ID de l'événement : 516, Avertissement, le processus **\VSTSKMGR.EXE pid (XXXX) contient du code signé mais non approuvé (problème : McAfee Agent DLL)
Articles techniques ID:
KB74177
Date de la dernière modification : 03/11/2016
Environnement
McAfee VirusScan Enterprise 8.8 avec/sans Patch 1
McAfee VirusScan Enterprise 8.7i avec Patch 5 (repost)
McAfee Agent 4,5
Synthèse
Il s'agit de l'un des articles abordant l'ID d'événement 516 générés par VSE. Chaque article présente une cause différente et inclut une solution différente.
IMPORTANT : l'événement 516 n'indique pas un problème avec le produit VirusScan Enterprise (VSE), mais renvoie à une nouvelle fonction de sécurité de VSE.
L'événement 516, déclenché pour des raisons légitimes, sert à alerter l'administrateur sur la menace qui pèse sur le code McAfee. Lorsqu'un processus a été autorisé à exécuter un code étranger depuis l'espace d'adresse d'un processus McAfee, il est possible de contourner des règles de protection de l'accès car la plupart de ces dernières approuvent les processus McAfee. De nombreuses applications tierces utilisent cette technique pour offrir des fonctionnalités utiles à une organisation. Toutefois, ces ID d'événement peuvent également indiquer que le système est infecté par un logiciel malveillant (malware), tel qu'un rootkit, ou que vous exécutez une application tierce intrusive.
VSE génère cet événement dans l'un des cas suivants :
- Un ou plusieurs fichiers DLL chargés par le processus mentionné proviennent d'un fournisseur tiers (autre que McAfee et Microsoft) et contiennent un code non approuvé.
- Les fichiers DLL chargés par le processus mentionné proviennent de Microsoft (fichiers censés être approuvés), mais le processus de validation et d'approbation a échoué.
- McAfee Agent charge certains fichiers DLL qui ne contiennent pas la signature McAfee requise pour l'inspection effectuée par VSE 8.8.
Cet article traite du problème causé par une DLL McAfee Agent.
Problème
Le journal des événements du système Windows signale plusieurs entrées pour l'ID d'événement 516. Des entrées similaires à celles qui suivent sont consignées dans le journal des événements du système Windows :
Type d'événement : Avertissement
Source de l'événement : mfehidk
Catégorie d'événement : (256)
ID de l'événement : 516
Description :
le processus**\VSTSKMGR.EXE pid (XXXX) contient un code signé, mais non approuvé. Il a toutefois été autorisé à effectuer une opération privilégiée avec un pilote McAfee
Sur certains systèmes, l'événement est consigné à quelques minutes d'intervalle.
Aucun autre symptôme n'est signalé sur le client.
IMPORTANT : il n'y a aucune incidence sur les performances et les fonctionnalités de VSE.
Modification du système
VSE 8.8 ou 8.7i installé avec Patch 5 (repost).
Cause
L'événement se produit lorsque l'agent McAfee charge certains fichiers DLL. Ces bibliothèques (cryptocme2.dll ou ccme_base.dll) ne contiennent pas de signature McAfee nécessaire pour l'inspection effectuée pour VSE 8.8. Ce scénario est résolu dans les versions les plus récentes de McAfee Agent.
Solution
- Identification - dépannage
Cette étape est nécessaire pour identifier toute autre cause possible et trouver des solutions.
Découvrez les raisons de l'événement pour votre environnement. Il pourrait s'agir d'un logiciel malveillant (malware).
- Vérifiez l'ID d'événement pour déterminer quel processus est impliqué. En règle générale, il s'agit du processus VSTSKMGR.EXE décrit dans la section Problème. MCSHIELD.EXE et SVCHOST.EXE sont également des noms de processus.
Identifiez les fichiers DLL individuels et les applications propriétaires pour les fichiers qui se chargent eux-mêmes lors du processus.
-
- Téléchargez Microsoft Process Explorer depuis http://technet.microsoft.com/en-us/sysinternals/bb896653
- Exécutez l'outil Process Explorer procexp.exe sur l'ordinateur où apparaît l'événement 516.
