1 Reply Latest reply on Mar 31, 2010 2:27 PM by pg13

    Prevent modification of mcafee scan engine: Windows Update (update.exe)

    pg13

      Hi,

       

      I just deployed VS 8.5 with patch 8 throughout our enterprise and I am seeing an acces protection rule kicking in when Windows updates from our WSUS server. Here is the log:

       

       

      2010-03-31  14:00:25      Bloqué par une règle de protection de l'accès         AUTORITE NT\SYSTEM        C:\WINDOWS\SoftwareDistribution\Download\5b75ecf1fac587d09ca7e4c402fcd054\update \update.exe        C:\Program Files\Fichiers communs\McAfee\Engine\MCSCAN32.1  Protection standard commune:Empêcher la modification des fichiers et paramètres de McAfee Scan Engine        Action bloquée : Supprimer

       

      2010-03-31  14:00:25      Bloqué par une règle de protection de l'accès         AUTORITE NT\SYSTEM        C:\WINDOWS\SoftwareDistribution\Download\5b75ecf1fac587d09ca7e4c402fcd054\update \update.exe        C:\Program Files\Fichiers communs\McAfee\Engine\CONFIG.1      Protection standard commune:Empêcher la modification des fichiers et paramètres de McAfee Scan Engine  Action bloquée : Supprimer

       

      2010-03-31  14:00:25      Bloqué par une règle de protection de l'accès         AUTORITE NT\SYSTEM        C:\WINDOWS\SoftwareDistribution\Download\5b75ecf1fac587d09ca7e4c402fcd054\update \update.exe        C:\Program Files\Fichiers communs\McAfee\Engine\SIGNLIC.1      Protection standard commune:Empêcher la modification des fichiers et paramètres de McAfee Scan Engine  Action bloquée : Supprimer

       

      2010-03-31  14:00:25      Bloqué par une règle de protection de l'accès         AUTORITE NT\SYSTEM        C:\WINDOWS\SoftwareDistribution\Download\5b75ecf1fac587d09ca7e4c402fcd054\update \update.exe        C:\Program Files\Fichiers communs\McAfee\Engine\SCAN.1 Protection standard commune:Empêcher la modification des fichiers et paramètres de McAfee Scan Engine  Action bloquée : Supprimer

       

      2010-03-31  14:00:25      Bloqué par une règle de protection de l'accès         AUTORITE NT\SYSTEM        C:\WINDOWS\SoftwareDistribution\Download\5b75ecf1fac587d09ca7e4c402fcd054\update \update.exe        C:\Program Files\Fichiers communs\McAfee\Engine\MCTOOL.1      Protection standard commune:Empêcher la modification des fichiers et paramètres de McAfee Scan Engine  Action bloquée : Supprimer

       

      2010-03-31  14:00:25      Bloqué par une règle de protection de l'accès         AUTORITE NT\SYSTEM        C:\WINDOWS\SoftwareDistribution\Download\5b75ecf1fac587d09ca7e4c402fcd054\update \update.exe        C:\Program Files\Fichiers communs\McAfee\Engine\LICENSE.1      Protection standard commune:Empêcher la modification des fichiers et paramètres de McAfee Scan Engine  Action bloquée : Supprimer

       

      2010-03-31  14:00:25      Bloqué par une règle de protection de l'accès         AUTORITE NT\SYSTEM        C:\WINDOWS\SoftwareDistribution\Download\5b75ecf1fac587d09ca7e4c402fcd054\update \update.exe        C:\Program Files\Fichiers communs\McAfee\Engine\MESSAGES.1  Protection standard commune:Empêcher la modification des fichiers et paramètres de McAfee Scan Engine  Action bloquée : Supprimer

       

       

      This translates in English as follows:

       

      2010-03-31  14:00:25      Blocked by an access protection rule AUTORITE NT\SYSTEM        C:\WINDOWS\SoftwareDistribution\Download\5b75ecf1fac587d09ca7e4c402fcd054\update \update.exe        C:\Program Files\Fichiers communs\McAfee\Engine\MCSCAN32.1  Common Standard Protection:Prevent modification of Mcafee Scan Engine files and settings Blocked action: Deleted

      So I have a feeling that my Windows patches might not be correctly applied.  I deactivated this protection in my policies, but I am wondering if anybody else sees these errors.

      Thank you.

        • 1. Re: Prevent modification of mcafee scan engine: Windows Update (update.exe)
          pg13

          Precision: all those files that were prevented from being removed had the .1 extension (mcscan32.1 , config.1 , etc.). The contents of those files seem identical to their counterpart (msscan32.dll, config.dat, etc.) And the creation date of those files was about the same time the Windows update took place.   So I'm wondering maybe it's Windows that created those duplicate files and now when Windows tries to remove them, McAfee prevents it from happening ?