事件 ID：516，警告，處理程序 **\VSTSKMGR.EXE pid (XXXX) 包含已簽署但不受信任的代碼 (問題：McAfee Agent DLL)

技術文章 ID: KB74177
上次修改： 2016/11/3

環境

McAfee VirusScan Enterprise 8.8 含/不含 Patch 1
McAfee VirusScan Enterprise 8.7i 含 Patch 5 (重新張貼)
McAfee Agent 4.5

摘要

這是其中一篇探討事件 ID：516 (由 VSE 產生) 的文章。每一篇文章都涵蓋不同的原因且包含不同的解決方案。

重要事項：事件 516 並非代表 VirusScan Enterprise (VSE) 產品的問題，而是與新 VSE 的安全功能有關。

事件 516 因正當的理由而發生，以提醒管理員 McAfee 程式碼可能已發生問題。如果已允許處理程序從 McAfee 處理程序的位址空間執行外部程式碼，則可能會規避部分「存取保護」規則，因為大部分「存取保護」規則都會信任 McAfee 處理程序。許多協力廠商應用程式使用這項技術為組織提供重要的功能。不過，[事件 ID] 也可能指出系統受到 Rootkit 型惡意程式碼感染，或是您正在執行具侵入性的協力廠商應用程式。

VSE 會在下列其中一種狀況發生時產生此事件：

所述處理程序載入的一或多個 DLL 檔案來自協力廠商 (非 McAfee 或 Microsoft)，且包含不受信任的代碼。
所述處理程序載入的 DLL 檔案來自 Microsoft (預期為受信任)，但信任驗證常式傳回錯誤。
McAfee Agent 載入特定 DLL 檔案，這些檔案未包含 VSE 8.8 進行檢查所需的 McAfee 簽章。

本文說明 McAfee Agent DLL 所造成的問題。

問題

「Windows 系統事件」記錄檔報告多個事件 ID 516 的項目。類似下列的項目會記錄到「Windows 系統事件」記錄檔中：

事件類型：警告
事件來源：mfehidk
事件類別：(256)
事件 ID：516
說明：
處理程序 **\VSTSKMGR.EXE pid (XXXX) 包含已簽署但不受信任的代碼，但是允許使用 McAfee 驅動程式執行特殊權限的作業

在某些系統上，每隔幾分鐘就會記錄事件。

用戶端上沒有其他徵狀的報告。

重要事項：VSE 功能與效能不受影響。

系統變更

安裝 VSE 8.8 或 8.7i 含 Patch 5 (重新張貼)。

原因

此事件發生於 McAfee Agent 載入某些 DLL 檔案時。這些程式庫 (cryptocme2.dll 或 ccme_base.dll) 未包含 VSE 8.8 進行檢查所需的必要 McAfee 簽章。此情況已在較新的 McAfee Agent 版本中獲得解決。

解決方案

識別 - 疑難排解
這是識別其他可能原因及提供解決方案的必要步驟。

瞭解您的環境為什麼會發生此事件 - 可能是惡意軟體。
1. 檢閱事件 ID 以判斷牽涉其中的處理程序。最常見的是 VSTSKMGR.EXE，如〈問題〉一節所述。其他處理程序名稱包括 MCSHIELD.EXE 和 SVCHOST.EXE。
  識別個別 DLL 和擁有的應用程式中將本身載入該處理程序的檔案。
2. 1. 從 http://technet.microsoft.com/en-us/sysinternals/bb896653 下載 Microsoft 處理程序總管
  2. 在發生事件 516 的電腦上執行 [處理程序總管] 工具 procexp.exe。
  3. 從 [處理程序總管] 主功能表按一下 [選項]，並選取 [驗證影像簽章]。
  4. 從主功能表按一下 [檢視]，並選取 [顯示下方窗格]。
  5. 按一下 [檢視]、[下方窗格檢視]，並選取 [DLL]。
  6. 按一下 [檢視]，[選取欄]。
  7. 在新視窗中按一下 [DLL] 標籤，並選取 [驗證的簽署者]，然後按一下 [確定]。
  8. 在上方窗格中，展開 winnt.exe、服務，並向下捲動，然後選取 VsTskMgr.exe。
    
