事件 ID：516，警告，进程 **\VSTSKMGR.EXE pid (XXXX) 包含经签名但不受信任的代码（问题：McAfee Agent DLL）

技术文章 ID: KB74177
上次修改时间: 2016/11/3

环境

具有/不具有补丁 1 的 McAfee VirusScan Enterprise 8.8
具有补丁 5 的 McAfee VirusScan Enterprise 8.7i（重制版）
McAfee Agent 4.5

摘要

本文是涵盖由 VSE 生成的事件 ID：516 的几篇文章中的一篇。每篇文章涉及原因不同且包含不同的解决方案。

重要说明：事件 516 并不表示 VirusScan Enterprise (VSE) 产品发生问题；它们与新的 VSE 安全功能相关。

事件 516 出现是正当需要，用以提醒管理员 McAfee 代码可能被破坏。当某个进程获准运行来自 McAfee 进程地址空间内的外部代码时，可能会绕开某些访问保护规则，因为大多数访问保护规则都信赖 McAfee 进程。许多第三方应用程序均采用此技术来为组织提供重要功能。不过，这些事件 ID 还可表示系统受到 Rootkit 型恶意软件的感染，或者正在运行具有入侵性的第三方应用程序。

当发生以下其中一种情况时，VSE 会生成此事件：

由述及进程载入的一个或多个 DLL 文件来自第三方供应商（并非 McAfee 或 Microsoft），并且包含不受信任的代码。
由述及进程载入的 DLL 文件来自 Microsoft（预期受信任），但信任验证例程返回失败。
McAfee Agent 载入的若干 DLL 文件中未包含由 VSE 8.8 执行检查所必需的 McAfee 签名。

本文解决由 McAfee Agent DLL 造成的问题。

问题

Windows 系统事件日志报告多条事件 ID 为 516 的条目。如下条目将记录到 Windows 系统事件日志中：

事件类型：警告
事件来源：mfehidk
事件类别：(256)
事件 ID：516
说明：
进程 **\VSTSKMGR.EXE pid (XXXX) 包含经签名但不受信任的代码，但是允许使用 McAfee 驱动程序执行特权操作

在某些系统上，每隔几分钟就会记录一次事件。

客户端上未报告其他现象。

重要说明：VSE 功能和性能不受影响。

系统更改

已安装 VSE 8.8 或具有补丁 5 的 8.7i（重制版）。

原因

当 McAfee Agent 载入某些 DLL 文件时，将出现此事件。这些库（cryptocme2.dll 或 ccme_base.dll）不含由 VSE 8.8 执行检查所必需的 McAfee 签名。此情况在更新的 McAfee Agent 版本中已解决。

解决方案

标识 - 故障排除
此为识别其他可能原因并提供解决方案的必要步骤。

了解事件为何在您的环境中发生 - 它有可能是恶意软件。
1. 查看事件 ID，确定涉及的进程。最常见的情况是此为“问题”部分所述的 VSTSKMGR.EXE。其他进程名称包括 MCSHIELD.EXE 和 SVCHOST.EXE。
  针对自行载入该进程的文件，识别单个 DLL 和所属应用程序。
2. 1. 从以下网址下载 Microsoft Process Explorer：http://technet.microsoft.com/en-us/sysinternals/bb896653
  2. 在出现事件 516 的计算机上运行 procexp.exe。
  3. 从 Process Explorer 主菜单单击选项，然后选择验证图像签名。
  4. 从主菜单单击视图，然后选择显示下方窗格。
  5. 单击视图、下方窗格视图，然后选择 DLL。
  6. 单击视图，选择“列”。
  7. 在新窗口中单击 DLL 选项卡，选择已验证签名者，然后单击确定。
  8. 在上方窗格中，展开 winnt.exe、服务并向下滚动，然后选择 VsTskMgr.exe。
    
    下方窗格此时将显示为 VsTskMgr.exe 进程载入的所有 DLL。
  9. 在下方窗格中，单击已验证签名者列，以组织 DLL。这种做法可将任何未经签名的 DLL 作为无法验证分组在一起。
  10. 检查 DLL 列表中的非 McAfee 文件和非 Microsoft 文件（忽略 WscAv.dll 文件，该文件也是 McAfee 文件）。
  11. 如果未发现不受信任的第三方应用程序 DLL，则单击文件、保存，并保存为文本文件。向 McAfee 支持提供文本文件，以寻求协助。有关详细联系信息，请参见本文相关信息部分。
解决 McAfee Agent 问题
cryptocme2.dll 和 ccme_base.dll 库的问题已在 McAfee Agent 4.5 补丁 3 中解决。

McAfee 产品软件、升级、维护版本及文档均可从产品下载站点 (http://www.mcafee.com/us/downloads/downloads.aspx) 获取。

注意：您需要提供有效的授权号才能进行访问。 KB56057 为您提供有关产品下载站点的其他信息以及获取某些产品的其他位置。
减少 Windows 系统事件日志中记录的事件数
此问题已在 VSE 8.8 补丁 2 版本中解决，可使用有效的授权码从 McAfee 下载网站获取该版本。

补丁是累积性的。因此，McAfee 建议您安装最新版本。

VSE 8.8 补丁 16 是最新补丁，可从 ServicePortal 的“下载”选项卡 (https://support.mcafee.com/downloads) 获取。

注意：VSE 8.8 补丁 16 支持所有受支持的 Windows 操作系统。

McAfee 产品软件、升级、维护版本及文档均可从产品下载站点 (http://www.mcafee.com/us/downloads/downloads.aspx) 获取。

注意：您需要提供有效的授权号才能进行访问。 KB56057 为您提供有关产品下载站点的其他信息以及获取某些产品的其他位置。

注意：此行为最初通过 VSE 8.8 补丁 1 修补程序 625756 解决，但由于某些安装问题以及与 McAfee Host Intrusion Prevention 代理的冲突问题，该修补程序现已删除。随后换由 VSE 8.8 补丁 1 修补程序 735512 来解决此问题。由于发布了 VSE 8.8 补丁 2，该修补程序已被删除。

解决方案

如果上述解决方案无法解决此问题，请参阅主故障排除文章 (KB71083)，了解其他可能的解决方案。

免责声明

本文内容源于英文。如果英文内容与其翻译内容之间存在差异，应始终以英文内容为准。本文部分内容是使用 Microsoft 的机器翻译技术进行翻译的。

受影响的产品

Known Issue/Product Defect
VirusScan Enterprise 8.8

语言:

此文章有以下语言版本：

German
English United States
Spanish Spain
French
Italian
Japanese
Korean
Dutch
Portuguese Brasileiro
Chinese Simplified
Chinese Traditional

Knowledge Center

事件 ID：516，警告，进程 **\VSTSKMGR.EXE pid (XXXX) 包含经签名但不受信任的代码（问题：McAfee Agent DLL）

环境

摘要

问题

系统更改

原因

解决方案

解决方案

相关信息

免责声明

受影响的产品

语言:

Title

Title

Knowledge Center

事件 ID：516，警告，进程 **\VSTSKMGR.EXE pid (XXXX) 包含经签名但不受信任的代码（问题：McAfee Agent DLL）

环境

摘要

问题

系统更改

原因

解决方案

解决方案

相关信息

免责声明

受影响的产品

语言:

选择您的区域

Title

Title