Prozessbeschreibung und Ladereihenfolge für VirusScan Enterprise und McAfee Agent
Technische Artikel ID:
KB65784
Zuletzt geändert am: 2023-03-01 19:21:08 Etc/GMT
Zuletzt geändert am: 2023-03-01 19:21:08 Etc/GMT
Umgebung
McAfee Agent (MA) 5.x, 4.x
McAfee VirusScan Enterprise (VSE) 8.x
McAfee VirusScan Enterprise (VSE) 8.x
Lösung
In diesem Artikel werden die zu VirusScan Enterprise und McAfee Agent gehörigen Prozesse jeweils kurz erläutert, und es wird beschrieben, in welcher Reihenfolge die Komponenten geladen werden.
MA 5.x-Prozesse
MA 4.x-Prozesse
VSE-Prozesse
MA 5.x-Prozesse
Prozessname | Beschreibung |
FrmInst.exe | Das MA-Installationsprogramm. |
macmnsvc.exe | Hostet mehrere MA-Dienste, z. B. Peer-to-Peer-Server, Reaktivierung und RelayServer. |
masvc.exe | Führt Funktionen wie die Eigenschaftserfassung, die Richtlinienerzwingung, das Einplanen von Tasks oder die Agent-Server-Kommunikation aus und löst Aktualisierungssitzungen aus. |
macomaptsvc.exe | Der Kompatibilitätsdienst für den McAfee Agent-Dienst. Der McAfee Agent-Dienst startet diesen Dienst und kommuniziert mit den verschiedenen verwalteten Produkt-Plug-Ins. |
CmdAgent.exe | Das Befehlszeilenprogramm zum Aufrufen von MA. |
maconfig.exe | Das Befehlszeilenprogramm zur Konfiguration verschiedener MA-Optionen. |
UpdaterUI.exe UdaterUI |
Stellt die Benutzerschnittstelle für die Aktualisierungen bereit. Diese Prozesse steuern zudem das MA-Symbol in der Taskleiste und werden über den Schlüssel "Run" in der Windows-Registrierung geladen. |
McTray.exe | Das Verwaltungs-Tool für das Taskleistensymbol. Es wird unter der gleichen Benutzersitzung ausgeführt und über UdaterUI.exe gestartet. |
McScript.exe | Führt Skripts für die Aktualisierung von DAT-Dateien, Modulen, Service Packs und sonstigen Komponenten aus, die in ein Repository eingecheckt werden. Dieser Prozess wird beim Starten des Aktualisierungs-Tasks geladen. |
McScript_InUse.exe | Ermöglicht den Abschluss eines MA-Bereitstellungs-Tasks, ohne dass die zu diesem Zeitpunkt verwendeten Dateien gesperrt werden müssen. |
McScanCheck.exe | Das von McScript_InUse.exe zur Durchführung von DAT- oder Modulaktualisierungen verwendete Befehlszeilenprogramm. |
marepomirror.exe | Führt die Repository-Spiegelung für VSE durch. |
MA 4.x-Prozesse
Prozessname | Beschreibung |
McScript.exe | Führt Skripts für die Aktualisierung von DAT-Dateien, Modulen, Service Packs und sonstigen Komponenten aus, die in ein Repository eingecheckt werden. Dieser Prozess wird beim Starten des Aktualisierungs-Tasks geladen. |
UpdaterUI.exe UdaterUI | Stellt die Benutzerschnittstelle für die Aktualisierungen bereit. Diese Prozesse steuern zudem das MA-Symbol in der Taskleiste und werden über den Schlüssel "Run" in der Windows-Registrierung geladen. |
naPrdMgr.exe | Der Produkt-Manager für den McAfee Framework-Dienst. Sie wird durch den Framework-Dienst geladen und kommuniziert mit den verschiedenen Einzelprodukt-Plug-Ins. |
FrameworkService.exe | Stellt den Großteil der MA-Funktionalität bereit. |
Cleanup.exe | Führt nach dem Installieren oder Entfernen von MA eine Bereinigung durch. |
CmdAgent.exe | Das Befehlszeilenprogramm zum Aufrufen von MA. |
FrmInst.exe | Das MA-Installationsprogramm. |
McScript_InUse.exe | Ermöglicht den Abschluss eines MA-Bereitstellungs-Tasks, ohne dass die zu diesem Zeitpunkt verwendeten Dateien gesperrt werden müssen. |
McTray.exe | Das Verwaltungs-Tool für das Taskleistensymbol. Es wird unter der gleichen Benutzersitzung ausgeführt und über UdaterUI.exe gestartet. |
VSE-Prozesse
VSE 8.8 Prozessname |
Beschreibung |
Mcshield.exe | Der Dienst für den McShield-On-Access-Scanner. |
Scan32.exe / Scan64.exe |
