Loading...

응용프로그램 또는 DLL [...]은 올바른 Windows 이미지가 아닙니다(주문형 검색을 실행할 때).
기술 문서 ID:   KB73521
마지막으로 수정한 날짜:  2016-11-03
등급:


환경

McAfee VirusScan Enterprise(VSE) 8.8 패치 1 이상 버전
McAfee VirusScan Enterprise 8.7i 패치 5

 

문제

주문형 검색(ODS)을 실행하거나 검색을 마우스 오른쪽 단추로 클릭하거나 VSE 콘솔을 열 경우 다음 중 하나와 유사한 잘못된 이미지 메시지가 나타납니다.

응용프로그램 또는 DLL C:\WINDOWS\system32\msi.dll은 올바른 Windows 이미지가 아닙니다. 설치 디스켓에 대해 이 항목을 확인하십시오.

응용프로그램 또는 DLL C:\Windows\system32\sxwmon32.dll은 유효한 Windows 이미지가 아닙니다. 설치 디스켓에 대해 이 항목을 확인하십시오.

응용프로그램 또는 DLL C:\Windows\system32\AMInit.dll은 유효한 Windows 이미지가 아닙니다. 설치 디스켓에 대해 이 항목을 확인하십시오.

응용프로그램 또는 DLL C:\Windows\system32\Vsxwmon32.dll은 유효한 Windows 이미지가 아닙니다. 설치 디스켓에 대해 이 항목을 확인하십시오.
 
나열될 수 있는 프로세스 이름은 다음과 같습니다.
  • scan32.exe
  • scan64.exe
  • scncfg32.exe
  • mcshield.exe
  • myAgtSvc.exe
참고:
  • 이 문제는 8.7i 패치 5 및 VSE 8.8 패치 1 이상에만 적용됩니다.
  • 이것은 타사 DLL이 유효한 Windows 이미지가 아님을 나타내는 표준 Windows 대화 상자입니다.다른 실행 파일과 DLL 파일이 영향을 받을 수 있습니다. 이것은 메시지 예일 뿐입니다.
  • 오류는 ODS에 영향을 미치지 않습니다. 확인을 클릭하면 일반적인 ODS 대화 상자가 나타납니다.

문제

VSE 8.8 패치 1을 설치한 후 VSE 콘솔에서 ODS를 시작할 수 없습니다.

일반적으로 팝업 메시지가 나타나지 않지만, 때때로 다음 오류가 나타납니다.

필요한 DAT가 없거나 손상되었습니다.

액세스 보호(AP)를 해제할 경우 문제 없이 ODS를 실행할 수 있습니다.


때때로 AP를 사용하여 ODS를 실행할 때 이벤트 로그에 다음 이벤트가 보고됩니다.

이벤트 ID: 514
설명: 프로세스 **\MCSHIELD.EXE pid(1560)가 서명되지 않거나 손상된 코드를 포함하고 McAfee 드라이버로 권한이 있는 작업을 수행하지 못하도록 차단되었습니다.

시스템 변경

VSE 8.7i 패치 5 또는 8.8 패치 1로 업그레이드하십시오.

원인

VSE 8.7i 패치 5와 8.8 패치 1에서 새 AP 규칙이 소개되었습니다. McAfee 프로세스 후크 방지 규칙이 기본적으로 사용됩니다.이 규칙에서 제공하는 향상된 보안 기능은 인증서Microsoft McAfee가 아닌 다른 공급업체에서 발급될 경우 서명되지 않거나 서명된 DLL 감염으로부터 보호합니다.

신뢰할 수 있는 것으로 예상된 Microsoft DLL 파일로 인해 이 문제가 발생할 경우 Microsoft 인증서 저장소를 업데이트해야 합니다. 이것은 파일에 대한 유효한 인증서가 없을 때 발생합니다.

오류가 다른 공급업체의 서명된 DLL로 인한 결과이고 보호된 프로세스로의 삽입을 신뢰할 수 있으면 McAfee Trust Certificate Store에 인증서를 추가해야 합니다.

