Loading...

L'application ou le DLL [...] n'est pas une image Windows valide (lors du lancement d'une analyse à la demande)
Articles techniques ID:   KB73521
Date de la dernière modification :  03/11/2016
Noté :


Environnement

McAfee VirusScan Enterprise (VSE) 8.8 Patch 1 ou versions ultérieures
McAfee VirusScan Enterprise 8.7i Patch 5

 

Problème

Si vous lancez une analyse à la demande (ODS), une analyse clic droit ou que vous ouvrez la console VSE, un message d'image incorrecte s'affiche. Il ressemble à l'un des messages suivants :

L'application ou le fichier DLL C:\WINDOWS\system32\msi.dll n'est pas une image Windows valide. Vérifiez à l'aide de votre disquette d'installation

L'application ou le fichier DLL C:\Windows\system32\sxwmon32.dll n'est pas une image Windows valide. Vérifiez à l'aide de votre disquette d'installation

L'application ou le fichier DLL C:\Windows\system32\AMInit.dll n'est pas une image Windows valide. Vérifiez à l'aide de votre disquette d'installation

L'application ou le fichier DLL C:\Windows\system32\Vsxwmon32.dll n'est pas une image Windows valide. Vérifiez à l'aide de votre disquette d'installation
 
Le nom du processus pouvant être listé peut figurer parmi les suivants :
  • scan32.exe
  • scan64.exe
  • scncfg32.exe
  • mcshield.exe
  • myAgtSvc.exe
REMARQUES :
  • Ce problème s'applique uniquement à 8.7i Patch 5, VSE 8.8 Patch 1 et versions ultérieures.
  • Il s'agit de la boîte de dialogue Windows standard, indiquant qu'un fichier DLL tiers n'est pas une image Windows valide. D'autres exécutables et fichiers DLL peuvent être concernés. Il s'agit simplement d'un exemple de message.
  • Cette erreur n'a pas d'impact sur l'analyse à la demande. Une fois que vous avez cliqué sur OK, la boîte de dialogue de l'analyse à la demande s'affiche normalement comme prévu.

Problème

Après l'installation de VSE 8.8 Patch 1, vous ne pouvez pas démarrer une analyse à la demande à partir de la console VSE.

Le plus souvent, aucun message contextuel n'est affiché, mais l'erreur suivante est parfois affichée :

Le fichier DAT requis est manquant ou corrompu.

Si vous désactivez la protection de l'accès (AP), vous pouvez exécuter l'analyse à la demande sans problème.


Lorsque vous exécutez une analyse à la demande et que l'AP est activée, l'événement suivant est parfois consigné dans le journal des événements :

ID d'événement : 514
Description : Le processus **\MCSHIELD.EXE pid (1560) contenait des codes non signés ou corrompus ; un pilote McAfee l'a empêché d'exécuter une opération privilégiée.

Modification du système

Mise à jour vers VSE 8.7i Patch 5 ou 8.8 Patch 1.

Cause

Une nouvelle règle AP a été ajoutée aux versions VSE 8.7i Patch 5 et 8.8 Patch 1. Cette règle, Empêcher l'accrochage de processus McAfee, est activée par défaut. La sécurité améliorée grâce à cette règle protège contre les injections DLL non signées ou signées si le certificat est signé par un fournisseur autre que Microsoft ou McAfee.

Si ce problème est provoqué par des fichiers DLL Microsoft qui devraient être approuvés, vous devez mettre à jour le Magasin de certificats Microsoft. Cela se produit lorsqu'aucun certificat correspondant ou valide n'est trouvé pour le fichier.

Si l'erreur est provoquée par le fichier DLL émanant d'un autre fournisseur et que vous approuvez l'injection dans le processus protégé, il faut ajouter le certificat au Magasin de certificats approuvés McAfee.

En fonction de la méthode d'injection de DLL utilisée par votre application tierce, un des éléments suivants s'applique : 
  • Injection DLL par programme
    Il se peut que les applications surveillent le démarrage de nouveaux processus et invoquent un code tentant d'injecter un fichier DLL dans l'espace d'adresse du nouveau processus. Si le processus fait partie des processus protégés par McAfee et si la règle de protection de l'accès Empêcher l'accrochage de processus McAfee est activée, la tentative d'injection de DLL échoue. Elle est bloquée par la règle AP. 
  • AppInit_DLLs
    Les applications utilisent peut-être une méthode d'accrochage de DLL Windows exploitant la valeur de Registre AppInit_DLLs afin de s'assurer que les processus chargent le ou les fichiers DLL spécifiés dans leur espace d'adresse. Pour plus d'informations sur AppInit_DLLs, consultez l'article de la Base de connaissances Microsoft à l'adresse http://support.microsoft.com/kb/197571.

    Vous pouvez vérifier si l'une de ces applications est installée sur votre ordinateur en vérifiant le contenu de la valeur de Registre :

    Systèmes x86 (32 bits) : 
    HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs 

    Systèmes x64 (64 bits) : 
    HKLM\Software\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs
    HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs 

    REMARQUE : Les systèmes 64 bits contiennent les deux emplacements de Registre.

Solution

Utilisez cette solution si le Magasin de certificats Microsoft doit être mis à jour.

Pour résoudre ce problème concernant MSI.DLL (un composant Microsoft), consultez l'article de la Base de connaissances Microsoft à l'adresse http://support.microsoft.com/kb/972397.

REMARQUE : 
Ce HotFix est destiné à Windows Installer 4.5. Si vous disposez de Windows Installer 3.5, vous devez d'abord mettre à niveau vers la nouvelle version 4.5, puis appliquer le HotFix.

Si vous avez déjà appliqué le HotFix Microsoft, exécutez le Vérificateur des fichiers système. Saisissez la commande suivante, puis appuyez sur ENTRÉE :

sfc /scannow

Pour plus d'informations sur l'utilisation du vérificateur des fichiers système, consultez l'article de la Base de connaissances Microsoft à l'adresse http://support.microsoft.com/kb/310747.

Ce HotFix installe, en plus des fichiers listés, un fichier catalogue de sécurité associé (KBnumber.cat), signé avec une signature numérique Microsoft.

Pour plus d'informations techniques sur la mise à jour de certificats racines par Microsoft sous Windows XP SP2 et SP3, consultez l'article Microsoft TechNet à l'adresse http://technet.microsoft.com/fr-fr/library/bb457160.aspx.

Pour plus d'informations techniques détaillées sur la mise à jour de certificats racines par Microsoft sous Windows Vista et versions ultérieures, consultez l'article Microsoft TechNet à l'adresse http://technet.microsoft.com/fr-fr/library/cc749331(WS.10).aspx.

REMARQUE : Pour les utilisateurs avancés, il existe d'autres méthodes permettant de mettre à jour le magasin de certificats :

Solution

Pour éviter le message de DLL incorrect, vous devez importer une copie du certificat numérique pour le produit tiers dans le Magasin de certificats approuvés McAfee :
  1. Contactez le support technique McAfee.

    Pour contacter le Support technique, connectez-vous au portail ServicePortal et allez sur la page Création d'une demande de service à l'adresse https://support.mcafee.com/ServicePortal/faces/serviceRequests/createSR :
    • Si vous êtes un utilisateur enregistré, saisissez votre Nom d'utilisateur et votre Mot de passe, puis cliquez sur Se connecter.
    • Si vous n'êtes pas enregistré, cliquez sur S'enregistrer et remplissez les champs requis. Votre mot de passe et vos instructions de connexion vous seront adressés par e-mail.
  2. Fournissez le fichier .cer à ajouter au Support technique McAfee.
    Le fichier de certificat .cer est obtenu à partir du fichier DLL concerné. Si le fichier ne dispose pas d'un certificat numérique, il n'existe aucune solution pour éviter la fenêtre contextuelle.
     
  3. Exécutez l'exécutable fourni par le Support technique McAfee.
    Le package utilise la technologie SuperDAT. De ce fait, vous pouvez l'exécuter sur un système individuel ou l'ajouter à un Référentiel ePolicy Orchestrator.
     
  4. Effacez le cache d'analyse de VSE 8.8 si nécessaire. Consultez l'article KB71905 pour les meilleures pratiques.
  5. Redémarrez votre ordinateur pour appliquer les modifications apportées au magasin de certificats.
 
