Loading...

Ereignis-ID: 516, Warnung, Prozess **\VSTSKMGR.EXE pid (XXXX) enthält signierten, aber nicht vertrauenswürdigen Code (Fehlerbehebung)
Technische Artikel ID:   KB71083
Zuletzt geändert am:  03.11.2016
Bewertet:


Umgebung

McAfee VirusScan Enterprise 8.8
McAfee VirusScan Enterprise 8.7i mit Patch 5 (Repost)
McAfee Agent 4.5 und höher

 

Zusammenfassung

WICHTIG: Ereignis 516 bedeutet kein Problem mit dem VirusScan Enterprise (VSE)-Produkt an, sondern hängt mit einer neuen VSE-Sicherheitsfunktion zusammen.

Das Ereignis 516 wird ordnungsgemäß ausgelöst, um den Administrators auf möglicherweise beschädigten McAfee-Code aufmerksam zu machen. Wenn einem Prozess erlaubt wurde, fremden Code aus dem Adressbereich eines McAfee-Prozesses heraus auszuführen, werden einige Zugriffsschutzregeln möglicherweise umgangen, da die meisten Zugriffsschutzregeln McAfee-Prozesse als vertrauenswürdig behandeln. Viele Anwendungen anderer Anbieter verwenden diese Technik, um Organisationen nützliche Funktionen bereitzustellen. Diese Ereignis-IDs können jedoch auch angeben, dass das System mit Rootkit-ähnlicher Malware infiziert ist oder eine intrusive Anwendung eines anderen Anbieters ausgeführt wird.

VSE generiert dieses Ereignis, wenn eine der folgenden Situationen eintritt:

  • Eine oder mehrere durch den erwähnten Prozess geladenen DLL-Dateien stammen von einem Drittanbieter (nicht von McAfee oder Microsoft) und enthalten nicht vertrauenswürdigen Code.
  • Die durch den erwähnten Prozess geladenen DLL-Dateien stammen von Microsoft (die Dateien sollten vertrauenswürdig sein), die Vertrauensvalidierungsroutine gibt jedoch einen Fehler zurück.
  • Der McAfee-Agent lädt bestimmte DLL-Dateien, in denen die für die Prüfung durch VSE 8.8 erforderliche McAfee-Signatur nicht enthalten ist.

Problem

Das Windows-Systemereignisprotokoll zeigt mehrere Einträge für die Ereignis-ID 516. Einträge, die den folgenden ähneln, werden im Windows-Systemereignisprotokoll erfasst:

Ereignistyp: Warnung
Ereignisquelle: mfehidk
Ereigniskategorie: (256)
Ereignis-ID: 516
Datum: <Datum>
Zeit: <Uhrzeit>
Benutzer: N. v.
Computer: <Name>
Beschreibung:
Prozess **\VSTSKMGR.EXE pid (XXXX) enthält signierten, aber nicht vertrauenswürdigen Code. Es wurde jedoch zugelassen, dass er einen Vorgang mit besonderen Berechtigungen mit einem McAfee-Treiber durchführt.
 

Auf einigen Systemen wird das Ereignis im Abstand von wenigen Minuten protokolliert.

Auf dem Client werden keine anderen Symptome gemeldet.

WICHTIG: Funktionen und Leistung von VSE werden nicht beeinflusst.

Ursache

VSE generiert dieses Ereignis, wenn eine oder mehrere der durch den erwähnten Prozess geladenen DLL-Dateien von einem Drittanbieter (nicht von McAfee oder Microsoft) stammen und nicht vertrauenswürdigen Code enthalten. Dies kann in den folgenden Szenarien der Fall sein. McAfee empfiehlt dringend, dass Sie sämtliche Berichte mit diesem Problem überprüfen, um die jeweilige konkrete Ursache zu bestimmen.

Aktuelle Szenarien:
  • Drittanbieter-Anwendung (Hook)
    Dieser Fall tritt ein, wenn Drittanbieter-Anwendungen ihren Code in McAfee-Prozesse einschleusen oder einklinken, um bestimmte Funktionen bereitzustellen. Auch Malware verwendet eine derartige Technik. McAfee vertraut diesen Drittanbieteranwendungen (oder natürlich auch Malware) nicht und generiert das Ereignis, um den Administrator darüber zu informieren, dass der McAfee-Prozess möglicherweise infiziert wurde.

     
  • McAfee Agent
    Dieser Fall tritt ein, wenn der McAfee Agent bestimmte DLL-Dateien lädt. In den Bibliotheken (cryptocme2.dll oder ccme_base.dll) ist die für die Prüfung durch VSE 8.8 erforderliche McAfee-Signatur nicht enthalten. Dieses Szenario wird in neueren Versionen von McAfee Agent behoben.

     
  • Microsoft-Zertifikatsspeicher müssen aktualisiert werden
    Dieses Problem kann durch Microsoft-DLL-Dateien verursacht werden, die als vertrauenswürdig eingestuft werden, bei denen die Vertrauensvalidierungsroutine jedoch einen Fehler zurückgibt. Dies tritt auf, wenn für die Datei kein entsprechendes oder gültiges Zertifikat vorhanden ist (festgestellt wurde dies u. a. bei MSI.dll aus dem MSI Installer 4.5.6001.22159).

Lösung

Zur logischen Einarbeitung in dieses Problemfeld arbeiten Sie die folgenden Artikel in der Reihenfolge durch, die von den Produktexperten vorgesehen wurde.

Artikel
Problem
McAfee Agent-DLL (HotFix)
Drittanbieter-Anwendung (Hook)
Microsoft-Zertifikatsspeicher müssen aktualisiert werden

Haftungsausschluss

Der Inhalt dieses Artikels stammt aus dem Englischen. Bei Unterschieden zwischen dem englischen Text und seiner Übersetzung gilt der englische Text. Einige Inhalte wurden mit maschineller Übersetzung erstellt, die von Microsoft durchgeführt wurde.

Dieses Dokument bewerten

Beta Translate with

Select a desired language below to translate this page.