ID do evento: 516, Aviso, O processo **\VSTSKMGR.EXE pid (XXXX) contém código assinado, mas não confiável (problema: DLL do McAfee Agent)
Artigos técnicos ID:
KB74177
Última modificação: 03/11/2016
Ambiente
McAfee VirusScan Enterprise 8.8 com/sem o Patch 1
McAfee VirusScan Enterprise 8.7i com o Patch 5 (relançamento)
McAfee Agent 4.5
Resumo
Este é um dos vários artigos que abordam a ID do evento: 516 gerado pelo VSE. Cada artigo aborda uma causa diferente e inclui uma solução diferente.
IMPORTANTE: o evento 516 não indica um problema com o VirusScan Enterprise (VSE); ele está relacionado a um novo recurso de segurança do VSE.
O evento 516 ocorre por motivos legítimos de informar ao administrador que o código da McAfee pode estar comprometido. Quando um processo tem permissão para executar código externo a partir do espaço de endereço de um processo da McAfee, algumas regras de proteção de acesso devem ser contornadas, pois a maioria das regras de proteção de acesso confia nos processos da McAfee. Muitos aplicativos de terceiros usam essa técnica para fornecer funcionalidades valiosas para um organização. Entretanto, essas IDs de evento também podem indicar que o sistema está infectado com malware semelhante a rootkit ou que você está executando um aplicativo de terceiro intrusivo.
O VSE gera esse evento quando ocorre uma das situações a seguir:
- Um ou mais arquivos DLL carregados pelo processo mencionado são de um fornecedor terceiro (não é a McAfee nem a Microsoft) e contêm código não confiável.
- Os arquivos DLL carregados pelo processo mencionado são da Microsoft (por isso, espera-se que sejam confiáveis), mas a rotina de validação de confiança retorna uma falha.
- O McAfee Agent carrega determinados arquivos DLL que não contêm a assinatura necessária da McAfee exigida para a inspeção realizada pelo VSE 8.8.
Este artigo aborda o problema causado por uma DLL do McAfee Agent.
Problema
O log de eventos do Sistema do Windows apresenta várias entradas da ID do evento 516. Entradas semelhantes ao seguinte são registradas no log de eventos do Sistema do Windows:
Tipo de evento: Aviso
Origem do evento: mfehidk
Categoria do evento: (256)
ID do evento: 516
Descrição:
O processo **\VSTSKMGR.EXE pid (XXXX) contém código assinado, mas não confiável, e tem permissão para executar uma operação privilegiada com um driver da McAfee.
Em alguns sistemas, o evento é registrado em um intervalo de poucos minutos.
Nenhum outro sintoma foi relatado no cliente.
IMPORTANTE: a funcionalidade e o desempenho do VSE não são impactados.
Alteração de sistema
VSE 8.8 ou 8.7i instalado com o Patch 5 (relançamento).
Causa
O evento ocorre quando o McAfee Agent carrega determinados arquivos DLL. Essas bibliotecas (cryptocme2.dll ou ccme_base.dll) não contêm uma assinatura necessária da McAfee exigida para a inspeção realizada pelo VSE 8.8. Este cenário foi resolvido em versões mais recentes do McAfee Agent.
Solução
- Identificação - solução de problemas
Esta etapa é necessária para identificar outras possíveis causas e fornecer as soluções.
Saiba por que o evento ocorre em seu ambiente - pode ser malware.
- Analise a ID do evento para determinar o processo que está envolvido. Geralmente, é o VSTSKMGR.EXE , conforme descrito na seção Problema. Outros nomes de processo incluem MCSHIELD.EXE e SVCHOST.EXE.
Identifique as DLLs individuais e os aplicativos proprietários de arquivos que são carregados sozinhos nesse processo.
-
- Faça download do Microsoft Process Explorer em http://technet.microsoft.com/en-us/sysinternals/bb896653
- Execute a ferramenta Process Explorer (procexp.exe) no computador em que o evento 516 é exibido.