- Dans le menu principal de Process Explorer, cliquez sur Options, puis sélectionnez Vérifier les signatures d'image.
- Dans le menu principal, cliquez sur Afficher puis sélectionnez Afficher le volet inférieur.
- Cliquez sur Afficher et Afficher le volet inférieur puis sélectionnez les DLL.
- Cliquez sur Afficher puis sur Sélectionner les colonnes.
- Dans la nouvelle fenêtre, cliquez sur l'onglet DLL, sélectionnez Signataire vérifié puis cliquez sur OK.
- Dans le volet supérieur, développez winnt.exe, services, faites défiler vers le bas, puis sélectionnez VsTskMgr.exe.
Le volet inférieur affiche alors tous les fichiers DLL chargés pour le processus VsTskMgr.exe.
- Dans le volet inférieur, cliquez sur la colonne Signataire vérifié pour classer les fichiers DLL. Cela permet de regrouper tous les fichiers DLL sous Impossible à vérifier.
- Vérifiez la liste des fichiers DLL pour les fichiers autres que McAfee et Microsoft (en ignorant le fichier WscAv.dll, qui est également un fichier McAfee).
- Si le ou les fichiers DLL de l'application tierce non validée ne s'affichent pas, cliquez sur Fichier, Enregistrer, puis enregistrez-les sous forme de fichier texte. Pour obtenir de l'aide, transmettez le fichier texte au support technique McAfee. Pour obtenir les coordonnées, consultez la section Informations connexes de cet article.
- Résolution du problème de McAfee Agent
Le problème rencontré avec les bibliothèques cryptocme2.dll et ccme_base.dll est résolu dans McAfee Agent 4.5 Patch 3.
Les produits logiciels McAfee, les mises à niveau, les versions de maintenance et la documentation sont disponibles sur le site des téléchargements de produits à l'adresse : http://www.mcafee.com/us/downloads/downloads.aspx.
REMARQUE : vous devez posséder un Grant Number valide pour l'accès.
L'article KB56057 fournit des informations complémentaires sur le site des téléchargements de produits, ainsi que sur d'autres emplacements dédiés à des produits spécifiques.
-
Réduction du nombre d'événements consignés dans le journal d'événements système de Windows
Ce problème est résolu dans la distribution VSE 8.8 Patch 2, qui est disponible sur le site de téléchargement de McAfee avec un numéro de licence valide.
Les patchs sont cumulatifs. Par conséquent, McAfee vous recommande d'installer le tout dernier.
VSE 8.8 Patch 16 est le dernier patch disponible sur l'onglet des téléchargements du ServicePortal à l'adresse https://support.mcafee.com/downloads.
REMARQUE : VSE 8.8 Patch 16 prend en charge tous les systèmes d'exploitation Windows pris en charge.
Les produits logiciels McAfee, les mises à niveau, les versions de maintenance et la documentation sont disponibles sur le site des téléchargements de produits à l'adresse : http://www.mcafee.com/us/downloads/downloads.aspx.
REMARQUE : vous devez posséder un Grant Number valide pour l'accès.
L'article KB56057 fournit des informations complémentaires sur le site des téléchargements de produits, ainsi que sur d'autres emplacements dédiés à des produits spécifiques.
REMARQUE : ce comportement a été initialement résolu avec VSE 8.8 Patch 1 HotFix 625756, mais en raison de certains problèmes d'installation et de conflits avec l'agent McAfee Host Intrusion Prevention, le HotFix a été supprimé. Il a été ensuite remplacé par VSE 8.8 Patch 1 HotFix 735512 pour résoudre ce problème. Le hotfix a été supprimé du fait de la publication de VSE 8.8 Patch 2.
Solution
Si la solution fournie ci-dessus ne résout pas ce problème, reportez-vous à l'article de dépannage principal ( KB71083) pour obtenir d'autres solutions.
Clause d'exclusion de responsabilité
Le contenu du présent article a été rédigé en anglais. En cas de divergences entre la version anglaise et sa traduction, la version en anglais prévaut. Certaines parties de ce contenu ont été traduites par le moteur de traduction automatique de Microsoft.
|