Ereignis-ID: 516, Warnung, Prozess **\VSTSKMGR.EXE pid (XXXX) enthält signierten, aber nicht vertrauenswürdigen Code (Problem: McAfee Agent-DLL)
Technische Artikel ID:
KB74177
Zuletzt geändert am: 03.11.2016
Umgebung
McAfee VirusScan Enterprise 8.8 mit/ohne Patch 1
McAfee VirusScan Enterprise 8.7i mit Patch 5 (Repost)
McAfee Agent 4.5
Zusammenfassung
Dies ist einer von mehreren Artikeln, in denen die von VSE generierte Ereignis-ID 516 behandelt wird. Jeder Artikel befasst sich mit einer anderen Ursache und enthält eine andere Lösung.
WICHTIG: Das Ereignis 516 bedeutet kein Problem mit dem VirusScan Enterprise-Produkt (VSE), sondern hängt mit einer neuen VSE-Sicherheitsfunktion zusammen.
Das Ereignis 516 wird ordnungsgemäß ausgelöst, um den Administrators auf möglicherweise beschädigten McAfee-Code aufmerksam zu machen. Wenn einem Prozess erlaubt wurde, fremden Code aus dem Adressbereich eines McAfee-Prozesses heraus auszuführen, werden einige Zugriffsschutzregeln möglicherweise umgangen, da die meisten Zugriffsschutzregeln McAfee-Prozesse als vertrauenswürdig behandeln. Viele Anwendungen anderer Anbieter verwenden diese Technik, um Organisationen nützliche Funktionen bereitzustellen. Diese Ereignis-IDs können jedoch auch angeben, dass das System mit Rootkit-ähnlicher Malware infiziert ist oder eine intrusive Anwendung eines anderen Anbieters ausgeführt wird.
VSE generiert dieses Ereignis, wenn eine der folgenden Situationen eintritt:
- Eine oder mehrere durch den erwähnten Prozess geladenen DLL-Dateien stammen von einem Drittanbieter (nicht von McAfee oder Microsoft) und enthalten nicht vertrauenswürdigen Code.
- Die durch den erwähnten Prozess geladenen DLL-Dateien stammen von Microsoft (die Dateien sollten vertrauenswürdig sein), die Vertrauensvalidierungsroutine gibt jedoch einen Fehler zurück.
- Der McAfee-Agent lädt bestimmte DLL-Dateien, in denen die für die Prüfung durch VSE 8.8 erforderliche McAfee-Signatur nicht enthalten ist.
In diesem Artikel wird das durch eine McAfee Agent-DLL verursachte Problem behandelt.
Problem
Das Windows-Systemereignisprotokoll zeigt mehrere Einträge für die Ereignis-ID 516. Einträge, die den folgenden ähneln, werden im Windows-Systemereignisprotokoll erfasst:
Ereignistyp: Warnung
Ereignisquelle: mfehidk
Ereigniskategorie: (256)
Ereignis-ID: 516
Beschreibung:
Prozess **\VSTSKMGR.EXE pid (XXXX) enthält signierten, aber nicht vertrauenswürdigen Code. Es wurde jedoch zugelassen, dass er einen Vorgang mit besonderen Berechtigungen mit einem McAfee-Treiber durchführt.
Auf einigen Systemen wird das Ereignis im Abstand von wenigen Minuten protokolliert.
Für den Client werden keine anderen Symptome gemeldet.
WICHTIG: Funktionen und Leistung von VSE werden nicht beeinflusst.
Systemänderung
VSE 8.8 oder 8.7i mit Patch 5 (Repost) installiert.
Ursache
Das Ereignis tritt ein, wenn der McAfee Agent bestimmte DLL-Dateien lädt. In den Bibliotheken (cryptocme2.dll oder ccme_base.dll) ist die für die Prüfung durch VSE 8.8 erforderliche McAfee-Signatur nicht enthalten. Dieses Szenario wird in neueren Versionen von McAfee Agent behoben.
Lösung
- Identifizierung – Fehlerbehebung
Dieser Schritt ist erforderlich, um weitere mögliche Ursachen zu identifizieren und die entsprechenden Lösungen anzubieten.
Informieren Sie sich, warum das Ereignis in Ihrer Umgebung auftritt – es könnte sich um Malware handeln.
- Überprüfen Sie die Ereignis-ID, um den betroffenen Prozess zu ermitteln. In den meisten Fällen handelt es sich um VSTSKMGR.EXE, wie im Problemabschnitt beschrieben. Weitere Prozessnamen sind MCSHIELD.EXE und SVCHOST.EXE.
Identifizieren Sie die einzelnen DLLs und die zugehörigen Anwendungen für Dateien, die sich selber in den Prozess laden.
-
- Laden Sie Microsoft Process Explorer unter http://technet.microsoft.com/en-us/sysinternals/bb896653 herunter.
- Führen Sie Process Explorer procexp.exe auf dem Computer aus, auf dem das Ereignis 516 gemeldet wird.
