Loading...

アプリケーションまたは DLL が有効な Windows イメージではありません。
技術的な記事 ID:   KB73521
最終更新:  2019/03/07
評価:


環境

McAfee VirusScan Enterprise 8.8 パッチ 1 以降

VSE 8.x のサポート環境の詳細については、 KB51111を参照してください。

問題

オンデマンド スキャン(ODS)を実行する、または VirusScan Enterprise(VSE)コンソールを開くと、次のいずれか 1 つに似た良くないイメージ メッセージが表示されます:
The application or DLL C:\WINDOWS\system32\msi.dll is not a valid Windows image. Please check this against your installation diskette

The application or DLL C:\Windows\system32\sxwmon32.dll is not a valid Windows image. Please check this against your installation diskette

The application or DLL C:\Windows\system32\AMInit.dll is not a valid Windows image. Please check this against your installation diskette

The application or DLL C:\Windows\system32\Vsxwmon32.dll is not a valid Windows image. Please check this against your installation diskette
表示されているプロセス名は次を含みます:
  • scan32.exe
  • scan64.exe
  • scncfg32.exe
  • mcshield.exe
  • myAgtSvc.exe
注:
  • この問題は 8.7i パッチ 5 および VSE 8.8 パッチ 1 以降にのみ適用されます。
  • これは、サード パーティ DLL が有効な Windows イメージではないことを示す標準の Windows ダイアログです。 さまざまな実行可能ファイルと DLL ファイルが影響を受ける可能性があります。 これは単なるサンプル メッセージです。
  • このエラーの ODS への影響はありません。 [OK] をクリックした後、予想どおりの通常の ODS ダイアログが表示されます。

問題

VSE 8.8 パッチ 1 をインストールした後、VSE コンソールからは ODS を起動できません。

通常はポップアップ メッセージは表示されませんが、次のエラーが表示される場合があります。
Required DAT is missing or corrupted

アクセス保護 (AP) を無効にする場合は、問題なく ODS を実行することができます。

AP を有効にして ODA を実行すると、イベント ログに次のイベントが報告されることがあります。
Event ID: 514
Description: Process **\MCSHIELD.EXE pid (1560) contained unsigned or corrupted code and was blocked from performing a privileged operation with a McAfee driver.

システムの変更

VSE 8.7i パッチ 5 または 8.8 パッチ 1 に更新されました。

原因

Prevent hooking of McAfee processes AP ルールは VSE 8.7i パッチ 5 と 8.8 パッチ 1 で導入されました。 このルールは、デフォルトで有効です。 このルールによる改善されたセキュリティは、証明書が Microsoft とマカフィー以外のベンダーからのものである場合、署名されていないまたは署名されている DLL 挿入に対して保護します。

この問題が、信頼されていると期待する Microsoft DLL ファイルが原因で発生した場合、Microsoft 証明書ストアを更新する必要があります。 これは、このファイルに対応する証明書または有効な証明書がない場合に発生します。

エラーが別のベンダーの 署名されている DLL によるもので、それを保護されたプロセスに挿入することを信用する場合、証明書を McAfee Trust Certificate Store に追加する必要があります。

サード パーティ アプリケーションが使用する DLL 挿入方法によって、次のいずれか 1 つが適用されます。
  • プログラムによる DLL 挿入
    新しいプロセスが開始されたときと、新しいプロセスのアドレス空間に DLL を挿入しようとする起動コードを、アプリケーションが監視している可能性があります。 そのプロセスが、マカフィーが保護するプロセスの 1 つであり、アクセス保護ルール McAfee プロセスのフッキングを防ぐが有効になっている場合 DLL の挿入は失敗します。 これは AP ルールによってブロックされます。
  • AppInit_DLLs
    アプリケーションは、指定の DLL ファイルをプロセスが自らのアドレス空間に確実に読み込むようにレジストリ値 AppInit_DLLs を活用する Windows DLL フック方法を使用します。 AppInit_DLLs の詳細については、Microsoft のサポート技術情報の記事 http://support.microsoft.com/kb/197571 を参照してください。