타사 응용프로그램이 사용하는 DLL 삽입 방법에 따라 다음 중 하나가 적용됩니다.
  • 프로그램에 따른 DLL 삽입
    응용프로그램은 새 프로세스가 시작될 때 모니터링하고 새 프로세스의 주소 공간에 DLL을 삽입하는 코드를 호출할 수 있습니다. 해당 프로세스가 McAfee 보호 프로세스 중 하나이고 McAfee 프로세스 후크 방지 액세스 보호 규칙이 사용될 때 DLL 삽입 시도가 실패합니다. 이것은 AP 규칙으로 차단됩니다.
  • AppInit_DLLs
    응용프로그램은 레지스트리 값 AppInit_DLLs을 활용하는 Windows DLL 후크 방법을 사용하여 프로세스가 주소 공간에 지정된 DLL 파일을 로드하도록 할 수 있습니다. AppInit_DLLs에 대한 자세한 내용은 http://support.microsoft.com/kb/197571의 Microsoft 기술 자료 문서를 참조하십시오.

    레지스트리 값의 내용을 살펴보고 이러한 응용프로그램이 설치되었는지 확인할 수 있습니다.

    x86(32비트) 시스템:
    HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs 

    x64(64비트) 시스템:
    HKLM\Software\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs
    HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs 

    참고: 64비트 시스템에는 두 레지스트리 위치가 모두 포함되어 있습니다.

해결책

Microsoft 인증서 저장소에서 업데이트가 필요한 경우 이 해결책을 사용하십시오.

MSI.DLL(Microsoft 구성요소)에 대한 문제를 해결하려면 http://support.microsoft.com/kb/972397의 Microsoft 기술 자료 문서를 참조하십시오.

참고:
이 핫픽스는 Windows Installer 4.5용입니다.Windows Installer 3.5가 설치되어 있는 경우 먼저 버전 4.5로 업그레이드한 후 핫픽스를 적용해야 합니다.

이미 Microsoft 핫픽스를 적용한 경우 시스템 파일 검사기를 실행합니다.다음 명령을 입력하고 Enter 키를 누릅니다.

sfc /scannow

시스템 파일 검사기 사용에 대한 자세한 내용은 http://support.microsoft.com/kb/310747의 Microsoft 기술 자료 문서를 참조하십시오.

이 수정은 나열된 파일뿐만 아니라 Microsoft 디지털 시그니처로 서명된 연결된 보안 카탈로그 파일(KBnumber.cat)도 설치합니다.

Windows가 Windows XP SP2 및 SP3에서 루트 인증서를 업데이트하는 방법에 대한 추가 기술 정보는 http://technet.microsoft.com/en-us/library/bb457160.aspx에서 Microsoft TechNet 문서를 참조하십시오.

Windows가 Windows Vista 이상 버전에서 루트 인증서를 업데이트하는 방법에 대한 자세한 기술 정보는 http://technet.microsoft.com/en-us/library/cc749331(WS.10).aspx에서 Microsoft TechNet 문서를 참조하십시오.

참고: 고급 사용자의 경우 인증서 저장소를 업데이트할 수 있는 다른 방법이 있습니다.

해결책

잘못된 DLL 메시지가 나타나지 않도록 하려면 타사 제품에 대한 디지털 인증서 복사본을 McAfee Trust Certificate Store에 가져와야 합니다.
  1. McAfee 기술 지원에 문의합니다.

    기술 지원에 문의하려면 ServicePortal에 로그온하고 서비스 요청 페이지(https://support.mcafee.com/ServicePortal/faces/serviceRequests/createSR)로 이동합니다.
    • 등록된 사용자인 경우 해당 사용자 ID와 암호를 입력한 후 로그인을 클릭합니다.
    • 등록된 사용자가 아닌 경우에는 등록을 클릭하고 필요한 필드를 입력하십시오. 암호 및 로그인 지침이 이메일로 전송됩니다.
  2. McAfee 지원에 추가할 .cer 파일을 제공합니다.
    .cer 인증서 파일은 영향을 받는 DLL에서 얻습니다. 파일에 디지털 인증서가 없을 경우 팝업이 나타나지 않도록 하는 옵션은 없습니다.
     
  3. McAfee 기술 지원에서 제공하는 실행 파일을 실행합니다.
    패키지는 SuperDAT 기술을 사용합니다. 따라서 개별 시스템에서 실행하거나 ePolicy Orchestrator 리포지토리에 추가할 수 있습니다.
     
  4. 필요한 경우 VSE 8.8 검색 캐시를 지웁니다. 모범 사례는 KB71905를 참조하십시오.
  5. 인증서 저장소 변경사항을 적용하려면 컴퓨터를 다시 시작합니다.
 
