Loading...
null

L'applicazione o DLL [...] non è un'immagine valida di Windows (all'avvio della Scansione su richiesta)
Articoli tecnici ID:   KB73521
Ultima modifica:  03/11/2016
Con punteggio:


Ambiente

McAfee VirusScan Enterprise (VSE) 8.8 Patch 1 o versioni successive
McAfee VirusScan Enterprise 8.7i Patch 5

 

Problema

Se viene eseguita una Scansione su richiesta (ODS, On-Demand Scan), una scansione tramite il pulsante destro del mouse o viene aperta la console VSE, visualizzerai un messaggio di immagine danneggiata simile a uno dei messaggi seguenti:

L'applicazione o DLL C:\WINDOWS\system32\msi.dll non è un'immagine valida di Windows. Verificare il dischetto di installazione

L'applicazione o DLL C:\WINDOWS\system32\sxwmon32.dll non è un'immagine valida di Windows. Verificare il dischetto di installazione

L'applicazione o DLL C:\WINDOWS\system32\AMInit.dll non è un'immagine valida di Windows. Verificare il dischetto di installazione

L'applicazione o DLL C:\WINDOWS\system32\Vsxwmon32.dll non è un'immagine valida di Windows. Verificare il dischetto di installazione
 
I nomi processo che possono essere elencati includono i seguenti:
  • scan32.exe
  • scan64.exe
  • scncfg32.exe
  • mcshield.exe
  • myAgtSvc.exe
NOTE:
  • questo problema riguarda soltanto 8.7i Patch 5 e VSE 8.8 Patch 1 e versioni successive.
  • È la finestra di dialogo standard di Windows che indica che una DLL di terze parti non è un'immagine valida di Windows. Possono essere interessati diversi file eseguibili e DLL. Esempio di messaggio.
  • L'errore non ha conseguenze per l'ODS. Dopo aver fatto clic su OK, visualizzerai, come previsto, la finestra di dialogo ODS.

Problema

Dopo aver installato VSE 8.8 Patch 1, non sarà possibile avviare un ODS dalla console VSE.

Solitamente, non viene visualizzato un messaggio popup, ma alcune volte viene visualizzato l'errore seguente:

DAT richiesto mancante o danneggiato

Se viene disattivata la protezione dell'accesso (AP, Access Protection), è possibile eseguire l'ODS senza alcun problema.


Alcune volte, durante l'esecuzione di un ODS con AP attiva , viene visualizzato l'evento seguente segnalato nel registro eventi:

ID evento: 514
Descrizione: Il processo **\MCSHIELD.EXE pid (1560) conteneva un codice senza firma o danneggiato e l'esecuzione di un'operazione privilegiata con un driver McAfee è stata bloccata.

Modifica di sistema

Aggiornato a VSE 8.7i Patch 5 o 8.8 Patch 1.

Causa

Con VSE 8.7i Patch 5 e 8.8 Patch 1 è stata introdotta una nuova regola AP. Tale regola, Impedisci l'hooking dei processi McAfee, è attiva per impostazione predefinita. La sicurezza migliorata offerta da questa regola protegge dall'aggiunta di DDL senza firma o firmate se il certificato proviene da un distributore diverso da Microsoft e McAfee.

Se questo problema è causato dai file DDL di Microsoft considerati affidabili, sarà necessario aggiornare l'archivio certificati Microsoft. Ciò si verifica quando per il file non è presente un certificato corrispondente o valido.

Se l'errore è causato da una DDL firmata da un altro distributore e ritieni affidabile l'aggiunta all'interno del processo protetto, è necessario aggiungere il certificato all'archivio certificati considerati affidabili McAfee.

