Loading...

De toepassing of DLL-bestand [...] is geen geldige Windows-kopie (bij het starten van een scan op verzoek)
Technische artikelen ID:   KB73521
Laatst gewijzigd:  3-11-2016
Beoordeeld:


Omgeving

McAfee VirusScan Enterprise (VSE) 8.8 Patch 1 of hoger
McAfee VirusScan Enterprise 8.7i Patch 5

 

Probleem

Als u een scan op verzoek of een scan via een snelmenu (klikken met de rechtermuisknop) uitvoert of als u de VSE-console opent, wordt een soortgelijk bericht als een van de volgende berichten over een ongeldige kopie weergegeven:

De toepassing of DLL-bestand C:\WINDOWS\system32\msi.dll is geen geldige Windows-kopie. Controleer dit op uw installatiediskette

De toepassing of DLL-bestand C:\Windows\system32\sxwmon32.dll is geen geldige Windows-kopie. Controleer dit op uw installatiediskette

De toepassing of DLL-bestand C:\Windows\system32\AMInit.dll is geen geldige Windows-kopie. Controleer dit op uw installatiediskette

De toepassing of DLL-bestand C:\Windows\system32\Vsxwmon32.dll is geen geldige Windows-kopie. Controleer dit op uw installatiediskette
 
De volgende procesnamen kunnen onder andere worden weergegeven:
  • scan32.exe
  • scan64.exe
  • scncfg32.exe
  • mcshield.exe
  • myAgtSvc.exe
OPMERKINGEN:
  • Dit probleem is alleen van toepassing op 8.7i Patch 5 en VSE 8.8 Patch 1 en hoger.
  • Dit is het standaarddialoogvenster van Windows dat aangeeft dat een DLL-bestand van derden geen geldige Windows-installatiekopie is. Dit kan betrekking hebben op verschillende uitvoerbare bestanden en DLL-bestanden. Dit is slechts een voorbeeldbericht.
  • De fout heeft geen gevolgen voor de scan op verzoek. Nadat u op OK hebt geklikt, wordt het normale dialoogvenster voor een scan op verzoek weergegeven.

Probleem

Na de installatie van VSE 8.8 Patch 1 kunt u geen scan op verzoek starten vanuit de VSE-console.

Gewoonlijk wordt er geen pop-upbericht weergegeven, maar soms ziet u de volgende fout:

Vereist DAT-bestand ontbreekt of is beschadigd

Als u toegangsbeveiliging uitschakelt, kunt u de scan op verzoek zonder problemen uitvoeren.


Wanneer u een scan op verzoek uitvoert terwijl toegangsbeveiliging is ingeschakeld, wordt soms de volgende gebeurtenis gerapporteerd in het gebeurtenissenlogboek:

Gebeurtenis-id: 514
Beschrijving: Process **\MCSHIELD.EXE pid (1560) contained unsigned or corrupted code and was blocked from performing a privileged operation with a McAfee driver.

Systeemwijziging

Bijgewerkt naar VSE 8.7i Patch 5 of 8.8 Patch 1.

Oorzaak

Er is een nieuwe toegangsbeveiligingsregel geïntroduceerd in VSE 8.7i Patch 5 en 8.8 Patch 1. Deze regel, Prevent hooking of McAfee processes, is standaard ingeschakeld. Deze regel biedt verbeterde bescherming tegen het invoegen van een niet ondertekend of ondertekend DLL-bestand als het certificaat afkomstig is van een andere leverancier dan Microsoft of McAfee.

Als dit probleem wordt veroorzaakt door DLL-bestanden van Microsoft die vertrouwd zouden moeten zijn, moet u het Microsoft-certificaatarchief bijwerken. Dit gebeurt wanneer er geen bijbehorend of geldig certificaat voor het bestand is.

Als de fout wordt veroorzaakt door een ondertekend DLL-bestand van een andere leverancier en u de invoeging in het beveiligde proces vertrouwd, moet u het certificaat toevoegen aan het McAfee-archief met vertrouwde certificaten.

Afhankelijk van de methode die in de toepassing van derden wordt gebruikt voor het invoegen van DLL-bestanden, geldt een van de volgende situaties
  • DLL-bestanden invoegen via programmacode
    Toepassingen kunnen controleren wanneer nieuwe processen worden gestart en code aanroepen waarmee wordt geprobeerd een DLL-bestand in te voegen in de adresruimte van het nieuwe proces. Wanneer dat proces een van de beveiligde processen van McAfee en de toegangsbeveiligingsregel Prevent hooking of McAfee processes is ingeschakeld, mislukt de poging om het DLL-bestand in te voegen. Dit wordt geblokkeerd door de toegangsbeveiligingsregel. 
  • AppInit_DLLs
    Toepassingen kunnen een Windows-methode voor DLL-hooking gebruiken waarbij de registerwaarde AppInit_DLLs ervoor zorgt dat processen de opgegeven DLL-bestanden in hun adresruimte laden. Zie het Microsoft KnowledgeBase-artikel op http://support.microsoft.com/kb/197571 voor meer informatie over AppInit_DLLs.

    Op basis van de inhoud van de volgende registerwaarde kunt u controleren of een dergelijke toepassing is geïnstalleerd:

    x86-systemen (32-bits): 
    HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs 

    x64-systemen (64-bits): 
    HKLM\Software\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs
    HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs 

    OPMERKING: 64-bits systemen bevatten beide registerlocaties.

Oplossing

Gebruik deze oplossing als het Microsoft-certificaatarchief moet worden bijgewerkt.

Zie het Microsoft KnowledgeBase-artikel op http://support.microsoft.com/kb/972397 voor de oplossing van het probleem met MSI.DLL (een Microsoft-onderdeel).

OPMERKING: 
deze hotfix is bestemd voor Windows Installer 4.5. Als u Windows Installer 3.5 hebt, moet u eerst een upgrade naar versie 4.5 uitvoeren en daarna de hotfix toepassen.

Als u de Microsoft-hotfix al hebt toegepast, voert u de Systeembestandscontrole uit. Typ de volgende opdracht en druk op Enter:

sfc /scannow

Zie het Microsoft KnowledgeBase-artikel op http://support.microsoft.com/kb/310747 voor meer informatie over het gebruik van de Systeembestandscontrole.

Naast de vermelde bestanden installeert deze hotfix ook een bijbehorend beveiligingscatalogusbestand (KB-nummer.cat) dat is ondertekend met een digitale handtekening van Microsoft.

Zie het Microsoft TechNet-artikel op http://technet.microsoft.com/en-us/library/bb457160.aspx voor aanvullende technische informatie over de manier waarop Windows basiscertificaten bijwerkt in Windows XP SP2 en SP3.

Zie het Microsoft TechNet-artikel op http://technet.microsoft.com/en-us/library/cc749331(WS.10).aspx voor aanvullende technische informatie over de manier waarop Windows basiscertificaten bijwerkt in Windows Vista en later.

OPMERKING: voor gevorderde gebruikers zijn er andere methoden beschikbaar voor het bijwerken van het certificaatarchief:

Oplossing

Om het bericht over een ongeldig DLL-bestand te voorkomen, moet u een kopie van het digitale certificaat voor het product van derden importeren in het McAfee-archief met vertrouwde certificaten:
  1. Neem contact op met de technische ondersteuning van McAfee.

    Als u contact wilt opnemen met de technische ondersteuning, moet u zich aanmelden bij de ServicePortal en naar de pagina Een serviceaanvraag aanmaken gaan op https://support.mcafee.com/ServicePortal/faces/serviceRequests/createSR:
    • Als u een geregistreerde gebruiker bent, voert u uw gebruikers-id en wachtwoord in en klikt u op Aanmelden.
    • Als u nog geen geregistreerde gebruiker bent, klikt u op Registreren en vult u de verplichte velden in. Het wachtwoord en de aanmeldingsinstructies worden u per e-mail toegezonden.
  2. Geef de ondersteuning van McAfee het .cer-bestand dat u wilt toevoegen.
    Het .cer-certificaat wordt uit het betrokken DLL-bestand opgehaald. Als het bestand geen digitaal certificaat heeft, kunt u het pop-upbericht niet voorkomen.
     
  3. Voer het uitvoerbare bestand uit dat u van de technische ondersteuning van McAfee krijgt.
    Het pakket maakt gebruik van SuperDAT-technologie. U kunt het daarom uitvoeren op individuele systemen of toevoegen aan een opslagplaats van ePolicy Orchestrator.
     
