Cách sử dụng Microsoft Process Monitor để khắc phục sự cố tệp được quét bởi VirusScan McShield

  • Created:
  • / Author: PACISOFT Help 7
Lượt xem: 872

Môi trường dữ liệu

  • McAfee VirusScan Enterprise (VSE) 8.8, 8.7i
  • Microsoft Windows Vista (32-bit, 64-bit)
  • Microsoft Windows XP SP2 (32-bit, 64-bit)
  • Microsoft Windows Server 2003 SP1(32-bit, 64-bit)
  • Microsoft Windows 2000 SP4 with Update Rollup 1

Tóm tắt

QUAN TRỌNG:

  • Bài viết này liên quan đến việc dừng các dịch vụ quan trọng, để bảo vệ hệ thống của bạn. Đảm bảo rằng bạn chạy quét theo yêu cầu trên hệ thống sau khi bật lại máy quét theo yêu cầu.
  • Nếu Bộ phận hỗ trợ kỹ thuật yêu cầu nhật ký ProcMon, không áp dụng bất kỳ bộ lọc nào. Khắc phục sự cố và lưu bản sao của Trình giám sát quy trình ở định dạng tệp nhật ký .PML gốc và với tất cả các sự kiện.
  • Bài viết này cũng đề cập đến các tiện ích có chứa tệp nhật ký, có khả năng làm đầy đĩa cứng của bạn trong thời gian tương đối ngắn. Vì vậy, hãy đảm bảo rằng bạn theo dõi chặt chẽ kích thước của các tệp nhật ký.

Xác định tệp nào đang được quét bởi VSE

Công cụ Giám sát quy trình (ProcMon) giúp bạn xác định tệp nào phải được loại trừ khỏi quá trình quét và xác minh rằng các tệp này đã bị loại trừ. Nó cũng có thể giúp bạn khắc phục sự cố với các mục bị loại trừ, vẫn đang được quét. Thiết lập bộ lọc cho quy trình McShield, giúp bạn dễ dàng xem tệp nào đang thực sự được quét bởi máy quét truy cập.

Thiết lập bộ lọc trong Process Monitor, để hiển thị các tệp được quét bởi McAfee Engine

Quá trình này không giới hạn đối với các tệp được gửi đến trình điều khiển bộ lọc VirusScan Enterprise Antivirus.

Để Trình theo dõi quy trình nắm bắt đúng hoạt động của máy quét khi truy cập, bạn phải khởi động Trình theo dõi quy trình trong khi máy quét, khi truy cập bị tắt.

1.Cho phép dừng các dịch vụ McAfee:

  • Nhấp vào Start, Programs, McAfee, VirusScan Console.
  • Bấm chuột phải vào Bảo vệ truy cập và chọn Thuộc tính.
  • Bỏ chọn Ngăn các dịch vụ McAfee bị dừng và nhấp vào OK.
  • Thoát khỏi Bảng điều khiển VirusScan.

2.Đặt dịch vụ McShield thành thủ công:

  • Bấm Bắt đầu, Chạy, nhập services.msc, sau đó bấm OK.
  • Nhấp chuột phải vào McAfee McShield và chọn Thuộc tính.
  • Đặt Loại khởi động thành thủ công và nhấp vào OK.
  • Khởi động lại máy tính của bạn.

3.Sử dụng Trình theo dõi quy trình, để nắm bắt hoạt động của dịch vụ McShield:

  • Tải xuống Process Monitor (ProcMon).
  • Giải nén các tệp đã tải xuống vào một thư mục sạch bằng WinZip hoặc tiện ích giải nén tệp khác.
  • Khởi động ProcMon.exe.
  • Nhấp vào Bộ lọc và bật đầu ra nâng cao.
  • Tạo bộ lọc cho McShield.

Ví dụ: Bộ lọc cho tất cả các hành động ĐỌC của McShield:

Tên quy trình: IS McShield.exe

Hoạt động: CONTAINS IRP_MJ_READ

4. Khởi động dịch vụ McShield:

  • Bấm Bắt đầu, Chạy, nhập services.msc, sau đó bấm OK.
  • Bấm chuột phải vào McAfee McShield và bấm Bắt đầu.
  • Dịch vụ thoát.

5.Tái tạo sự cố và thu thập thông tin Giám sát quá trình.

QUAN TRỌNG: Sau khi quy trình hoàn tất, hãy nhớ thực hiện những việc sau:

  • Đặt lại dịch vụ McShield thành Tự động để hoàn nguyên.
  • Chọn tùy chọn Ngăn chặn dịch vụ McAfee bị dừng, để bật lại tùy chọn bảo mật đã bị tắt ở bước đầu tiên.

Thông tin liên quan

QUAN TRỌNG: Các tệp sau là bắt buộc đối với Hỗ trợ kỹ thuật:

  • Các tệp Yêu cầu nâng cấp Tối thiểu (MER) cho sản phẩm cụ thể của bạn. Để biết thông tin về cách tải xuống MER cho từng sản phẩm McAfee Enterprise
  • Các tệp và nhật ký khác theo yêu cầu của Bộ phận hỗ trợ kỹ thuật.
  • Bản sao đã lưu của Process Monitor ở định dạng tệp nhật ký .PML gốc và với tất cả các sự kiện. ZIP tệp PML trước khi tải lên trang FTP được cung cấp.

Trân trọng cám ơn quý độc giả.

Biên dịch Lê Toản – Help.pacisoft.com

Tagged: