Loading...


ナレッジセンター


イベント ID: 516、警告、プロセス **\VSTSKMGR.EXE pid (XXXX) には、シグネチャ付きで信頼済みでないコードは含まれていません(トラブルシューティング)
技術的な記事 ID:  KB80937
最終更新:  2014/02/12

環境

McAfee VirusScan Enterprise 8.8
McAfee VirusScan Enterprise 8.7i with Patch 5 (再公開)
McAfee Agent 4.5 以降

 

概要

重要: イベント 516 は VirusScan Enterprise(VSE)製品の問題ではなく、VSE の新しいセキュリティ機能に関連しています。

イベント 516 は、適正な理由により、マカフィーのコードが改ざんされた可能性について管理者に警告するために発生しました。プロセスがマカフィー プロセスのアドレス空間内からの外部コードの実行を許可されている場合、ほとんどのアクセス保護ルールがマカフィー プロセスを信頼するため、一部のアクセス保護ルールを回避できます。サードパーティのアプリケーションの多くがこのテクニックを使用して、有益な機能を提供しています。しかし、これらのイベント ID はシステムがルートキット型のマルウェアに感染していること、またはユーザーが侵入型のサードパーティのアプリケーションを実行していることを示すこともあります。

次のいずれかが発生すると、VSE はこのイベントを生成します。

  • 上記のプロセスでロードされた 1 つまたは複数の DLL ファイルがマカフィーや Microsoft 以外のサードパーティのベンダーから提供されたもので、信頼されていないコードを含んでいる。
  • 上記のプロセスでロードされた DLL ファイルは Microsoft から提供されたファイル(信頼されたファイルであると予測される)であるが、信頼検証ルーチンがエラーを返す。
  • McAfee Agent が VSE 8.8 による検査に必要なマカフィーのシグネチャを含まない特定の DLL ファイルをロードする。

問題

Windows システム イベント ログがイベント ID 516 の複数のエントリを報告する。次のようなエントリが Windows システム イベント ログに記録されます。

イベント タイプ: 警告
イベント ソース: mfehidk
イベント カテゴリ: (256)
イベント ID: 516
日付: <Date>
時刻: <time>
ユーザー:  N/A
コンピューター: <name>
説明:
プロセス **\VSTSKMGR.EXE pid (XXXX) にシグネチャ付きで信頼済みでないコードが含まれますが、McAfee ドライバによる特権操作の実行が許可されました。
 

一部のシステムでは、数分ごとにイベントがログに記録されます。

クライアントのこのほかの症状は報告されていません。

重要: VSE 機能とパフォーマンスは影響を受けません。

原因

VSE は、上記のプロセスでロードされた 1 つまたは複数の DLL ファイルがマカフィーや Microsoft 以外のサードパーティのベンダーから提供されたもので、信頼されていないコードを含んでいるときにこのイベントを生成します。これは次のようなシナリオで発生する可能性があります。この問題の原因を判断するために、問題に関連するレポートを調査することを強くお勧めします。

現在のシナリオ:
  • サードパーティ アプリケーション(フック)
    サードパーティ アプリケーションが機能を提供するために、マカフィー プロセスにコードをフックまたは挿入するときに発生します。マルウェアではこのようなテクニックも使用します。マカフィーはこれらのサードパーティ プログラム(またはいわゆるマルウェア)を信頼しておらず、マカフィー プロセスが危険にさらされる可能性のあることを管理者に通知するイベントを生成します。

     
  • McAfee Agent
    McAfee Agent が特定の DLL ファイルをロードするときに発生します。これらのライブラリ(cryptocme2.dll または ccme_base.dll)には、VSE 8.8 による検査に必要な McAfee のシグネチャが含まれていません。 このシナリオは、McAfee Agent の新しいリリースで解決されます。

     
  • Microsoft 証明書ストアの更新が必要
    問題は Microsoft DLL ファイルが原因で発生することがあります。このファイルは信頼されたファイルであると予測されますが、信頼検証ルーチンが失敗を返します。これは、ファイルに対して応答がないときや有効な証明書がないときに発生します(これは MSI Installer 4.5.6001.22159MSI.dll で見られます)。

解決策

論理順でこれに対処するには、製品の専門家が提供する順序で次の記事の内容を実行してください。

記事
問題
McAfee Agent DLL(Hotfix)
サードパーティ アプリケーション(フック)
Microsoft 証明書ストアの更新が必要

このドキュメントを評価する

この記事によって問題が解決されましたか?

ご意見がありましたら以下にご記入ください

Beta Translate with

Select a desired language below to translate this page.