Loading...

Knowledge Center


事件 ID:516,警告,處理程序 **\VSTSKMGR.EXE pid (XXXX) 包含已簽署但不受信任的代碼 (疑難排解)
技術文章 ID:   KB71083
上次修改:  2016/11/3
已評分:


環境

McAfee VirusScan Enterprise 8.8
McAfee VirusScan Enterprise 8.7 含 Patch 5 (重新傳送)
McAfee Agent 4.5 及以上版本

 

摘要

重要事項:事件 516 未指出 VirusScan Enterprise (VSE) 產品的問題;與新 VSE 安全性功能相關。

事件 516 因正當的理由而發生,以提醒管理員 McAfee 程式碼可能已發生問題。如果已允許處理程序從 McAfee 處理程序的位址空間執行外部程式碼,則可能會規避部分「存取保護」規則,因為大部分「存取保護」規則都會信任 McAfee 處理程序。許多協力廠商應用程式使用這項技術為組織提供重要的功能。不過,[事件 ID] 也可能指出系統受到 Rootkit 型惡意程式碼感染,或是您正在執行具侵入性的協力廠商應用程式。

VSE 會在下列其中一種狀況發生時產生此事件:

  • 所述處理程序載入的一或多個 DLL 檔案來自協力廠商 (非 McAfee 或 Microsoft),且包含不受信任的代碼。
  • 所述處理程序載入的 DLL 檔案來自 Microsoft (預期為受信任),但信任驗證常式傳回錯誤。
  • McAfee Agent 載入特定 DLL 檔案,這些檔案未包含 VSE 8.8 進行檢查所需的 McAfee 簽章。

問題

「Windows 系統事件」記錄檔報告多個事件 ID 516 的項目。類似下列的項目會記錄到「Windows 系統事件」記錄檔中:

事件類型:警告
事件來源: mfehidk
事件類別:(256)
事件 ID:516
日期:<日期>
時間:<時間>
使用者:N/A
電腦:<名稱>
說明:
處理程序 **\VSTSKMGR.EXE pid (###) 包含已簽章但不受信任的程式碼,但已獲准執行 McAfee 驅動程式的權限操作。
 

有些系統會每幾分鐘記錄一次事件。

用戶端上沒有其他徵狀的報告。

重要事項: VSE 功能與效能不受影響。

原因

所述處理程序載入的一或多個 DLL 檔案來自協力廠商 (非 McAfee 或 Microsoft),且包含不受信任的代碼時會產生此事件。在以下分析藍本中會發生此情況。McAfee 強烈建議您調查此問題的所有報告,以判斷特定原因。

目前的分析藍本:
  • 第三方應用程式 (Hook)
    第三方應用程式將代碼 Hook 或插入 McAfee 處理序以提供功能時發生。惡意程式碼也會使用這類技術。McAfee 不信任這些第三方程式 (或惡意程式) 並產生事件,以告知管理員 McAfee 程式碼可能已發生問題。

     
  • McAfee Agent
    McAfee Agent 載入特定 DLL 檔案時發生。這些程式庫 (cryptocme2.dll 或 ccme_base.dll) 未包含 VSE 8.8 進行檢查所需的必要 McAfee 簽章。此情況已在較新的 McAfee Agent 版本中獲得解決。

     
  • Microsoft Certificate Stores 必須更新
    問題可能是由 Microsoft DLL 檔案引起, 這些檔案應受信任,但信任驗證常式傳回錯誤。檔案沒有對應或有效的憑證時 (MSI Installer 4.5.6001.22159MSI.dll 即有過這樣的問題) 發生。

解決方案

如需以邏輯順序解決此問題,請依產品專家指定的順序完成以下文章的操作。

文章
問題
McAfee Agent DLL (Hotfix)
第三方應用程式 (Hook)
Microsoft Certificate Stores 必須更新

免責聲明

本文內容源於英文。如果英文內容和翻譯有差異,請一律以英文內容為準。其中部分內容是使用 Microsoft 機器翻譯技術翻譯的。

為本文件評分

Beta Translate with

Select a desired language below to translate this page.