Der On-Demand-Scanner-Prozess, der beim Start eines On-Demand-Scans geladen wird. |
Shstat.exe | Wird über den Schlüssel "Run" in der Windows-Registrierung geladen. Bei aktuellen MA-Versionen integriert sich die Datei durch Laden einer DLL in McTray.exe und wird dann beendet. Die Datei ist für das Laden des McAfee VirusScan-Symbols (Vshield) in der Windows-Taskleiste, des VSE-Informationsfensters, der On-Access-Scanner-Statistiken sowie des Meldungsfensters zuständig. |
VsTskMgr.exe | Erleichtert das Durchführen von Verwaltungsaufgaben im Produkt. |
mfevtps.exe | Bietet Vertrauensüberprüfung für alle McAfee-Prozesse. |
mfeann.exe | Durch Vstskmgr.exe geladen. Ist für das Erstellen von Ereignissen und deren Protokollierung zuständig. |
VSE 8.7i Prozessname |
Beschreibung |
Mcshield.exe | Der Dienst für den McShield-On-Access-Scanner. |
Scan32.exe | Der On-Demand-Scanner-Prozess, der beim Start eines On-Demand-Scans geladen wird. |
Shstat.exe | Wird über den Schlüssel "Run" in der Windows-Registrierung geladen. Bei aktuellen MA-Versionen integriert sich die Datei durch Laden einer DLL in McTray.exe und wird dann beendet. Die Datei ist für das Laden des McAfee VirusScan-Symbols (Vshield) in der Windows-Taskleiste, des VSE-Informationsfensters, der On-Access-Scanner-Statistiken sowie des Meldungsfensters zuständig. |
Tbmon.exe | Wird über den Schlüssel "Run" in der Windows-Registrierung geladen und ist für den Fehlerberichtsdienst zuständig. |
VsTskMgr.exe | Schützt VirusScan-Dateien und übermittelt lokale Änderungen an geplanten Tasks an CMA. |
engineserver.exe | Von den On-Demand-Scannern und Mail-Scannern zum Laden der DATs und des Moduls verwendet. Diese Komponente ist ab VSE 8.8 nicht mehr verfügbar. |
mfevtps.exe | Wird geladen, wenn der Computer startet, und führt die Vertrauensvalidierung für alle zu ladenden McAfee-Prozesse durch. |
mfeann.exe | Diese Komponente ist für das Erstellen von Ereignissen und die Protokollierung zuständig. In VSE 8.7i wird dieser Prozess über McShield.exe gestartet. In VSE 8.8 wird dieser Prozess über VSTskMgr.exe gestartet. |
VSE-Treiber
VSE 8.8 Prozessname |
Beschreibung |
mfeapfk.sys | Der Treiber für den Zugriffsschutzinhalt, der Zugriffsschutz für das Blockieren von Dateien und Ordnern sowie der Registrierung bietet. |
mfeavfk.sys | Ein Treiber für den Dateisystem-Filterinhalt, der für den Antiviren-Scanner und das Verwalten eines Datei-Cache verwendet wird. |
mfebopk.sys | Ein Treiber für den Inhalt des Buffer Overflow-Schutzes. (nicht zutreffend für x64) |
mfeclnk.sys | Bei der Rootkit-Entfernung verwendet. |
mfeelamk.sys | Der ELAM-Treiber (Early Launch Anti-Malware). Diese Komponente stellt in Verbindung mit dem Microsoft ELAM-Framework sicher, dass Bootstart-Treiber keine Malware enthalten. Sie ist für Windows 8 und höher (Windows-Kernel-Version 6.2 und höher) verfügbar. |
mfehidk.sys | Der Verbindungstreiber für die Erkennung von Host-Eindringversuchen. Erleichtert E/A-Ereignisse für relevante Inhaltstreiber. |
mferkdet.sys | Von der On-Demand-Scan-Funktion zum Scannen auf Rootkits verwendet. |
Mfetdik2.sys | Der TDI-Filtertreiber. Der Zugriffsschutz verwendet diesen Treiber zur Port-Blockierung und Identifizierung der IP-Quelle auf Windows-Betriebssystemen, die älter als Windows Vista Service Pack 1 sind. |
Mfewfpk.sys / Mfefirek.sys |
Der Treiber für die Windows-Filterplattform. Der Zugriffsschutz verwendet diesen Treiber zur Port-Blockierung und Identifizierung der IP-Quelle auf Windows Vista Service Pack 1 und höher. |
VSE 8.7i Prozessname |
Beschreibung |
mfeapfk.sys | Der Treiber für den Zugriffsschutzfilter, der Zugriffsschutz für das Blockieren von Dateien und Ordnern sowie der Registrierung bietet. |
