or corrupted

Si desactiva la AP, podrá ejecutar el ODS sin ningún problema.


A veces, cuando realiza un ODS con AP activada, aparece el siguiente evento en el registro de eventos:

Event ID: 514
Description: Process **\MCSHIELD.EXE pid (1560) contained unsigned or corrupted code and was blocked from performing a privileged operation with a McAfee driver.

Cambio de sistema

Actualización al parche 5 de VSE 8.7i o al parche 1 de 8.8.

Motivo

Con el parche 5 de VSE 8.7i y el parche 1 de 8.8, se ha introducido una nueva regla de protección de acceso (AP, Access Protection). Esta regla, Evitar la interrupción de procesos de McAfee, está activada de forma predeterminada. La seguridad mejorada que ofrece esta regla protege frente a la inserción de archivos DLL firmados o sin firmar si el certificado procede de un proveedor distinto de Microsoft y McAfee.

Si este problema se produce como consecuencia de archivos DLL de Microsoft que se espera que sean de confianza, deberá actualizar el almacén de certificados de Microsoft. Esto sucede cuando no existe un certificado válido o que se corresponda con el archivo.

Si el error se produce como consecuencia de un archivo DLL firmado de otro proveedor y confía en la inserción en el proceso protegido, deberá agregar el certificado al almacén de certificados de confianza de McAfee.

En función de cuál sea el método de inserción de DLL empleado por la aplicación de terceros, se aplicará una de las siguientes afirmaciones: 
  • Inserción de DLL de programación
    Es posible que las aplicaciones controlen cuándo se inician los procesos nuevos e invoquen código que intente insertar un archivo DLL en el espacio destinado a la dirección del proceso nuevo. Cuando se trate de uno de los procesos protegidos de McAfee y la regla de AP Evitar la interrupción de procesos de McAfee esté activada, el intento de insertar DLL falla. Lo bloquea la regla de AP. 
  • AppInit_DLLs
    Es posible que las aplicaciones utilicen un método de interceptación de DLL de Windows que emplee el valor de registro AppInit_DLLs para garantizar que los procesos cargan los archivos DLL especificados en el espacio destinado a la dirección. Para obtener más información sobre AppInit_DLLs, consulte el artículo de Microsoft KnowledgeBase que encontrará en http://support.microsoft.com/kb/197571.

    Puede verificar si tiene instalada esta aplicación consultando el contenido del valor de registro:

    En sistemas x86 (32 bits): 
    HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs 

    En sistemas x64 (64 bits): 
    HKLM\Software\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs
    HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs 

    NOTA: Los sistemas de 64 bits incluyen las dos ubicaciones de registro.

Solución

Aplique esta solución si el almacén de certificados de Microsoft debe actualizarse.

Para solucionar el problema relativo a MSI.DLL (componente de Microsoft), consulte el artículo de Microsoft KnowledgeBase que encontrará en http://support.microsoft.com/kb/972397.

NOTA: 
Este hotfix corresponde a Windows Installer 4.5.Si tiene Windows Installer 3.5, primero, debe ampliar a la versión 4.5 y, después, aplicar el hotfix.

Si ya ha aplicado el hotfix de Microsoft, ejecute el comprobador de archivos de sistema.Escriba el siguiente comando y pulse INTRO:

sfc /scannow

Para obtener más información sobre cómo el comprobador de archivos de sistema, consulte el artículo de Microsoft KnowledgeBase que encontrará en http://support.microsoft.com/kb/310747.

Además de los archivos mencionados, con esta solución también se instala un archivo de catálogo de seguridad asociado (KBnumber.cat) que lleva la firma digital de Microsoft.

Para obtener más información técnica sobre cómo Windows actualiza los certificados raíz en Windows XP SP2 y SP3, consulte el artículo de Microsoft TechNet que encontrará en http://technet.microsoft.com/en-us/library/bb457160.aspx.

Para obtener información técnica detallada sobre cómo Windows actualiza los certificados raíz en Windows Vista y posteriores, consulte el artículo de Microsoft TechNet que encontrará en http://technet.microsoft.com/en-us/library/cc749331(WS.10).aspx.

NOTA: Los usuarios más avanzados disponen de otros métodos para actualizar el almacén de certificados:

Solución

Para evitar el mensaje de DLL defectuoso, debe importar una copia del certificado digital del producto de terceros en el almacén de certificados de confianza de McAfee:
  1. Póngase en contacto con el servicio de soporte técnico de McAfee.

    Para ponerse en contacto con el Soporte técnico, inicie sesión en ServicePortal y vaya a Crear una solicitud de servicio en https://support.mcafee.com/ServicePortal/faces/serviceRequests/createSR:
    • Si está registrado, introduzca su ID de usuario y contraseña y, a continuación, haga clic en Iniciar sesión.
    • Si no está registrado, haga clic en Registrarse y rellene los campos obligatorios. Recibirá por correo electrónico la contraseña y las instrucciones para iniciar sesión.
  2. Facilite al servicio de soporte técnico de McAfee el archivo .cer que desea agregar.
    El archivo del certificado .cer se obtiene a partir del archivo DLL implicado. Si el archivo no dispone de certificado digital, no es posible evitar el mensaje emergente.
     