A seconda del metodo di aggiunta di DLL utilizzato dall'applicazione di terze parti, si verifica una delle situazioni seguenti: 
  • Aggiunta DLL programmatica
    Le applicazioni possono monitorare l'avvio di nuovi processi e richiamare il codice che tenta di aggiungere una DLL nello spazio dell'indirizzo del nuovo processo. Se il processo è uno dei processi protetti McAfee e la regola di protezione dell'accesso Impedisci l'hooking dei processi McAfee è attiva, il tentativo di aggiunta della DLL non riesce perché viene bloccata dalla regola AP. 
  • AppInit_DLLs
    Le applicazioni potrebbero utilizzare un metodo di hooking delle DLL di Windows che utilizza il valore di registro AppInit_DLLs per garantire che i processi carichino i file DLL specificati nel relativo spazio dell'indirizzo. Per ulteriori informazioni su AppInit_DLLs, consulta l'articolo della KnowledgeBase Microsoft all'indirizzo http://support.microsoft.com/kb/197571.

    Esaminando i contenuti del valore di registro, puoi verificare di disporre di tale applicazione installata:

    sistemi x86 (a 32 bit): 
    HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs 

    sistemi x64 (a 64 bit): 
    HKLM\Software\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs
    HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs 

    NOTA: i sistemi a 64 bit contengono entrambi i percorsi di registro.

Soluzione

Utilizza questa soluzione se è necessario aggiornare l'archivio certificati Microsoft.

Per risolvere il problema relativo a MSI.DLL (un componente di Microsoft), consulta l'articolo della KnowledgeBase Microsoft all'indirizzo http://support.microsoft.com/kb/972397.

NOTA: 
tale HotFix riguarda Windows Installer 4.5. Se disponi di Windows Installer 3.5, devi effettuare l'upgrade alla versione 4.5 prima di poter applicare l'HotFix.

Se hai già applicato l'HotFix di Windows, esegui il Controllo file di sistema. Digita il comando seguente e premi INVIO:

sfc /scannow

Per ulteriori informazioni sull'utilizzo del Controllo file di sistema, consulta l'articolo della KnowledgeBase Microsoft all'indirizzo http://support.microsoft.com/kb/310747.

In aggiunta ai file elencati, tale correzione installa anche un file di catalogo di sicurezza (KBnumber.cat) firmato con una firma digitale Microsoft.

Per ulteriori informazioni tecniche su come gli aggiornamenti di Windows originano i certificati in Windows XP SP2 e SP3, consulta l'articolo Microsoft TechNet all'indirizzo http://technet.microsoft.com/en-us/library/bb457160.aspx.

Per informazioni tecniche dettagliate su come gli aggiornamenti di Windows originano i certificati in Windows Vista e versioni successive, consulta l'articolo Microsoft TechNet all'indirizzo http://technet.microsoft.com/en-us/library/cc749331(WS.10).aspx.

NOTA: gli utenti più esperti possono avvalersi di altri metodi per l'aggiornamento dell'archivio certificati:

Soluzione

Per non visualizzare il messaggio di DLL danneggiata, è necessario importare una copia del certificato digitale del prodotto di terze parti nell'archivio certificati considerati affidabili McAfee:
  1. Contatta l'assistenza tecnica McAfee.

    Per contattare l'assistenza tecnica, accedere al ServicePortal e andare alla pagina Crea una richiesta di assistenza all'indirizzo https://support.mcafee.com/ServicePortal/faces/serviceRequests/createSR:
    • Se è stata effettuata la registrazione, digitare il proprio ID utente e la password, quindi fare clic su Accedi.
    • Se non è stata effettuata la registrazione, fare clic su Registrati e compilare i campi obbligatori. La password e le istruzioni di accesso verranno inviate via email.
  2. Fornisci il file .CER da aggiungere all'Assistenza McAfee.
    Puoi ottenere il file di certificato .CER dalla DLL interessata. Se il file non dispone di un certificato digitale, non è possibile evitare di visualizzare il messaggio popup.
     
  3. Esegui il file eseguibile fornito dall'Assistenza tecnica McAfee.
    Il pacchetto utilizza la tecnologia SuperDAT. Di conseguenza, puoi eseguirlo sui singoli sistemi o aggiungerlo a un archivio ePolicy Orchestrator.
     
  4. Cancella la cache di scansione di VSE 8.8, se necessario. Consulta l'articolo KB71905 per le procedure consigliate.
  5. Riavvia il computer per rendere effettive le modifiche apportate all'archivio certificati.
 
