Loading...

知识中心


事件 ID:516,警告,进程 **\VSTSKMGR.EXE pid (XXXX) 包含经签名但不受信任的代码(故障排除)
技术文章 ID:   KB71083
上次修改时间:  2016/11/3
已评级:


环境

McAfee VirusScan Enterprise 8.8
具有补丁 5 的 McAfee VirusScan Enterprise 8.7i(重制版)
McAfee Agent 4.5 及更高版本

 

摘要

重要说明:时间 516 并不表示 VirusScan Enterprise (VSE) 产品发生问题;它们与新的 VSE 安全功能相关。

事件 516 出现是正当需要,用以提醒管理员 McAfee 代码可能被破坏。当某个进程获准运行来自 McAfee 进程地址空间内的外部代码时,可能会绕开某些访问保护规则,因为大多数访问保护规则都信赖 McAfee 进程。许多第三方应用程序均采用此技术来为组织提供重要功能。不过,这些事件 ID 还可表示系统受到 Rootkit 型恶意软件的感染,或者正在运行具有入侵性的第三方应用程序。

当发生以下其中一种情况时,VSE 会生成此事件:

  • 由述及进程载入的一个或多个 DLL 文件来自第三方供应商(并非 McAfee 或 Microsoft),并且包含不受信任的代码。
  • 由述及进程载入的 DLL 文件来自 Microsoft(预期受信任),但信任验证例程返回失败。
  • McAfee Agent 载入的若干 DLL 文件中未包含由 VSE 8.8 执行检查所必需的 McAfee 签名。

问题

Windows 系统事件日志报告多条事件 ID 为 516 的条目。如下条目将记录到 Windows 系统事件日志中:

事件类型:警告
事件来源:mfehidk
事件类别:(256)
事件 ID:516
日期:<日期>
时间:<时间>
用户:暂缺
计算机:<名称>
说明:
进程 **\VSTSKMGR.EXE pid (XXXX) 包含经签名但不受信任的代码,但是允许使用 McAfee 驱动程序执行特权操作
 

在某些系统上,每隔几分钟就会记录一个事件。

客户端上未报告其他现象。

重要说明:VSE 功能和性能不受影响。

原因

如果由述及进程载入的一个或多个 DLL 文件来自第三方供应商(并非 McAfee 或 Microsoft),并且包含不受信任的代码,则 VSE 将生成此事件。它将在以下情况下出现。McAfee 强烈建议调查此问题的任何报告以确定具体原因。

当前情况:
  • 第三方应用程序(挂接)
    当第三方应用程序将代码挂接或注入到 McAfee 进程以提供功能时,将出现这种情况。恶意软件也采用此类技术。McAfee 并不信任这些第三方程序(或相关的恶意软件),并且会生成事件来通知管理员 McAfee 进程可能被破坏。

     
  • McAfee Agent
    当 McAfee Agent 加载某些 DLL 文件时,将出现这种情况。这些库(cryptocme2.dll 或 ccme_base.dll)不含由 VSE 8.8 执行检查所必需的 McAfee 签名。此情况在更新的 McAfee Agent 版本中已解决。

     
  • Microsoft 证书存储库需要更新
    该问题可能由 Microsoft DLL 文件所导致,这些文件预期受信任,但是信任验证例程返回错误。如果该文件没有对应或有效的证书(已在 MSI Installer 4.5.6001.22159MSI.dll 中发现此问题),将出现这种情况。

解决方案

要按照符合逻辑的顺序解决此问题,请按照产品专家建议的顺序参阅以下文章。

文章
问题
McAfee Agent DLL(修补程序)
第三方应用程序(挂接)
Microsoft 证书存储库需要更新

免责声明

本文内容源于英文。如果英文内容与其翻译内容之间存在差异,应始终以英文内容为准。本文部分内容是使用 Microsoft 的机器翻译技术进行翻译的。

对此文档进行评级

Beta Translate with

Select a desired language below to translate this page.