Loading...

Knowledge Center

Sei un cliente domestico/consumer? Visita il sito dell'assistenza per clienti domestici/consumer

ID evento: 516, Avviso, il processo **\VSTSKMGR.EXE pid (XXXX) contiene codice con firma ma non affidabile (problema: file DLL di McAfee Agent)

Articoli tecnici ID: KB74177
Ultima modifica: 03/11/2016

Ambiente

McAfee VirusScan Enterprise 8.8 con/senza Patch 1
McAfee VirusScan Enterprise 8.7i con Patch 5 (ripubblicato)
McAfee Agent 4.5

Riepilogo

Questo è un articolo di una serie che tratta dell'ID evento: 516 generato da VSE. Ciascun articolo tratta una causa diversa e presenta una soluzione diversa.

IMPORTANTE: l'evento 516 non indica un problema relativo al prodotto VirusScan Enterprise (VSE), ma fa riferimento a una nuova funzionalità di sicurezza di VSE.

L'evento 516 si verifica per motivi autentici e serve per informare l'amministratore sulla possibilità che il codice di McAfee sia compromesso. Quando a un processo viene permesso di eseguire codice estraneo dallo spazio degli indirizzi di un processo McAfee, alcune regole di protezione dell'accesso potrebbero essere aggirate poiché la maggior parte di queste regole considera affidabili i processi McAfee. Molte applicazioni di terze parti utilizzano questa tecnica per offrire preziose funzionalità a un'organizzazione. Tuttavia, questi ID di evento possono indicare anche che il sistema è infetto da malware di tipo rootkit o che è in esecuzione un'applicazione intrusiva di terzi.

VSE genera questo evento quando si verifica una delle condizioni seguenti:

Uno o più file DLL caricati dal processo citato sono di un fornitore terzo (non McAfee né Microsoft) e contengono codice non affidabile.
I file DLL caricati dal processo citato sono di Microsoft (che è ritenuto affidabile), ma la routine di convalida dell'affidabilità restituisce un errore.
In McAfee Agent vengono caricati determinati file DLL che non contengono la firma McAfee necessaria per l'ispezione da parte di VSE 8.8.

In questo articolo viene risolto l'errore causato da un file DLL di McAfee Agent.

Problema

Il registro eventi del sistema Windows riporta più voci per l'evento con ID 516. Voci simili alla seguente sono registrate nel registro eventi del sistema Windows:

Tipo evento: Avviso
Origine evento: mfehidk
Categoria evento: (256)
ID evento: 516
Descrizione:
Il processo **\VSTSKMGR.EXE pid (XXXX) contiene codice con firma ma non affidabile, al quale è stata consentita l'esecuzione di un'operazione con privilegi con un driver McAfee

Su determinati sistemi, l'evento viene registrato a intervalli di pochi minuti.

Nel client, non sono segnalati altri sintomi.

IMPORTANTE: non vi è alcun impatto su funzionalità e prestazioni di VSE.

Modifica di sistema

VSE 8.8 o 8.7i con Patch 5 installato (ripubblicato).

Causa

L'evento si verifica quando McAfee Agent carica determinati file DLL. Queste librerie (cryptocme2.dll o ccme_base.dll) non contengono la firma McAfee necessaria per l'ispezione da parte di VSE 8.8. Lo scenario è risolto nelle versioni più recenti di McAfee Agent.

Soluzione

Identificazione - risoluzione dei problemi
Questo passaggio è necessario per individuare altre cause possibili e per fornirne le soluzioni.

È necessario scoprire perché l'evento si verifica nel proprio ambiente: potrebbe trattarsi di malware.
1. Controllare l'ID evento per stabilire quale processo è interessato. Nella maggior parte dei casi si tratta del processo VSTSKMGR.EXE, come descritto nella sezione Problema. Altri processi interessati potrebbero essere MCSHIELD.EXE e SVCHOST.EXE.
  Individuare i singoli file DLL e le rispettive applicazioni per i file che vengono caricati in quel processo.
2. 1. Scaricare Microsoft Process Explorer da http://technet.microsoft.com/it-it/sysinternals/bb896653
  2. Eseguire lo strumento Process Explorer procexp.exe sul computer sul quale si è verificato l'evento 516.
  3. Dal menu principale di Process Explorer, fare clic su Opzioni , quindi selezionare Verifica firme immagine.
  4. Dal menu principale, fare clic su Visualizza , quindi selezionare Mostra riquadro inferiore.
  5. Fare clic su Visualizza, Visualizzazione riquadro inferiore, quindi selezionare DLL.
  6. Fare clic su Visualizza, Seleziona colonne.
  7. Nella nuova finestra, fare clic sulla scheda DLL , selezionare Firmatario verificato, quindi fare clic su OK.
  8. Nel riquadro superiore, espandere winnt.exe, i servizi , scorrere verso il basso e selezionare VsTskMgr.exe.
    
    Nel riquadro inferiore sono ora visualizzati tutti i file DLL caricati per il processo VsTskMgr.exe.
  9. Nel riquadro inferiore, fare clic sulla colonna Firmatario verificato per organizzare i file DLL. Ciò consente a eventuali file DLL sprovvisti di firma di essere raggruppati insieme come file impossibili da verificare.
  10. Esaminare l'elenco di file DLL non appartenenti a McAfee né a Microsoft (ignorando il file WscAv.dll , che è anche un file McAfee).
  11. Se non vengono visualizzati i file DLL dell'applicazione non affidabile di terze parti, fare clic su File, Salva e salvare come file di testo. Inviare il file di testo a McAfee per assistenza. Per i dettagli di contatto, vedere la sezione Informazioni correlate del presente articolo.
Risoluzione dei problemi relativi a McAfee Agent
I problemi relativi alle librerie cryptocme2.dll e ccme_base.dll vengono risolti in McAfee Agent 4.5 Patch 3.

Il software, gli upgrade, le versioni di manutenzione e la documentazione del prodotto McAfee sono disponibili nel sito di download dei prodotti all'indirizzo: http://www.mcafee.com/us/downloads/downloads.aspx.

NOTA: per accedere è necessario disporre di un codice di autorizzazione valido. Nell'articolo KB56057 vengono fornite ulteriori informazioni sul sito di download dei prodotti, nonché posizioni alternative da cui scaricare alcuni prodotti.
Riduzione del numero di eventi riportati nel registro eventi del sistema Windows
Questo problema è stato risolto nel rilascio di VSE 8.8 Patch 2, disponibile nel sito di download di McAfee e scaricabile con un codice di autorizzazione valido.

Le patch sono cumulative. McAfee consiglia pertanto di installare quella più recente.

VSE 8.8 Patch 14 è l'ultima patch disponibile nella scheda Download del ServicePortal all'indirizzo https://support.mcafee.com/downloads.

NOTA: VSE 8.8 Patch 14 è compatibile con tutti i sistemi operativi Windows.

Il software, gli upgrade, le versioni di manutenzione e la documentazione del prodotto McAfee sono disponibili nel sito di download dei prodotti all'indirizzo: http://www.mcafee.com/us/downloads/downloads.aspx.

NOTA: per accedere è necessario disporre di un codice di autorizzazione valido. Nell'articolo KB56057 vengono fornite ulteriori informazioni sul sito di download dei prodotti, nonché posizioni alternative da cui scaricare alcuni prodotti.

NOTA: questo comportamento è stato risolto inizialmente con l'HotFix 625756 di VSE 8.8 Patch 1 ma, a causa di alcuni problemi di installazione e di conflitti con l'agent McAfee Host Intrusion Prevention, l'HotFix è stato rimosso. Per risolvere il problema lo si è sostituito con l'HotFix 735512 di VSE 8.8 Patch 1. L'HotFix è stato rimosso a causa del rilascio di VSE 8.8 Patch 2.

Soluzione

Se la soluzione di cui sopra non risolve il problema, fare riferimento all'articolo principale di risoluzione dei problemi (KB71083) per altre possibili soluzioni.

Informazioni correlate

Problema correlato
KB71812 - ID evento: 514, Avviso, il processo **\VSTSKMGR.EXE pid (XXXX) contiene codice con firma ma non affidabile (risoluzione dei problemi)

Richiesta di miglioramento prodotti
Per richiedere una o più delle funzionalità seguenti utilizza il processo di richiesta di miglioramento del prodotto:

Possibilità di attivare/disattivare l'esclusione dei file sprovvisti di firma
Possibilità di escludere/ignorare i file senza firma selezionati (senza disattivare la ricezione di avvisi sugli altri file).
Necessità di ulteriori informazioni sugli eventi, come nome file e percorso
Possibilità di gestire l'affidabilità delle applicazioni di terze parti mediante l'interfaccia utente

Se è necessaria una modifica alla funzionalità del prodotto, inviare una nuova idea di prodotto all'indirizzo:

https://community.mcafee.com/t5/Enterprise-Product-Ideas/idb-p/business-ideas

Il forum di idee è disponibile solo per i clienti Business ed Enterprise McAfee. Fare clic su Accedi e immettere ID utente e password del proprio account McAfee ServicePortal (https://support.mcafee.com). Se non si dispone ancora di un account McAfee ServicePortal o McAfee Community, fare clic su Iscriviti per registrare un nuovo account in uno dei due siti Web.

Per ulteriori informazioni sulle idee per i prodotti, consultare l'articolo KB60021.

NOTA: il forum delle idee sostituisce il precedente sistema Richiesta di miglioramento prodotti.

Per contattare l'assistenza tecnica, accedere al ServicePortal e andare alla pagina Crea una richiesta di assistenza all'indirizzo https://support.mcafee.com/ServicePortal/faces/serviceRequests/createSR:

Se è stata effettuata la registrazione, digitare il proprio ID utente e la password, quindi fare clic su Accedi.
Se non è stata effettuata la registrazione, fare clic su Registrati e compilare i campi obbligatori. La password e le istruzioni di accesso verranno inviate via email.

Dichiarazione di non responsabilità

Il contenuto di questo articolo è stato scritto in inglese. In caso di differenze tra il contenuto in inglese e la traduzione, fare sempre riferimento al contenuto in iglese. Parte del contenuto è stata tradotta con gli strumenti di traduzione automatica di Microsoft.

Prodotti interessati

Known Issue/Product Defect
VirusScan Enterprise 8.8

Lingue:

Questo articolo è disponibile nelle seguenti lingue:

German
English United States
Spanish Spain
French
Italian
Japanese
Korean
Dutch
Portuguese Brasileiro
Chinese Simplified
Chinese Traditional