NOTE:
  • ATTENZIONE: questo articolo contiene informazioni sull'apertura e la modifica del registro.
    • Le informazioni riportate di seguito sono destinate agli amministratori di sistema. Le modifiche del registro di sistema sono irreversibili e possono causare errori di sistema se non effettuate in modo adeguato.
    • Prima di procedere, l'assistenza tecnica consiglia di eseguire un backup del registro e di acquisire informazioni sulle modalità di ripristino. Per ulteriori informazioni, visitare il sito: http://support.microsoft.com/kb/256986.
    • Non eseguire un file REG non indicato esplicitamente come file di importazione del registro autentico.
  • Per disattivare gli hook dell'API di Citrix a livello di singola applicazione, segui le istruzioni contenute nel Documento Citrix con ID CTX10782: http://support.citrix.com/article/CTX107825.
     
  • Se hai installato software di Lumension Security, sono necessarie anche le due voci di registro seguenti.
Percorso
HKLM\System\CurrentControlSet\services\sk\Parameters

Chiavi da aggiungere
 
Tipo
Nome valore
Dati valore 
REG_DWORD
c:\Program files (x86)\McAfee\VirusScan Enterprise\Scan32.exe
0
REG_DWORD 
c:\Program files (x86)\McAfee\VirusScan Enterprise\x64\Scan64.exe
0

Soluzione

Per assistenza nel processo di conferma (o eliminazione) se si tratta di un file di Microsoft non affidabile: 

  1. Utilizza il Monitoraggio processi Sysinternals di Microsoft (procmon.exe) per identificare le DLL a cui è stato negato l'accesso per il caricamento. Per ulteriori informazioni sull'utilizzo di questa utilità, consulta l'indirizzo http://technet.microsoft.com/en-us/sysinternals/bb896645.aspx.
  2. Utilizza la Verifica delle firme Sysinternals di Microsoft (sigcheck.exe) per verificare se il file dispone di una firma valida. Per ulteriori informazioni sull'utilizzo di questa utilità, consulta l'indirizzo http://technet.microsoft.com/en-us/sysinternals/bb897441.

    Per questo problema, utilizza il comando seguente:

Sigcheck -i -r -h <filename>

Se lo strumento mostra il file come non valido o senza firma, McAfee non può considerarlo affidabile. Consultare la Soluzione 1 per ricevere istruzioni su come proseguire.

NOTA: i rapporti potrebbero indicare che un file in apparenza di Windows non è stato ritenuto affidabile da McAfee e di conseguenza il relativo caricamento è stato bloccato; tuttavia, il caricamento del componente è stato ritenuto affidabile. Ciò causa nuovi sintomi nel punto in cui il processo Scan32/Scan64 si arresta in modo anomalo. In questo scenario, il file in apparenza di Microsoft potrebbe essere in realtà un malware.

Soluzione alternativa

ATTENZIONE: disattiva la regola AP Protezione degli standard comuni soltanto come ultima risorsa. A causa della continua evoluzione del malware, McAfee consiglia di mantenere attiva questa regola AP. Se la regola viene disattivata, consenti al codice esterno (incluso il malware) di aggiungere contenuti a processi McAfee critici causando in questo modo, rilevamenti non effettuati e/o il danneggiamento degli ambienti.

Per disattivare la regola AP di protezione degli standard comuni che impedisce l'hooking dei processi McAfee:
  1. Fai clic su Start, Programmi, McAfee, Console VirusScan.
  2. Fai doppio clic su Protezione dell'accesso.
  3. Seleziona Protezione degli standard comuni.
  4. Deseleziona le voci Blocca e Report per Impedisci l'hooking dei processi McAfee (attiva per impostazione predefinita).
  5. Fai clic su OK ed esci dalla console VirusScan.

Dichiarazione di non responsabilità

Il contenuto di questo articolo è stato scritto in inglese. In caso di differenze tra il contenuto in inglese e la traduzione, fare sempre riferimento al contenuto in iglese. Parte del contenuto è stata tradotta con gli strumenti di traduzione automatica di Microsoft.

Classifica questo documento

Beta Translate with

Select a desired language below to translate this page.