- Klicken Sie im Hauptmenü von Process Explorer auf Options (Optionen), und aktivieren Sie dann die Option Verify Image Signatures (Image-Signaturen überprüfen).
- Klicken Sie im Hauptmenü auf View (Ansicht), und aktivieren Sie dann die Option Lower Pane View (Unteren Bereich anzeigen).
- Klicken Sie auf View (Ansicht), auf Lower Pane View (Unteren Bereich anzeigen), und aktivieren Sie dann die Option DLLs.
- Klicken Sie auf View (Ansicht), und wählen Sie dann Select Columns (Spalten auswählen).
- Klicken Sie im daraufhin geöffneten Fenster auf die Registerkarte DLL, aktivieren Sie Verified Signer (Überprüfter Signierer), und klicken Sie dann auf OK.
- Erweitern Sie im oberen Bereich wininit.exe und Services, blättern Sie nach unten, und wählen Sie dann VsTskMgr.exe aus.
Im unteren Bereich werden jetzt alle DLLs angezeigt, die für den Prozess VsTskMgr.exe geladen sind.
- Klicken Sie im unteren Bereich auf die Spalte Verified Signer (Überprüfter Signierer), um die DLLs zu sortieren. Auf diese Weise können alle nicht signierten DLLs als Unable to Verify (Nicht überprüfbar) gruppiert werden.
- Durchsuchen Sie die Liste der DLLs nach Nicht-McAfee- und Nicht-Microsoft-Dateien (ignorieren Sie die Datei WscAv.dll, die ebenfalls eine McAfee-Datei ist).
- Wenn Ihnen die nicht vertrauenswürdigen DLLs der Drittanbieter-Anwendung nicht angezeigt werden, klicken Sie auf File (Datei) und dann auf Save (Speichern), und speichern Sie das Ergebnis als Textdatei. Stellen Sie diese Textdatei dem McAfee-Support als Hilfe zur Verfügung. Kontaktdaten finden Sie in diesem Artikel im Abschnitt "Themenbezogene Informationen".
- Beheben des Problems bei McAfee Agent
Das Problem mit den Bibliotheken cryptocme2.dll und ccme_base.dll ist in McAfee Agent 4.5 Patch 3 behoben.
Software, Upgrades, Wartungsversionen und Dokumentation für McAfee-Produkte können auf der Produkt-Download-Site unter http://www.mcafee.com/us/downloads/downloads.aspx heruntergeladen werden.
HINWEIS: Für den Zugriff benötigen Sie eine gültige Grant-Nummer. In KB56057 finden Sie zusätzliche Informationen zur Produkt-Download-Website und zu alternativen Download-Adressen für bestimmte Produkte.
-
Reduzieren der im Windows-Anwendungsereignisprotokoll aufgezeichneten Ereignisse
Dieses Problem wurde in VSE 8.8 Patch 2 behoben. Das Produkt kann unter Angabe einer gültigen Grant-Nummer von der McAfee-Download-Website heruntergeladen werden.
Patches sind kumulativ. McAfee empfiehlt daher, immer den neuesten Patch zu installieren.
VSE 8.8 Patch 14 ist der aktuelle Patch, der im ServicePortal auf der Registerkarte "Downloads" unter https://support.mcafee.com/downloads verfügbar ist.
HINWEIS: VSE 8.8 Patch 14 unterstützt alle unterstützten Windows-Betriebssysteme.
Software, Upgrades, Wartungsversionen und Dokumentation für McAfee-Produkte können auf der Produkt-Download-Site unter http://www.mcafee.com/us/downloads/downloads.aspx heruntergeladen werden.
HINWEIS: Für den Zugriff benötigen Sie eine gültige Grant-Nummer. In KB56057 finden Sie zusätzliche Informationen zur Produkt-Download-Website und zu alternativen Download-Adressen für bestimmte Produkte.
HINWEIS: Dieses Verhalten wurde ursprünglich mit VSE 8.8 Patch 1 HotFix 625756 behoben, der HotFix wurde jedoch aufgrund von Installationsproblemen und Konflikten mit dem McAfee Host Intrusion Prevention-Agenten entfernt. Dieser wurde durch VSE 8.8 Patch 1 Hotfix 735512 ersetzt, um das Problem zu beheben. Der HotFix wurde aufgrund der Veröffentlichung von VSE 8.8 Patch 2 entfernt.
Lösung
Wenn sich das Problem mit der oben angegebenen Lösung nicht beheben lässt, finden Sie im Master-Artikel zur Fehlerbehebung ( KB71083) weitere mögliche Lösungen.
Haftungsausschluss
Der Inhalt dieses Artikels stammt aus dem Englischen. Bei Unterschieden zwischen dem englischen Text und seiner Übersetzung gilt der englische Text. Einige Inhalte wurden mit maschineller Übersetzung erstellt, die von Microsoft durchgeführt wurde.
|