El hash de imagen del archivo no es válido.

tag-icon tag-icon windows-7 event-log data-loss-prevention
El hash de imagen del archivo no es válido.

Recibo los siguientes errores en el registro de eventos de seguridad en una máquina con Windows 7 x32.

Hay un par de ellos y me preocupa que pueda indicar una próxima falla en la unidad.

¿Tengo razón al preocuparme? Evento a continuación:

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          12/16/2010 9:12:33 AM
Event ID:      5038
Task Category: System Integrity
Level:         Information
Keywords:      Audit Failure
User:          N/A
Computer:      ThisMachineName
Description:
Code integrity determined that the image hash of a file is not valid.  The file could be corrupt due to unauthorized modification or the invalid hash could indicate a potential disk device error.

File Name:  \Device\HarddiskVolume2\Windows\System32\drivers\DGIVECP.SYS    
Event Xml:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
  <System>
    <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" />
    <EventID>5038</EventID>
    <Version>0</Version>
    <Level>0</Level>
    <Task>12290</Task>
    <Opcode>0</Opcode>
    <Keywords>0x8010000000000000</Keywords>
    <TimeCreated SystemTime="2010-12-16T15:12:33.026367100Z" />
    <EventRecordID>32974</EventRecordID>
    <Correlation />
    <Execution ProcessID="4" ThreadID="44" />
    <Channel>Security</Channel>
    <Computer>ThisMachineName</Computer>
    <Security />
  </System>
  <EventData>
    <Data Name="param1">\Device\HarddiskVolume2\Windows\System32\drivers\DGIVECP.SYS</Data>
  </EventData>
</Event>

EDITAR

Hubo un par de problemas diferentes con el mismo problema: Nombre de archivo: \Device\HarddiskVolume2\Windows\System32\drivers\SSPORT.SYS Nombre de archivo: \Device\HarddiskVolume2\Windows\System32\drivers\CVPNDRVA.sys

El CVPNDRVA se relaciona con el software VPN de Cisco. Creo que tanto DGIVECP como SSPORT están relacionados con una impresora Samsung.

Eché un vistazo más de cerca y parece que solo se hace referencia a estos tres controladores.

Respuesta1

Parece que es un componente del controlador de la impresora Dell. ¿Está sin firmar o algo así? Simplemente buscaría el instalador del controlador, lo extraería y lo compararía para ver si se trata de una biblioteca parcheada (mala) o un problema de firma (no tan malo).

referencia sobre a quién pertenece este archivo:http://hardforum.com/showthread.php?t=1298284

información relacionada