Loading...

Gebeurtenis-id: 516, waarschuwing: het proces **\VSTSKMGR.EXE pid (XXXX) bevat ondertekende, maar niet-vertrouwde code. (Probleemoplossing)
Technische artikelen ID:   KB71083
Laatst gewijzigd:  3-11-2016
Beoordeeld:


Omgeving

McAfee VirusScan Enterprise 8.8
McAfee VirusScan Enterprise 8.7i met Patch 5 (repost)
McAfee Agent 4.5 en hoger

 

Samenvatting

BELANGRIJKGebeurtenis 516 duidt geen probleem met het VirusScan Enterprise (VSE)-product aan, maar is gerelateerd aan een nieuwe VSE-veiligheidsfunctie.

Gebeurtenis 516 wordt gegenereerd om de aandacht van de beheerder te richten op mogelijk beschadigde McAfee-code. Wanneer het voor een proces is toegestaan vreemde code uit te voeren binnen de adresruimte van een McAfee-proces, kunnen bepaalde toegangsbeveiligingsregels worden omzeild doordat de meeste toegangsbeveiligingsregels McAfee-processen vertrouwen. In veel toepassingen van derden wordt deze techniek gebruikt om een organisatie waardevolle functionaliteit te bieden. Deze gebeurtenis-id's kunnen er echter ook op wijzen dat het systeem geïnfecteerd is met rootkit-achtige malware of dat er een tussenkomende toepassing van derden wordt uitgevoerd.

VSE genereert deze gebeurtenis wanneer zich een van de volgende situaties voordoet:

  • Een of meer DLL-bestanden die door het genoemde proces worden geladen, zijn afkomstig van een externe leverancier (anders dan McAfee of Microsoft) en bevatten niet-vertrouwde code.
  • De DLL-bestanden die door het genoemde proces worden geladen, zijn afkomstig van Microsoft (en worden als betrouwbaar beschouwd), maar de routine voor het verifiëren van de betrouwbaarheid retourneert een fout.
  • McAfee Agent laadt bepaalde DLL-bestanden die niet over de McAfee-handtekening beschikken die verplicht is voor inspectie door VSE 8.8.

Probleem

Het systeemgebeurtenislogboek van Windows bevat meerdere vermeldingen voor gebeurtenis-id 516. In het systeemgebeurtenislogboek van Windows zijn vermeldingen opgenomen die vergelijkbaar zijn met de volgende:

Gebeurtenistype: Waarschuwing
Gebeurtenisbron: mfehidk
Gebeurteniscategorie: (256)
Gebeurtenis-id: 516
Datum: <Datum>
Tijd: <tijd>
Gebruiker: n.v.t.
Computer: <naam>
Beschrijving:
Het proces **\VSTSKMGR.EXE pid (XXXX) bevat ondertekende, maar niet-vertrouwde code, maar heeft toestemming om een bevoegde bewerking met een McAfee-stuurprogramma uit te voeren
 

Op sommige systemen wordt de gebeurtenis om de paar minuten opgeslagen.

Er worden geen andere symptomen gerapporteerd op de client.

BELANGRIJK: dit heeft geen gevolgen voor de VSE-functionaliteit en prestaties.

Oorzaak

VSE genereert deze gebeurtenis wanneer een of meer DLL-bestanden die door het genoemde proces worden geladen, afkomstig zijn van een externe leverancier (anders dan McAfee of Microsoft) en niet-vertrouwde code bevatten. Dit kan voorkomen in geval van onderstaande scenario's. McAfee raadt aan dat u elke melding van dit probleem onderzoekt om de juiste oorzaak te kunnen vaststellen.

Huidige scenario's:
  • Toepassingen van derden (hook)
    Dit treedt op wanneer toepassingen van derden zich inhaken op of hun eigen code injecteren in McAfee-processen om functionaliteit te bieden. Ook malware maakt gebruik van een dergelijke techniek. McAfee vertrouwt deze toepassingen van derden niet (evenmin malware) en genereert een gebeurtenis om de beheerder in te lichten over het feit dat het McAfee-proces gecompromitteerd kan zijn.

     
  • McAfee Agent
    Dit treedt op wanneer de McAfee Agent bepaalde DLL-bestanden laadt. Deze bibliotheken (cryptocme2.dll of ccme_base.dll) beschikken niet over een McAfee-handtekening die verplicht is voor inspectie door VSE 8.8. Deze situatie is opgelost in nieuwere vrijgaven van McAfee Agent.

     
  • Microsoft-certificaatarchieven moeten worden bijgewerkt
    Dit probleem kan worden veroorzaakt door DLL-bestanden van Microsoft, die als betrouwbaar worden beschouwd, maar de routine voor het verifiëren van de betrouwbaarheid retourneert een fout. Dit treedt op wanneer er geen overeenkomstig of gevalideerd certificaat voor het bestand is (dit is vastgesteld bij MSI.dll van de MSI Installer 4.5.6001.22159).

Oplossing

Om dit in een logische volgorde af te werken, gebruikt u de volgorde van de opeenvolgende artikelen zoals voorzien door de productexperten.

Artikel
Probleem
McAfee Agent DLL (Hotfix)
Toepassingen van derden (hook)
Microsoft-certificaatarchieven moeten worden bijgewerkt

ontkenning

De inhoud van dit artikel is oorspronkelijk in het Engels uitgebracht. Als er verschillen zijn tussen de Engelse inhoud en de vertaling, is de Engelse inhoud altijd het meest accuraat. Een deel van deze inhoud is het resultaat van het gebruik van de machinevertaling van Microsoft.

Dit document beoordelen

Beta Translate with

Select a desired language below to translate this page.