Loading...

O aplicativo ou a DLL [...] não é uma imagem válida para o Windows (ao iniciar uma varredura por solicitação)
Artigos técnicos ID:   KB73521
Última modificação:  03/11/2016
Classificação:


Ambiente

McAfee VirusScan Enterprise (VSE) 8.8 Patch 1 ou posterior
McAfee VirusScan Enterprise 8.7i Patch 5

 

Problema

Se executar uma ODS (On-Demand Scan - Varredura por solicitação), executar uma varredura com o botão direito ou abrir o Console do VSE, você verá uma mensagem de imagem inadequada semelhante a uma das seguintes:

O aplicativo ou a DLL C:\WINDOWS\system32\msi.dll não é uma imagem válida para o Windows. Compare com o disco de instalação.

O aplicativo ou a DLL C:\Windows\system32\sxwmon32.dll não é uma imagem válida para o Windows. Compare com o disco de instalação.

O aplicativo ou a DLL C:\Windows\system32\AMInit.dll não é uma imagem válida para o Windows. Compare com o disco de instalação.

O aplicativo ou a DLL C:\Windows\system32\Vsxwmon32.dll não é uma imagem válida para o Windows. Compare com o disco de instalação.
 
O nome do processo que pode ser listado inclui o seguinte:
  • scan32.exe
  • scan64.exe
  • scncfg32.exe
  • mcshield.exe
  • myAgtSvc.exe
NOTAS:
  • Esse problema aplica-se apenas ao VSE 8.7i Patch 5 e ao VSE 8.8 Patch 1 e posterior.
  • Essa é a caixa de diálogo padrão do Windows que indica que uma DLL de terceiro não é uma imagem válida para o Windows. Arquivos executáveis e DLL diferentes podem ser afetados. Essa é apenas uma mensagem de exemplo.
  • O erro não tem consequências para a ODS. Depois de clicar em OK, você verá a caixa de diálogo usual da ODS, conforme o esperado.

Problema

Após instalar o VSE 8.8 Patch 1, não é possível iniciar uma ODS a partir do Console do VSE.

Em geral, não é exibida uma mensagem pop-up, mas, às vezes, o seguinte erro é exibido:

O DAT necessário está ausente ou corrompido

Se desativar a Proteção de acesso, você poderá executar a ODS sem nenhum problema.


Às vezes, ao executar uma ODS com a Proteção de acesso ativada, o seguinte evento é relatado no registro de eventos:

ID do evento: 514
Descrição: O processo **\MCSHIELD.EXE pid (1560) continha código não assinado ou corrompido e foi bloqueado para não executar uma operação privilegiada com um driver da McAfee.

Alteração de sistema

Atualização para o VSE 8.7i Patch 5 ou 8.8 Patch 1.

Causa

Uma nova regra de proteção de acesso foi introduzida no VSE 8.7i Patch 5 e 8.8 Patch 1. Essa regra, que impede a interceptação de processos da McAfee, é ativada por padrão. A segurança aprimorada oferecida por essa regra protegerá contra injeção de DLL não assinada ou assinada se o certificado for de um fornecedor que não seja a Microsoft nem a McAfee.

Se esse problema for causado por arquivos DLL da Microsoft que deveriam ser confiáveis, você deverá atualizar o Repositório de certificados da Microsoft. Isso ocorre quando não existe um certificado correspondente ou válido para o arquivo.

Se o erro for resultado de uma DLL assinada de outros fornecedores e você confiar na injeção no processo protegido, o certificado deverá ser adicionado ao Repositório de certificados confiáveis da McAfee.

Dependendo do método de injeção de DLL usado pelo aplicativo de terceiro, um dos seguintes será aplicável: 
  • Injeção de DLL programática
    Os aplicativos podem monitorar quando os novos processos são iniciados e invocar o código que tenta injetar uma DLL no espaço de endereço do novo processo. Quando esse processo é um dos processos protegidos da McAfee e a regra de proteção de acesso que impede a interceptação de processos da McAfee está ativada, a tentativa de injeção de DLL falha. Ela é bloqueada pela regra de proteção de acesso. 
  • AppInit_DLLs
    Os aplicativos podem usar um método de interceptação de DLL do Windows que aproveita o valor do Registro AppInit_DLLs para garantir que os processos carreguem os arquivos DLL especificados no espaço de endereço. Para obter mais informações sobre AppInit_DLLs, consulte o artigo da Base de dados de conhecimento da Microsoft em http://support.microsoft.com/kb/197571.

    Você pode verificar se esse tipo de aplicativo está instalado inspecionando o conteúdo do valor do Registro:

    Sistemas x86 (32 bits): 
    HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs 

    Sistemas x64 (64 bits): 
    HKLM\Software\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs
    HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs 

    NOTA: os sistemas de 64 bits contêm os dois locais do Registro.

Solução

Use esta solução se o Repositório de certificados da Microsoft exigir uma atualização.

Para resolver o problema relacionado a MSI.DLL (um componente da Microsoft), consulte o artigo da Base de dados de conhecimento da Microsoft em http://support.microsoft.com/kb/972397.

NOTA: 
esse HotFix é para o Windows Installer 4.5. Se possuir o Windows Installer 3.5, você deverá primeiro fazer upgrade para a versão 4.5 e, em seguida, aplicar o HotFix.

Se já tiver aplicado o HotFix da Microsoft, execute o Verificador de arquivos de sistema. Digite o comando a seguir e pressione ENTER:

sfc /scannow

Para obter mais informações sobre como usar o Verificador de arquivos de sistema, consulte o artigo da Base de dados de conhecimento da Microsoft em http://support.microsoft.com/kb/310747.

Além dos arquivos listados, essa correção também instala um arquivo de catálogo de segurança associado (KBnumber.cat) que é assinado com uma assinatura digital da Microsoft.

Para obter informações técnicas adicionais sobre como o Windows atualiza certificados raiz no Windows XP SP2 e SP3, consulte o artigo do Microsoft TechNet em http://technet.microsoft.com/en-us/library/bb457160.aspx.

Para obter informações técnicas detalhadas sobre como o Windows atualiza certificados raiz no Windows Vista e posterior, consulte o artigo do Microsoft TechNet em http://technet.microsoft.com/en-us/library/cc749331(WS.10).aspx.

NOTA: para usuários mais avançados, existem outros métodos para atualizar o repositório de certificados:

Solução

Para evitar a mensagem de DLL inadequada, você deve importar uma cópia do certificado digital para o produto de terceiro no Repositório de certificados confiáveis da McAfee:
  1. Entre em contato com o Suporte técnico da McAfee.

    Para entrar em contato com o Suporte técnico, entre no ServicePortal e vá para a página Criar uma solicitação de serviço em https://support.mcafee.com/ServicePortal/faces/serviceRequests/createSR:
    • Se você for um usuário registrado, digite sua ID de usuário e Senha e clique em Entrar.
    • Se não for um usuário registrado, clique em Registrar e preencha os campos obrigatórios. Você receberá um e-mail com as instruções de senha e acesso.
  2. Forneça o arquivo .cer que você deseja adicionar ao Suporte da McAfee.
    O arquivo de certificado .cer é obtido na DLL afetada. Se o arquivo não possuir um certificado digital, não existe opção para impedir o pop-up.
     
  3. Execute o arquivo executável fornecido pelo Suporte técnico da McAfee.
    O pacote usa a tecnologia SuperDAT. Por isso, é possível executá-lo em sistemas individuais ou adicioná-lo a um repositório do ePolicy Orchestrator.
     
  4. Limpe o cache de varredura do VSE 8.8, se necessário. Consulte o artigo KB71905 para verificar as práticas recomendadas.
  5. Reinicie o computador para que as alterações no repositório de certificados entrem em vigor.
 
NOTAS:
  • CUIDADO: este artigo contém informações sobre como abrir ou modificar o registro.
    • As informações a seguir destinam-se a Administradores de Sistema. As modificações no registro são irreversíveis e podem causar falhas do sistema caso sejam executadas de forma incorreta.
    • Antes de continuar, o Suporte técnico recomenda que você faça backup do seu registro e compreenda o processo de restauração. Para obter mais informações, consulte: http://support.microsoft.com/kb/256986.
    • Não execute um arquivo REG que não esteja confirmado como um arquivo de importação de registro genuíno.
  • Para desativar as interceptações de API do Citrix em uma base por aplicativo, siga as instruções fornecidas no documento da Citrix CTX10782: http://support.citrix.com/article/CTX107825.
     
  • Se tiver instalado software da Lumension Security, as duas entradas de Registro a seguir também são necessárias.
Local
HKLM\System\CurrentControlSet\services\sk\Parameters

Chaves a serem adicionadas
 
Tipo
Nome do valor
Dados do valor 
REG_DWORD
c:\Program files (x86)\McAfee\VirusScan Enterprise\Scan32.exe
0
REG_DWORD 
c:\Program files (x86)\McAfee\VirusScan Enterprise\x64\Scan64.exe
0

Solução

Para ajudar a confirmar (ou eliminar) se é um arquivo da Microsoft não confiável: 

  1. Use o Microsoft Sysinternals Process Monitor (procmon.exe) para identificar a quais DLLs foi negado acesso para o carregamento. Para obter mais informações sobre como usar esse utilitário, consulte o artigo http://technet.microsoft.com/en-us/sysinternals/bb896645.aspx.
  2. Use o Microsoft Sysinternals Signature Checker (sigcheck.exe) pra determinar se o arquivo possui uma assinatura válida. Para obter mais informações sobre como usar esse utilitário, consulte o artigo http://technet.microsoft.com/en-us/sysinternals/bb897441.

    Para esse problema, use o seguinte comando:

Sigcheck -i -r -h <filename>

Se a ferramenta mostrar que o arquivo é inválido ou não assinado, a McAfee não poderá confiar nele. Consulte a Solução 1 para saber como proceder.

NOTA: os relatórios podem indicar que um arquivo semelhante aos da Microsoft não era confiável e, por isso, teve o carregamento bloqueado, mas o componente que estava fazendo o carregamento era confiável. Isso leva a novos sintomas em que o processo Scan32/Scan64 trava. Nesse cenário, o arquivo semelhante aos da Microsoft pode realmente ser um malware.

Solução alternativa

CUIDADO: apenas desative a regra de proteção de acesso Proteção padrão do Common como último recurso. Devido à natureza em constante evolução do malware, a McAfee recomenda manter a regra de proteção de acesso ativada. Se desativar a regra, você permitirá que códigos externos (incluindo malware) injetem seus conteúdos em processos críticos da McAfee, o que pode levar a detecções com falhas e/ou um ambiente de computação comprometido.

Para desativar a regra de proteção de acesso Proteção padrão do Common que impede que processos da McAfee sejam interceptados:
  1. Clique em Iniciar, Programas, McAfee, Console do VirusScan.
  2. Clique duas vezes em Proteção de acesso.
  3. Selecione Proteção padrão do Common.
  4. Desmarque as entradas Bloquear e Relatar da regra que impede a interceptação de processos da McAfee (ela é ativada por padrão).
  5. Clique em OK e feche o Console do VirusScan.

Aviso de isenção de responsabilidade

O conteúdo original deste artigo foi redigido em inglês. Se houver diferenças entre o conteúdo em inglês e sua tradução, o conteúdo em inglês será o mais exato. Parte deste conteúdo foi criado por meio de tradução automática da Microsoft.

Classificar este documento