참고:
  • 주의: 이 문서에는 레지스트리를 열거나 수정하는 정보가 포함되어 있습니다.
    • 다음 정보는 시스템 관리자를 위한 것입니다. 레지스트리 수정은 되돌릴 수 없으며 올바르지 않게 수행한 경우 시스템 오류가 발생할 수 있습니다.
    • 계속하기 전에 레지스트리를 백업하고 복원 프로세스를 알아두는 것이 좋습니다. 자세한 정보는 http://support.microsoft.com/kb/256986을 참조하십시오.
    • 실제 레지스트리 가져오기 파일임이 확인되지 않은 .REG 파일은 실행하지 마십시오.
  • 응용프로그램 기준에 따라 Citrix API Hooks를 사용할 수 없도록 설정하려면 Citrix 문서 ID CTX10782(http://support.citrix.com/article/CTX107825)의 지시사항을 따르십시오.
     
  • Lumension Security의 소프트웨어를 설치했으면 다음 두 개의 레지스트리 항목도 지정해야 합니다.
위치
HKLM\System\CurrentControlSet\services\sk\Parameters

추가할 키
 
유형
값 이름
값 데이터
REG_DWORD
c:\Program files (x86)\McAfee\VirusScan Enterprise\Scan32.exe
0
REG_DWORD
c:\Program files (x86)\McAfee\VirusScan Enterprise\x64\Scan64.exe
0

해결책

신뢰할 수 없는 Microsoft 파일인지 쉽게 확인하거나 제거하려면:

  1. Microsoft Sysinternals Process Monitor(procmon.exe)를 사용하여 로드 시 액세스가 거부된 DLL을 식별합니다. 이 유틸리티 사용에 대한 자세한 내용은 http://technet.microsoft.com/en-us/sysinternals/bb896645.aspx를 참조하십시오.
  2. Microsoft SysinternalsSignature Checker(sigcheck.exe)를 사용하여 파일에 유효한 시그니처가 있는지 확인합니다. 이 유틸리티 사용에 대한 자세한 내용은 http://technet.microsoft.com/en-us/sysinternals/bb897441을 참조하십시오.

    이 문제에 대해서는 다음 명령을 사용합니다.

Sigcheck -i -r -h <파일 이름>

이 도구에서 파일이 잘못되었거나 서명되지 않은 것임을 나타내면 McAfee는 해당 파일을 신뢰할 수 없습니다. 자세한 내용은 해결책 1을 참조하십시오.

참고: 보고서는 Microsoft 형식의 파일을 신뢰할 수 없어서 로드가 차단되었지만, 이 파일을 로드하는 구성요소는 신뢰할 수 있는 구성요소였음을 나타낼 수 있습니다. 이로 인해 Scan32/Scan64 프로세스가 충돌하는 새로운 증상이 나타납니다. 이 시나리오에서 Microsoft 형식의 파일은 실제로 악성 프로그램일 수 있습니다.

해결 방법

주의: 일반 표준 보호 AP 규칙은 최후의 수단으로만 해제하십시오. 진화하는 악성 프로그램의 속성 때문에 McAfee에는 AP 규칙을 계속 사용할 것을 권장합니다. 규칙을 해제할 경우 (악성 프로그램을 포함하는) 외부 코드가 콘텐츠를 중요 McAfee 프로세스에 삽입하는 것을 허용하여 탐지 항목을 놓치거나 컴퓨팅 환경이 손상될 수 있습니다.

McAfee 프로세스의 후크를 방지하는 일반 표준 보호 AP 규칙을 해제하려면:
  1. 시작, 프로그램, McAfee, VirusScan 콘솔을 차례로 클릭합니다.
  2. 액세스 보호를 두 번 클릭합니다.
  3. 일반 표준 보호를 선택합니다.
  4. McAfee 프로세스 후크 방지에 대해 차단보고 항목을 모두 선택 취소합니다(기본적으로 선택되어 있음).
  5. 확인을 클릭하고 VirusScan 콘솔을 종료합니다.

고지 사항

이 문서의 원본은 영어로 작성되었습니다. 영어 내용과 번역 간에 차이가 있으면 영어 내용이 항상 가장 정확합니다. 이 내용 중 일부는 Microsoft 에서 번역한 기계 번역을 사용하여 제공됩니다.

이 문서 등급 평가

Beta Translate with

Select a desired language below to translate this page.