- No menu principal do Process Explorer, clique em Options (Opções) e selecione Verify Image Signatures (Verificar assinaturas da imagem).
- No menu principal, clique em View (Exibir) e selecione Show Lower Pane (Exibir painel inferior).
- Clique em View (Exibir), em Lower Pane View (Exibição do painel inferior) e selecione as DLLs.
- Clique em View (Exibir) e em Select Columns (Selecionar colunas).
- Na nova janela, clique na guia DLL, selecione Verified Signer (Assinante verificado) e clique em OK.
- No painel superior, expanda winnt.exe, services (serviços), role para baixo e selecione VsTskMgr.exe.
Agora, o painel inferior mostra todas as DLLs que são carregadas para o processo VsTskMgr.exe.
- No painel inferior, clique na coluna Verified Signer (Assinante verificado) para organizar as DLLs. Isso permite que qualquer DLL não assinada seja agrupada como Unable to Verify (Não é possível verificar).
- Verifique a lista de DLLs em relação a arquivos que não sejam da McAfee nem da Microsoft (ignorando o arquivo WscAv.dll, que também é um arquivo da McAfee).
- Se as DLLs do aplicativo de terceiros não confiáveis não forem exibidas, clique em Arquivo, Salvar e salve como um arquivo de texto. Forneça o arquivo de texto ao Suporte da McAfee para obter ajuda. Para obter detalhes de contato, consulte a seção de informações relacionadas deste artigo.
- Resolver o problema do McAfee Agent
O problema com as bibliotecas cryptocme2.dll e ccme_base.dll foi resolvido no McAfee Agent 4.5 Patch 3.
O software, os upgrades, as versões de manutenção e a documentação dos produtos da McAfee estão disponíveis no site de downloads de produtos, em: http://www.mcafee.com/us/downloads/downloads.aspx. NOTA: você precisará de um Número de concessão válido para o acesso. O artigo KB56057 fornece mais informações sobre o site de downloads de produtos, bem como locais alternativos para obter alguns produtos.
-
Reduzir o número de eventos gravados no registro de eventos do sistema Windows
Esse problema foi resolvido no VSE 8.8 Patch 2, que está disponível no site de Downloads da McAfee usando um Número de concessão válido.
Os patches são cumulativos. Dessa maneira, a McAfee recomenda que você instale o mais recente.
O VSE 8.8 Patch 16 é o patch mais recente disponível na guia Downloads do ServicePortal em https://support.mcafee.com/downloads.
NOTA: o VSE 8.8 Patch 16 é compatível com todos os sistemas operacionais Windows com suporte. O software, os upgrades, as versões de manutenção e a documentação dos produtos da McAfee estão disponíveis no site de downloads de produtos, em: http://www.mcafee.com/us/downloads/downloads.aspx. NOTA: você precisará de um Número de concessão válido para o acesso. O artigo KB56057 fornece mais informações sobre o site de downloads de produtos, bem como locais alternativos para obter alguns produtos. esse comportamento foi inicialmente resolvido com o HotFix 625756 do VSE 8.8 Patch 1, mas, devido a alguns problemas de instalação e conflitos com o agente do McAfee Host Intrusion Prevention, o HotFix foi removido. Ele foi substituído pelo HotFix 735512 do VSE 8.8 Patch 1 a fim de resolver esse problema. O HotFix foi removido devido ao lançamento do VSE 8.8 Patch 2.
Solução
Se a solução acima não resolver o problema, consulte o artigo de solução de problemas principal ( KB71083) para obter outras possíveis soluções.
Aviso de isenção de responsabilidade
O conteúdo original deste artigo foi redigido em inglês. Se houver diferenças entre o conteúdo em inglês e sua tradução, o conteúdo em inglês será o mais exato. Parte deste conteúdo foi criado por meio de tradução automática da Microsoft.
|