  3. Ejecute el archivo ejecutable proporcionado por el servicio de soporte técnico de McAfee.
    El paquete emplea la tecnología SuperDAT. Por este motivo, puede ejecutarlo en sistemas individuales o agregarlo a un repositorio de ePolicy Orchestrator.
     
  4. Borre la caché de análisis de VSE 8.8 si es preciso. Consulte el artículo KB71905 para conocer las prácticas recomendadas.
  5. Reinicie el equipo para que los cambios realizados en el almacén de certificados surtan efecto.
 
NOTAS:
  • PRECAUCIÓN: Este artículo contiene información sobre la apertura o la modificación del Registro.
    • La información siguiente va dirigida a administradores de sistemas. Las modificaciones del Registro son irreversibles y podrían provocar un fallo del sistema si se realizan de modo incorrecto.
    • Antes de continuar, Soporte técnico le recomienda encarecidamente crear una copia de seguridad del Registro y asegurarse de comprender el proceso de restauración. Para obtener más información, consulte: http://support.microsoft.com/kb/256986.
    • No ejecute ningún archivo REG si no está seguro de que sea un archivo de importación del Registro auténtico.
  • Para desactivar la interceptación de API de Citrix por aplicación, siga las instrucciones del documento de Citrix cuyo ID es CTX10782 y que podrá encontrar en http://support.citrix.com/article/CTX107825.
     
  • Si ha instalado software de Lumension Security, las siguientes entradas de registro también son necesarias.
Ubicación
HKLM\System\CurrentControlSet\services\sk\Parameters

Claves que se deben agregar
 
Tipo
Nombre del valor
Información del valor 
REG_DWORD
c:\Archivos de programa (x86)\McAfee\VirusScan Enterprise\Scan32.exe
0
REG_DWORD 
c:\Archivos de programa (x86)\McAfee\VirusScan Enterprise\x64\Scan64.exe
0

Solución

Para confirmar (o descartar) que se trata de una archivo de Microsoft no fiable, realice lo siguiente:

  1. Utilice el monitor de procesos Sysinternals de Microsoft (procmon.exe) para identificar los archivos DLL a los que se les denegó el acceso desde la carga. Para obtener más información sobre cómo emplear esta utilidad, consulte http://technet.microsoft.com/en-us/sysinternals/bb896645.aspx.
  2. Utilice el comprobador de firmas Sysinternals de Microsoft (sigcheck.exe) para determinar si el archivo tiene una firma válida. Para obtener más información sobre cómo emplear esta utilidad, consulte http://technet.microsoft.com/en-us/sysinternals/bb897441.

    Ejecute el siguiente comando si se produce este problema:

Sigcheck -i -r -h <nombre de archivo>

Si la herramienta determina que el archivo no es válido o no está firmado, McAfee no confía en él. Consulte la solución 1 para saber cómo proceder.

NOTA: Es posible que los informes indiquen que no se confió en un archivo aparentemente de Microsoft y, por ello, se bloqueó su carga, a pesar de que el componente que lo cargó fuera de confianza. Con ello, se presentan nuevos síntomas que indican que el proceso Scan32/Scan64 se bloquea. En este caso, el archivo que aparentemente es de Microsoft puede ser en realidad malware.

Solución temporal

PRECAUCIÓN: Desactive únicamente la regla de AP Protección común estándar como último recurso. Dada la naturaleza cambiante del malware, McAfee recomienda encarecidamente mantener la regla de AP activada. Si desactiva la regla, permite que el código extraño (incluido malware) inserte su contenido en procesos importantes de McAfee, lo que puede traducirse en elementos no detectados y entornos informáticos en riesgo.

Para desactivar la regla de AP Protección común estándar que impide la interceptación de procesos de McAfee, realice lo siguiente:
  1. Haga clic en Inicio, Programas, McAfee, Consola de VirusScan.
  2. Haga doble clic en Protección de acceso.
  3. Seleccione Protección común estándar.
  4. Desmarque las entradas Bloquear e Informe correspondientes a Evitar la interrupción de procesos de McAfee (si esta regla está activada de forma predeterminada).
  5. Haga clic en Aceptar y salga de la consola de VirusScan.

Descargo de responsabilidad

El contenido de este artículo se creó en inglés. En caso de darse cualquier diferencia entre el contenido en inglés y su traducción, el primero siempre será el más preciso. La traducción de algunas partes de este contenido la ha proporcionado Microsoft mediante el uso de traducción automática.

Calificar este documento

Idiomas: