McAfee VirusScan endet unerwartet

VirusScan von McAfee schreibt bei manchen Systemen regelmäßig Ereignisse ins Windows Eventlog, die besagen, daß der McShield Service unerwartet beendet wurde: Wenn man, wie empfohlen, das Event 5051 ansieht, erfährt man, daß der Prozeß McShield.exe länger, als 90 Sekunden an einem File zu tun hatte und daher terminiert wurde: Die beiden Ereignisse werden zwar vom McLogEvent 5000 gefolgt, der mitteilt, daß der McShield Service wieder gestartet wurde, ganz wohl ist einem dabei aber nicht: McAfee teilt zu diesem Fehler in einem Knowledge Base Artikel mit, daß das Event reinen Informationscharakter hat und ignoriert werden kann: This error is informational in nature and can be safely ignored. McAfee schlägt einige Workarounds vor: Mehrere Methoden, um die Files, welche den Fehler verursachen, aus dem Scan Prozeß auszunehmen oder Erhöhung des Scan Timeouts. Ich empfehle inzwischen auch, den Fehler zu ignorieren (wobei das bei einem Windows Event der Kategorie "Error" schwer fällt). Um zu verstehen, warum, muß man herausfinden, warum dieser Fehler auftritt: Eine Datei wird auf die Platte geschrieben McShield beauftragt die Scan Engine mit dem Scan Nach Ablauf der Zeit für "Maximum Scan Time (seconds)" (aus der Policy "VirusScan Enterprise 8.7.0 > On-Access General Policies") sendet der McShield Task an die Scan Engine eine Anforderung, nun fertig zu werden und die Datei freizugeben Nun erhält die Scan Engine noch eine Karenzzeit von genau nochmal der "Maximum Scan Time (seconds)" aus der Policy Wenn die Scan Engine auch in dieser Zeit nicht fertig wird, wird der Thread einfach abgeschossen und der McShield Service startet neu Das bedeutet aber im Endeffekt, daß die Zeit, die wir in der "Maximum Scan Time (seconds)" in der Policy angeben und die standardmäßig auf 45 Sekunden eingestellt ist, verdoppelt werden muß, um die tatsächlich maximale Scan Zeit zu ermitteln. Anstelle der Workarounds sollten, wenn eine Aktion aufgrund des Fehlers erfolgen soll, die im Event 5051 genannten Dateien analysiert werden und herausgefunden werden, warum diese nicht gescannt werden können.

VirusScan von McAfee schreibt bei manchen Systemen regelmäßig Ereignisse ins Windows Eventlog, die besagen, daß der McShield Service unerwartet beendet wurde:

Wenn man, wie empfohlen, das Event 5051 ansieht, erfährt man, daß der Prozeß McShield.exe länger, als 90 Sekunden an einem File zu tun hatte und daher terminiert wurde:

Die beiden Ereignisse werden zwar vom McLogEvent 5000 gefolgt, der mitteilt, daß der McShield Service wieder gestartet wurde, ganz wohl ist einem dabei aber nicht:

McAfee teilt zu diesem Fehler in einem Knowledge Base Artikel mit, daß das Event reinen Informationscharakter hat und ignoriert werden kann:

This error is informational in nature and can be safely ignored.

McAfee schlägt einige Workarounds vor: Mehrere Methoden, um die Files, welche den Fehler verursachen, aus dem Scan Prozeß auszunehmen oder Erhöhung des Scan Timeouts.

Ich empfehle inzwischen auch, den Fehler zu ignorieren (wobei das bei einem Windows Event der Kategorie “Error” schwer fällt). Um zu verstehen, warum, muß man herausfinden, warum dieser Fehler auftritt:

• Eine Datei wird auf die Platte geschrieben
• McShield beauftragt die Scan Engine mit dem Scan
• Nach Ablauf der Zeit für “Maximum Scan Time (seconds)” (aus der Policy “VirusScan Enterprise 8.7.0 > On-Access General Policies”) sendet der McShield Task an die Scan Engine eine Anforderung, nun fertig zu werden und die Datei freizugeben
• Nun erhält die Scan Engine noch eine Karenzzeit von genau nochmal der “Maximum Scan Time (seconds)” aus der Policy
• Wenn die Scan Engine auch in dieser Zeit nicht fertig wird, wird der Thread einfach abgeschossen und der McShield Service startet neu

Das bedeutet aber im Endeffekt, daß die Zeit, die wir in der “Maximum Scan Time (seconds)” in der Policy angeben und die standardmäßig auf 45 Sekunden eingestellt ist, verdoppelt werden muß, um die tatsächlich maximale Scan Zeit zu ermitteln.

Anstelle der Workarounds sollten, wenn eine Aktion aufgrund des Fehlers erfolgen soll, die im Event 5051 genannten Dateien analysiert werden und herausgefunden werden, warum diese nicht gescannt werden können.

Artikel, die Sie auch interessieren könnten:

• USB Stick Sieger aus CHIP September 2009
• iTunes Account ohne Kreditkarte erstellen
• Asterisk auf VMWare ESXi
• Fernsteuern von Systemen im LAN
• Patch VMWare ESXi 4.0
• Bilder aus mehreren Kameras ins iPad/iPhone laden
• Exchange 2003 Public Folders für Blackberry berechtigen
• DELL UMTS Modem
• Nagios eröffnet selbst Tickets in unserem OTRS
• Filme aus der Nikon Kamera