mfeavfk.sys | Dateisystem-Filtertreiber für den Antiviren-Scanner. |
mfebopk.sys | Dateisystemtreiber für den Buffer Overflow-Schutz. |
mfeclnk.sys | Treiber, der beim Entfernen von Rootkits verwendet werden kann. |
mfeelamk.sys | Der ELAM-Treiber (Early Launch Anti-Malware). Diese Komponente stellt in Verbindung mit dem Microsoft ELAM-Framework sicher, dass Bootstart-Treiber keine Malware enthalten. Sie ist für Windows 8 und höher (Windows-Kernel-Version 6.2 und höher) verfügbar. |
mfehidk.sys | Der Verbindungstreiber für die Erkennung von Host-Eindringversuchen. Diese Komponente wird für den Zugriffsschutz sowie vom Filtertreiber und Entercept-Treiber (Buffer Overflow) verwendet. Höhe: 321300.00. |
mferkdet.sys | Der Treiber für die VSCore-Code-Analyse. Bietet eine On-Demand-Scan-Funktion zum Scannen auf Rootkits. |
mfetdik.sys | Der TDI-Filtertreiber. Der Zugriffsschutz verwendet diesen Treiber zur Port-Blockierung und Identifizierung der IP-Quelle auf Windows-Betriebssystemen, die älter als Windows Vista Service Pack 1 sind. |
mfewfpk.sys | Der Treiber für die Windows-Filterplattform. Der Zugriffsschutz verwendet diesen Treiber zur Port-Blockierung und Identifizierung der IP-Quelle auf Windows Vista Service Pack 1 und höher. |
Der folgende Ablauf beschreibt die Reihenfolge, in der die Hauptkomponenten geladen werden:
- Der Computer wird gestartet (Treiber und Dienste werden geladen):
- Wenn das Betriebssystem Windows 8 (oder höher) ist, wird der Treiber mfeelaml.sys durch das Microsoft ELAM-Framework geladen.
- Der Treiber mfehidk.sys wird geladen.
- Der Treiber mfetdik.sys/mfewfpk.sys wird geladen.
- Der Treiber mfeavfk.sys wird geladen.
- Der Dienststeuerung-Manager startet automatisch den Dienst mfevtps.exe.
- McShield, der Framework-Dienst und die VsTskMgr-Dienste werden automatisch geladen. McShield ist, wie zuvor beschrieben, die Benutzermoduskomponente des On-Access-Scanners. Der Framework-Dienst bietet Funktionen zur Aktualisierung, Planung und Spiegelung. VSTskmgr ist ein Dienst für die Koordination von Ereignissen, der beispielsweise Planungsinformationen an CMA sendet. Er startet McShield bei schwerwiegenden Zeitüberschreitungen neu und verhindert die Modifizierung der VSE-Dateien.
- McShield lädt den Treiber mfeapfk.sys.
- McShield lädt den Treiber mfebopk.sys.
- FrameworkService lädt NaPrdMgr für die Kommunikation mit Einzelprodukt-Plug-Ins.
- Der Benutzer meldet sich an (Elemente aus dem Schlüssel "Run" werden geladen):
- UpdaterUI/UdaterUI und ShStat (VSE 8.7i) werden geladen.
- UpdaterUI/UdaterUI zeigt auf einer Benutzeroberfläche die CMA-Vorgänge an.
- ShStat, Vshield-Symbol mit Statistiken, Anzeigen des OAS-Meldungsfensters bei OAS-Erkennungen.
- Der Prozess mfeann.exe wird gestartet.
- Weitere Komponenten werden geladen (nach Bedarf):
- McScript/McScript_In_Use führt Skript-Vorgänge für MA aus.
- Scan32-On-Demand-Scanner, wird beim Starten geplanter On-Demand-Scan-Tasks verwendet.
- McConsole zeigt die Konsole an und führt bei Aufruf durch den Benutzer über die Konsole auch einen On-Demand-Scan durch.
- ShCfg32, Eigenschaftskonfiguration für den On-Access-Scanner.
- ScnCfg32, Eigenschaftskonfiguration für den On-Access-Scanner. Führt bei Aufruf durch den Benutzer über diesen Bildschirm zudem einen On-Demand-Scan durch.
Haftungsausschluss
Der Inhalt dieses Artikels stammt aus dem Englischen. Bei Unterschieden zwischen dem englischen Text und seiner Übersetzung gilt der englische Text. Einige Inhalte wurden mit maschineller Übersetzung erstellt, die von Microsoft durchgeführt wurde.
Betroffene Produkte
Sprachen:
Dieser Artikel ist in folgenden Sprachen verfügbar: