Loading...

ID do evento: 516, Aviso, O processo **\VSTSKMGR.EXE pid (XXXX) contém código assinado, mas não confiável (solução do problema)
Artigos técnicos ID:   KB71083
Última modificação:  03/11/2016
Classificação:


Ambiente

McAfee VirusScan Enterprise 8.8
McAfee VirusScan Enterprise 8.7i com Patch 5 (relançamento)
McAfee Agent 4.5 e posterior

 

Resumo

IMPORTANTE: o evento 516 não indica um problema com o produto VirusScan Enterprise (VSE). Está relacionado a um novo recurso de segurança do VSE.

O evento 516 ocorre por motivos legítimos de informar ao administrador que o código da McAfee pode estar comprometido. Quando um processo tem permissão para executar código externo a partir do espaço de endereço de um processo da McAfee, algumas regras de proteção de acesso devem ser contornadas, pois a maioria das regras de proteção de acesso confia nos processos da McAfee. Muitos aplicativos de terceiros usam essa técnica para fornecer funcionalidades valiosas para uma organização. Entretanto, essas IDs de evento também podem indicar que o sistema está infectado com malware semelhante a rootkit ou que você está executando um aplicativo de terceiro intrusivo.

O VSE gera esse evento quando ocorre uma das situações a seguir:

  • Um ou mais arquivos DLL carregados pelo processo mencionado são de um fornecedor terceiro (não é a McAfee nem a Microsoft) e contêm código não confiável.
  • Os arquivos DLL carregados pelo processo mencionado são da Microsoft (por isso, espera-se que sejam confiáveis), mas a rotina de validação de confiança retorna uma falha.
  • O McAfee Agent carrega determinados arquivos DLL que não contêm a assinatura necessária da McAfee exigida para a inspeção realizada pelo VSE 8.8.

Problema

O log de eventos do Sistema do Windows apresenta várias entradas da ID do evento 516. Entradas semelhantes ao seguinte são registradas no log de eventos do Sistema do Windows:

Tipo de evento: Aviso
Origem do evento: mfehidk
Categoria do evento: (256)
ID do evento: 516
Data:  <data>
Hora:  <hora>
Usuário: N/D
Computador: <nome>
Descrição:
O processo **\VSTSKMGR.EXE pid (XXXX) contém código assinado, mas não confiável, mas teve permissão para executar uma operação privilegiada com um driver da McAfee.
 

Em alguns sistemas, o evento é registrado a cada poucos minutos.

Nenhum outro sintoma foi relatado no cliente.

IMPORTANTE: a funcionalidade e o desempenho do VSE não são impactados.

Causa

O VSE gera esse evento quando um ou mais arquivos DLL carregados pelo processo mencionado são de um fornecedor terceiro (não da McAfee ou da Microsoft) e contêm código não confiável. Isso pode ocorrer nos cenários a seguir. A McAfee recomenda investigar todos os relatórios desse problema para determinar a causa específica.

Cenários atuais:
  • Aplicativo de terceiros (interceptador)
    Ocorre quando aplicativos de terceiros interceptam ou injetam seu código nos processos da McAfee para fornecer funcionalidade. Malware também usa essa técnica. A McAfee não confia nesses programas de terceiros (ou também malware) e gera o evento para informar o administrador que o processo da McAfee pode estar comprometido.

     
  • McAfee Agent
    Ocorre quando o McAfee Agent carrega determinados arquivos DLL. Essas bibliotecas (cryptocme2.dll ou ccme_base.dll) não contêm uma assinatura necessária da McAfee exigida para a inspeção realizada pelo VSE 8.8. Este cenário foi resolvido em versões mais recentes do McAfee Agent.

     
  • Os Armazenamentos de certificados da Microsoft precisam de atualização
    O problema pode ser provocado por arquivos DLL da Microsoft, que são esperados serem confiáveis, mas para os quais a rotina de validação de confiança retorna uma falha. Isso ocorre quando não existe um certificado correspondente ou válido para o arquivo (isso foi visto com o MSI.dll do Instalador do MSI 4.5.6001.22159).

Solução

Para resolver isso em uma ordem lógica, trabalhe nos seguintes artigos na ordem fornecida pelos especialistas do produto.

Artigo
Problema
DLL do McAfee Agent (HotFix)
Aplicativo de terceiros (interceptador)
Os Armazenamentos de certificados da Microsoft precisam de atualização

Aviso de isenção de responsabilidade

O conteúdo original deste artigo foi redigido em inglês. Se houver diferenças entre o conteúdo em inglês e sua tradução, o conteúdo em inglês será o mais exato. Parte deste conteúdo foi criado por meio de tradução automática da Microsoft.

Classificar este documento

Beta Translate with

Select a desired language below to translate this page.