REMARQUES :
  • ATTENTION : cet article contient des informations concernant l'ouverture ou la modification du Registre.
    • Les informations suivantes sont destinées aux administrateurs système. Les modifications apportées au Registre sont irréversibles et peuvent causer des défaillances du système si elles ne sont pas effectuées correctement.
    • Avant de poursuivre, le Support technique vous recommande fortement de sauvegarder votre Registre et de bien connaître la procédure de restauration. Pour de plus amples informations, consultez le site : http://support.microsoft.com/kb/256986.
    • N'exécutez pas de fichier .REG si vous n'êtes pas certain qu'il s'agit d'un fichier d'importation de Registre authentique.
  • Pour désactiver les accrochages API Citrix application par application, suivez les instructions dans l'ID de document Citrix CTX10782 : http://support.citrix.com/article/CTX107825.
     
  • Si vous avez installé un logiciel Lumension Security, les deux entrées de Registre suivantes sont également nécessaires.
Emplacement
HKLM\System\CurrentControlSet\services\sk\Parameters

Clés à ajouter
 
Type
Nom de la valeur
Données de la valeur 
REG_DWORD
c:\Program files (x86)\McAfee\VirusScan Enterprise\Scan32.exe
0
REG_DWORD 
c:\Program files (x86)\McAfee\VirusScan Enterprise\x64\Scan64.exe
0

Solution

Pour vous aider à confirmer (ou à infirmer) qu'il s'agit d'un fichier Microsoft non approuvé : 

  1. Utilisez le Moniteur de processus de Microsoft Sysinternals (procmon.exe) pour identifier le ou les fichiers DLL n'ayant pas pu être chargés. Pour plus d'informations sur l'utilisation de cet utilitaire, consultez la page http://technet.microsoft.com/fr-fr/sysinternals/bb896645.aspx.
  2. Utilisez le Vérificateur de signature de Microsoft Sysinternals (sigcheck.exe) pour déterminer si le fichier dispose d'une signature valide. Pour plus d'informations sur l'utilisation de cet utilitaire, consultez la page http://technet.microsoft.com/fr-fr/sysinternals/bb897441.

    Pour ce problème, utilisez la commande suivante :

Sigcheck -i -r -h <nom_du_fichier>

Si cet outil affiche que le fichier est non valide ou non signé, McAfee ne peut pas l'approuver. Consultez la Solution 1 pour connaître la procédure.

REMARQUE : Les rapports peuvent indiquer qu'un fichier ressemblant à un fichier Microsoft n'a pas été approuvé ; son chargement a donc été bloqué, mais le composant de chargement a été approuvé. Cela entraîne de nouveaux symptômes à l'emplacement où le processus Scan32/Scan64 est tombé en panne. Dans ce cas, le fichier ressemblant à un fichier Microsoft pourrait être, en réalité, malveillant.

Résolution

ATTENTION : Désactivez la règle AP Protection standard commune uniquement comme solution de dernier recours. Étant donné la nature évolutive des logiciels malveillants (malware), McAfee recommande vivement de laisser la règle AP activée. Si vous désactivez la règle, vous permettez à des codes étrangers (malware y compris) d'injecter leur contenu dans des processus McAfee critiques, ce qui peut entraver la détection et/ou compromettre l'environnement informatique.

Pour désactiver la règle AP Protection standard commune empêchant l'accrochage des processus McAfee :
  1. Cliquez sur Démarrer, Programmes, McAfee, Console VirusScan.
  2. Double-cliquez sur Protection de l'accès.
  3. Sélectionnez Protection standard commune.
  4. Désélectionnez les deux entrées Bloquer et Rapport pour Empêcher l'accrochage de processus McAfee (activées par défaut).
  5. Cliquez sur OK, puis quittez la console VirusScan.

Clause d'exclusion de responsabilité

Le contenu du présent article a été rédigé en anglais. En cas de divergences entre la version anglaise et sa traduction, la version en anglais prévaut. Certaines parties de ce contenu ont été traduites par le moteur de traduction automatique de Microsoft.

Noter ce document