ID evento: 516, Avviso, il processo **\VSTSKMGR.EXE pid (XXXX) contiene codice con firma ma non affidabile (problema: file DLL di McAfee Agent)
Articoli tecnici ID:
KB74177
Ultima modifica: 03/11/2016
Ambiente
McAfee VirusScan Enterprise 8.8 con/senza Patch 1
McAfee VirusScan Enterprise 8.7i con Patch 5 (ripubblicato)
McAfee Agent 4.5
Riepilogo
Questo è un articolo di una serie che tratta dell'ID evento: 516 generato da VSE. Ciascun articolo tratta una causa diversa e presenta una soluzione diversa.
IMPORTANTE: l'evento 516 non indica un problema relativo al prodotto VirusScan Enterprise (VSE), ma fa riferimento a una nuova funzionalità di sicurezza di VSE.
L'evento 516 si verifica per motivi autentici e serve per informare l'amministratore sulla possibilità che il codice di McAfee sia compromesso. Quando a un processo viene permesso di eseguire codice estraneo dallo spazio degli indirizzi di un processo McAfee, alcune regole di protezione dell'accesso potrebbero essere aggirate poiché la maggior parte di queste regole considera affidabili i processi McAfee. Molte applicazioni di terze parti utilizzano questa tecnica per offrire preziose funzionalità a un'organizzazione. Tuttavia, questi ID di evento possono indicare anche che il sistema è infetto da malware di tipo rootkit o che è in esecuzione un'applicazione intrusiva di terzi.
VSE genera questo evento quando si verifica una delle condizioni seguenti:
- Uno o più file DLL caricati dal processo citato sono di un fornitore terzo (non McAfee né Microsoft) e contengono codice non affidabile.
- I file DLL caricati dal processo citato sono di Microsoft (che è ritenuto affidabile), ma la routine di convalida dell'affidabilità restituisce un errore.
- In McAfee Agent vengono caricati determinati file DLL che non contengono la firma McAfee necessaria per l'ispezione da parte di VSE 8.8.
In questo articolo viene risolto l'errore causato da un file DLL di McAfee Agent.
Problema
Il registro eventi del sistema Windows riporta più voci per l'evento con ID 516. Voci simili alla seguente sono registrate nel registro eventi del sistema Windows:
Tipo evento: Avviso
Origine evento: mfehidk
Categoria evento: (256)
ID evento: 516
Descrizione:
Il processo **\VSTSKMGR.EXE pid (XXXX) contiene codice con firma ma non affidabile, al quale è stata consentita l'esecuzione di un'operazione con privilegi con un driver McAfee
Su determinati sistemi, l'evento viene registrato a intervalli di pochi minuti.
Nel client, non sono segnalati altri sintomi.
IMPORTANTE: non vi è alcun impatto su funzionalità e prestazioni di VSE.
Modifica di sistema
VSE 8.8 o 8.7i con Patch 5 installato (ripubblicato).
Causa
L'evento si verifica quando McAfee Agent carica determinati file DLL. Queste librerie (cryptocme2.dll o ccme_base.dll) non contengono la firma McAfee necessaria per l'ispezione da parte di VSE 8.8. Lo scenario è risolto nelle versioni più recenti di McAfee Agent.
Soluzione
- Identificazione - risoluzione dei problemi
Questo passaggio è necessario per individuare altre cause possibili e per fornirne le soluzioni.
È necessario scoprire perché l'evento si verifica nel proprio ambiente: potrebbe trattarsi di malware.
- Controllare l'ID evento per stabilire quale processo è interessato. Nella maggior parte dei casi si tratta del processo VSTSKMGR.EXE, come descritto nella sezione Problema. Altri processi interessati potrebbero essere MCSHIELD.EXE e SVCHOST.EXE.
Individuare i singoli file DLL e le rispettive applicazioni per i file che vengono caricati in quel processo.
-
- Scaricare Microsoft Process Explorer da http://technet.microsoft.com/it-it/sysinternals/bb896653
- Eseguire lo strumento Process Explorer procexp.exe sul computer sul quale si è verificato l'evento 516.
- Dal menu principale di Process Explorer, fare clic su Opzioni , quindi selezionare Verifica firme immagine.
- Dal menu principale, fare clic su Visualizza , quindi selezionare Mostra riquadro inferiore.
- Fare clic su Visualizza, Visualizzazione riquadro inferiore, quindi selezionare DLL.
- Fare clic su Visualizza, Seleziona colonne.
- Nella nuova finestra, fare clic sulla scheda DLL , selezionare Firmatario verificato, quindi fare clic su OK.
- Nel riquadro superiore, espandere winnt.exe, i servizi , scorrere verso il basso e selezionare VsTskMgr.exe.
Nel riquadro inferiore sono ora visualizzati tutti i file DLL caricati per il processo VsTskMgr.exe.
- Nel riquadro inferiore, fare clic sulla colonna Firmatario verificato per organizzare i file DLL. Ciò consente a eventuali file DLL sprovvisti di firma di essere raggruppati insieme come file impossibili da verificare.
- Esaminare l'elenco di file DLL non appartenenti a McAfee né a Microsoft (ignorando il file WscAv.dll , che è anche un file McAfee).
- Se non vengono visualizzati i file DLL dell'applicazione non affidabile di terze parti, fare clic su File, Salva e salvare come file di testo. Inviare il file di testo a McAfee per assistenza. Per i dettagli di contatto, vedere la sezione Informazioni correlate del presente articolo.
- Risoluzione dei problemi relativi a McAfee Agent
I problemi relativi alle librerie cryptocme2.dll e ccme_base.dll vengono risolti in McAfee Agent 4.5 Patch 3.
Il software, gli upgrade, le versioni di manutenzione e la documentazione del prodotto McAfee sono disponibili nel sito di download dei prodotti all'indirizzo: http://www.mcafee.com/us/downloads/downloads.aspx.
NOTA: per accedere è necessario disporre di un codice di autorizzazione valido. Nell'articolo KB56057 vengono fornite ulteriori informazioni sul sito di download dei prodotti, nonché posizioni alternative da cui scaricare alcuni prodotti.
-
Riduzione del numero di eventi riportati nel registro eventi del sistema Windows
Questo problema è stato risolto nel rilascio di VSE 8.8 Patch 2, disponibile nel sito di download di McAfee e scaricabile con un codice di autorizzazione valido.
Le patch sono cumulative. McAfee consiglia pertanto di installare quella più recente.
VSE 8.8 Patch 14 è l'ultima patch disponibile nella scheda Download del ServicePortal all'indirizzo https://support.mcafee.com/downloads.
NOTA: VSE 8.8 Patch 14 è compatibile con tutti i sistemi operativi Windows.
Il software, gli upgrade, le versioni di manutenzione e la documentazione del prodotto McAfee sono disponibili nel sito di download dei prodotti all'indirizzo: http://www.mcafee.com/us/downloads/downloads.aspx.
NOTA: per accedere è necessario disporre di un codice di autorizzazione valido. Nell'articolo KB56057 vengono fornite ulteriori informazioni sul sito di download dei prodotti, nonché posizioni alternative da cui scaricare alcuni prodotti.
NOTA: questo comportamento è stato risolto inizialmente con l'HotFix 625756 di VSE 8.8 Patch 1 ma, a causa di alcuni problemi di installazione e di conflitti con l'agent McAfee Host Intrusion Prevention, l'HotFix è stato rimosso. Per risolvere il problema lo si è sostituito con l'HotFix 735512 di VSE 8.8 Patch 1. L'HotFix è stato rimosso a causa del rilascio di VSE 8.8 Patch 2.
Soluzione
Se la soluzione di cui sopra non risolve il problema, fare riferimento all'articolo principale di risoluzione dei problemi ( KB71083) per altre possibili soluzioni.
Dichiarazione di non responsabilità
Il contenuto di questo articolo è stato scritto in inglese. In caso di differenze tra il contenuto in inglese e la traduzione, fare sempre riferimento al contenuto in iglese. Parte del contenuto è stata tradotta con gli strumenti di traduzione automatica di Microsoft.
|