    レジストリ値の内容を調査することでインストールされたアプリケーションがあるかどうかを確認できます:

    x86 (32 ビット) システム
    HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs

    x64 (64 ビット) システム
    HKLM\Software\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs
    HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs

    注: 64 ビット システムは両方のレジストリ場所を含んでいます。

解決策

Microsoft 証明書ストアが更新を必要とする場合、この解決策を使用してください。

MSI.DLL(Microsoft コンポーネント)に関する問題に対処するには、Microsoft のサポート技術情報の記事 http://support.microsoft.com/kb/972397 を参照してください。

注:このホットフィックスは Windows インストーラ 4.5 用です。 Windows インストーラ 3.5 がある場合、まずバージョン 4.5 にアップグレードしてからホットフィックスを適用する必要があります。
Microsoft のホットフィックスを既に適用した場合、システム ファイル チェッカーを実行します。 次のコマンドを入力し、ENTER キーを押します。
sfc /scannow

システム ファイル チェッカーの使用方法の詳細については、Microsoft のサポート技術情報の記事 http://support.microsoft.com/kb/310747 を参照してください。
リストしたファイルに加えて、この修正は、Microsoft デジタル署名で署名された関連するセキュリティ カタログ ファイル(KBnumber.cat)もインストールします。

Windows XP SP2 および SP3 で Windows がルート認証をアップデートする方法に関するその他のテクニカル情報については、Microsoft の TechNet の記事(http://technet.microsoft.com/en-us/library/bb457160.aspx)を参照してください。

Windows Vista 以降で Windows がルート認証をアップデートする方法に関するその他のテクニカル情報については、Microsoft の TechNet の記事( http://technet.microsoft.com/en-us/library/cc749331(WS.10).aspx)を参照してください。

注:高度なユーザーには、証明書ストアを更新する他の方法があります。

解決策

不良な DLL メッセージを回避するには、McAfee Trust Certificate Store にサードパーティ製品用のデジタル署名のコピーをインポートします。
  1. テクニカル サポートに連絡してください。

    テクニカル サポートに問い合わせるには、ServicePortal にログオンし、https://support.mcafee.com/ServicePortal/faces/serviceRequests/createSR で「サービス リクエストの作成」ページにアクセスします。
    • 登録済みのユーザーの場合は、ユーザ ID とパスワードを入力し、ログインをクリックします。
    • 登録済みのユーザーでない場合は、Register をクリックし、必須フィールドに入力します。 パスワードとログインに関する手順を示した電子メールが送信されます。
  2. 追加する .cer ファイルをテクニカルサポートに提供します。
    .cer 証明書ファイルは影響を受けている DLL から入手できます。 ファイルにデジタル署名がない場合、ポップアップ メッセージを回避するオプションはありません。
  3. テクニカルサポートから提供される実行可能ファイルを実行します。
    パッケージは SuperDAT テクノロジーを使用します。 そのため、個別のシステムで実行するか、ePolicy Orchestrator リポジトリに追加します。
  4. 必要な場合に VSE 8.8 スキャン キャッシュを消去します。 ベスト プラクティスについては、KB71905 を参照してください。
  5. 証明書ストアの変更が有効になるようにコンピューターを再起動します。
注:
  • アプリケーションごとに Citrix API フックを無効にするには、http://support.citrix.com/article/CTX107825 にある Citrix Document ID CTX10782 の手順に従ってください。
  • Lumension Security からソフトウェアをインストールした場合、次の 2 つのレジストリ エントリも必要になります。

    警告: この記事には、レジストリの表示または変更に関する情報が含まれています。
    • 以下の情報はシステムの管理者が使用することを想定しています。 レジストリの変更は元に戻せません。誤った変更を行うとシステム障害が発生する可能性があります。
    • テクニカル サポートは、実行する前にレジストリのバックアップを取得すること、リストア方法について理解しておくことを強くお勧めします。 詳細については、http://support.microsoft.com/kb/256986 を参照してください。
    • 正規のレジストリ インポート ファイルであることが確認されていない REG ファイルを実行しないでください。
場所:
HKLM\System\CurrentControlSet\services\sk\Parameters