    現在下方窗格會顯示針對 VsTskMgr.exe 處理程序載入的所有 DLL。
  9. 在下方窗格中按一下 [驗證的簽署者] 欄，以組織 DLL。這樣就可將任何未簽署的 DLL 分組為 [無法驗證]。
  10. 檢查 DLL 清單中的非 McAfee 和非 Microsoft 檔案 (忽略 WscAv.dll 檔，它也屬於 McAfee 檔案)。
  11. 如果您未看見不受信任的協力廠商應用程式的 DLL，請按一下 [檔案]、[儲存]，並另存為文字檔。提供文字檔給 McAfee 支援以便提供協助。如需連絡詳細資料，請參閱此文章的〈相關資訊〉一節。
解決 McAfee Agent 問題
在 McAfee Agent 4.5 Patch 3 中，已解決這項和 cryptocme2.dll 及 ccme_base.dll 程式庫相關的問題。

McAfee 產品軟體、升級、維護版本和說明文件，可以在產品下載網站下載：http://www.mcafee.com/us/downloads/downloads.aspx。

附註：需要有效的授權號碼才能存取。 KB56057 提供更多產品下載網站的資訊以及部分產品的備用下載網站。
減少 Windows 系統事件記錄檔中的事件數目
此問題在 VSE 8.8 Patch 2 版本中獲得解決，您可以使用有效的授權號碼從 McAfee 下載網站取得。

修補程式為累計類型。因此，McAfee 建議您安裝最新版。

VSE 8.8 修補程式 14 是 ServicePortal「下載」標籤 (https://support.mcafee.com/downloads) 上出現的最新修補程式。

附註：VSE 8.8 修補程式 14 可為所有支援的 Windows 作業系統提供支援。

McAfee 產品軟體、升級、維護版本和說明文件，可以在產品下載網站下載：http://www.mcafee.com/us/downloads/downloads.aspx。

附註：需要有效的授權號碼才能存取。 KB56057 提供更多產品下載網站的資訊以及部分產品的備用下載網站。

附註：此行為原已在 VSE 8.8 Patch 1 Hotfix 625756 中獲得解決，但由於某些安裝問題以及與 McAfee Host Intrusion Prevention 代理程式發生衝突，因此修正程式已移除。VSE 8.8 Patch 1 Hotfix 735512 已取代上述修正程式解決這個問題。此修正程式已隨著 VSE 8.8 Patch 2 的推出而移除。

解決方案

如果上述解決方案未能解決此問題，請參考主要疑難排解文章 (KB71083) 中其他可能的解決方案。

免責聲明

本文內容源於英文。如果英文內容和翻譯有差異，請一律以英文內容為準。其中部分內容是使用 Microsoft 機器翻譯技術翻譯的。

受影響的產品

Known Issue/Product Defect
VirusScan Enterprise 8.8

語言：

下列為此文章的語言版本：

German
English United States
Spanish Spain
French
Italian
Japanese
Korean
Dutch
Portuguese Brasileiro
Chinese Simplified
Chinese Traditional

Knowledge Center

事件 ID：516，警告，處理程序 **\VSTSKMGR.EXE pid (XXXX) 包含已簽署但不受信任的代碼 (問題：McAfee Agent DLL)

環境

摘要

問題

系統變更

原因

解決方案

解決方案

相關資訊

免責聲明

受影響的產品

語言：

Title

Title

Knowledge Center

事件 ID：516，警告，處理程序 **\VSTSKMGR.EXE pid (XXXX) 包含已簽署但不受信任的代碼 (問題：McAfee Agent DLL)

環境

摘要

問題

系統變更

原因

解決方案

解決方案

相關資訊

免責聲明

受影響的產品

語言：

選擇所在地區

Title

Title