  4. Wis zo nodig de scancache van VSE 8.8. Zie KB71905 voor best practices.
  5. Start uw computer opnieuw op, zodat de wijzigingen in het certificaatarchief van kracht worden.
 
OPMERKINGEN:
  • CAUTION: Dit artikel bevat informatie over het openen of wijzigen van het register.
    • De volgende informatie is bedoeld voor systeembeheerders. Aanpassingen in het register kunnen niet meer ongedaan worden gemaakt en kunnen een systeemfout veroorzaken als ze niet goed worden uitgevoerd.
    • Technische ondersteuning adviseert ten zeerste om een back-up te maken van uw register voordat u doorgaat. Zorg ook dat u weet hoe u het herstelproces moet uitvoeren. Raadpleeg http://support.microsoft.com/kb/256986 voor meer informatie.
    • Voer geen REG-betand uit waarvan u niet zeker weet dat het een echt importbestand voor het register is.
  • Als u API-hooks van Citrix wilt uitschakelen per toepassing, volgt u de instructies in het Citrix-document CTX10782: http://support.citrix.com/article/CTX107825.
     
  • Als u software van Lumension Security hebt geïnstalleerd, zijn de volgende twee registersleutels ook vereist.
Locatie
HKLM\System\CurrentControlSet\services\sk\Parameters

Toe te voegen sleutels
 
Type
Waardenaam
Waardegegevens
REG_DWORD
c:\Program files (x86)\McAfee\VirusScan Enterprise\Scan32.exe
0
REG_DWORD 
c:\Program files (x86)\McAfee\VirusScan Enterprise\x64\Scan64.exe
0

Oplossing

Bevestigen (of elimineren) dat het een Microsoft-bestand is dat niet vertrouwd wordt:

  1. Gebruik Microsoft Sysinternals Process Monitor (procmon.exe) om te bepalen welke DLL-bestanden niet worden geladen. Zie http://technet.microsoft.com/en-us/sysinternals/bb896645.aspx voor meer informatie over het gebruik van dit hulpprogramma.
  2. Gebruik Microsoft Sysinternals Signature Checker (sigcheck.exe) om te bepalen of het bestand een geldige handtekening heeft. Zie http://technet.microsoft.com/en-us/sysinternals/bb897441 voor meer informatie over het gebruik van dit hulpprogramma.

    Gebruik voor dit probleem de volgende opdracht:

Sigcheck -i -r -h <bestandsnaam>

Als dit hulpprogramma aangeeft dat het bestand ongeldig of niet-ondertekend is, kan McAfee het niet vertrouwen. Zie oplossing in voor de volgende stappen.

OPMERKING: in rapporten kan worden aangegeven dat een bestand dat van Microsoft lijkt te zijn niet-vertrouwd is en daarom niet wordt geladen, maar dat de component die het wil laden een vertrouwde component is. Dit leidt tot nieuwe symptomen waarbij het proces Scan32/Scan64 vastloopt. In dit scenario kan het bestand dat van Microsoft lijkt te zijn, in werkelijkheid malware zijn.

Tijdelijke oplossing

LET OP: schakel de toegangsbeveiligingsregel Common Standard Protection alleen uit als laatste redmiddel. Vanwege de veranderende aard van malware raadt McAfee u aan de toegangsbeveiligingsregel ingeschakeld te laten. Als u de regel uitschakelt, kan vreemde code (inclusief malware) inhoud invoegen in essentiële McAfee-processen en dat kan leiden tot gemiste detecties en/of een verdachte computeromgeving.

De toegangsbeveiligingsregel 'Common Standard Protection' uitschakelen die voorkomt dat McAfee-processen worden gehookd:
  1. Klik op Start, Programma's, McAfee, VirusScan-console.
  2. Dubbelklik op Access Protection.
  3. Selecteer Common Standard Protection.
  4. Schakel de items Block en Report uit voor Prevent hooking of McAfee processes (deze zijn standaard ingeschakeld).
  5. Klik op OK en sluit de VirusScan-console af.

ontkenning

De inhoud van dit artikel is oorspronkelijk in het Engels uitgebracht. Als er verschillen zijn tussen de Engelse inhoud en de vertaling, is de Engelse inhoud altijd het meest accuraat. Een deel van deze inhoud is het resultaat van het gebruik van de machinevertaling van Microsoft.

Dit document beoordelen