64 ビット システム
タイプ
値の名前
値のデータ
REG_DWORD
c:\Program files (x86)\McAfee\VirusScan Enterprise\Scan32.exe
0
REG_DWORD
c:\Program files (x86)\McAfee\VirusScan Enterprise\x64\Scan64.exe
0

32-bit systems
タイプ
値の名前
値のデータ
REG_DWORD
c:\Program files\McAfee\VirusScan Enterprise\Scan32.exe
0

解決策

信頼されない Microsoft のファイルかどうかを確認する(または除外する)には次の操作を実行します。
  1. どの DLL が読み込みアクセスを拒否されたのかを特定するには、Microsoft Sysinternals の プロセス モニター(procmon.exe)を使用します。 このユーティリティの使用方法の詳細については、http://technet.microsoft.com/en-us/sysinternals/bb896645.aspx を参照してください。
  2. ファイルに有効な署名があるかどうかを判断するには、Microsoft Sysinternals の Signature Checker(sigcheck.exe)を使用します。 このユーティリティの使用方法の詳細については、http://technet.microsoft.com/en-us/sysinternals/bb897441 を参照してください。

    この問題については、次のコマンドを使用します。
Sigcheck -i -r -h <ファイル名>

ファイルが無効または無署名であることが、このツールにより表示された場合、このファイルは信頼できません。 続行する方法については解決策 1 を参照してください。

注:Microsoft 製のように見えるファイルが信頼できず、そのために読み込みをブロックされたものの、それを読み込んでいるコンポーネントは信頼されたコンポーネントであったとレポートが示す可能性があります。 これは、Scan32/Scan64 プロセスがクラッシュする新しい現象を引き起こします。 このシナリオでは、Microsoft 製のように見えるファイルが実際にはマルウェアである可能性があります。

解決策

VirusScan Enterprise 8.8

パッチ 4をインストールします。 この更新プログラムには、有効期限が切れているが有効な電子署名がされた Microsoft のバイナリが存在する環境を許容するための、改善されたロジックが含まれています。

マカフィーの製品ソフトウェア、アップグレード、メンテナンス リリース、およびドキュメントは製品ダウンロード サイト http://www.mcafee.com/us/downloads/downloads.aspx から入手可能です。

注記: アクセスするには有効な承認番号が必要です。 KB56057 には、製品ダウンロード サイトに関する追加情報と、いくつかの製品に関する別のダウンロード サイトの場所が掲載されています。

回避策

注:Common Standard Protection AP ルールを無効にするのは、最後の手段と考えてください。 マルウェアは進化するため、製品開発チームでは、AP ルールを有効にし続けることを強くお勧めします。 ルールを無効にすると、外部のコード(マルウェアを含む)に対してその内容を重要なマカフィー プロセスに挿入することを許可したことになります。これによって検出ができなくなったり、コンピューティング環境が危険にさらされる可能性があります。

マカフィー プロセスがフックされることを防止する共通標準保護 AP ルールを無効にするには、次の操作を実行します。
  1. [開始] [プログラム] [McAfee] [VirusScan コンソール] をクリックします。
  2. [アクセス保護] をダブルクリックします。
  3. [一般標準プロテクト] を選択します。
  4. [McAfee プロセスのフッキングを防ぐ]ブロックレポートの両方のエントリの選択を解除します(これはデフォルトで有効になっています)。
  5. [OK] をクリックして VirusScan コンソールを終了します。

免責事項

この記事の内容のオリジナルは英語です。英語の内容と翻訳に相違がある場合、常に英語の内容が正確です。一部の内容は Microsoft の機械翻訳による訳文となっています。

このドキュメントを評価する