Windows システム イベント ログにイベント ID 514/516/519 の複数のエントリが記録される
製品 VirusScan Enterprise / McAfee AntiSpyware Enterprise Version 8.8
問題番号 VE12092601
環境

McAfee VirusScan Enterprise 8.8(パッチ 1 適用および未適用)
McAfee Agent 4.5 以降

サポートされるすべてのオペレーティング システムの詳細については、KB51109 を参照してください。

問題

Windows システム イベント ログに、以下の 1 つまたは複数のイベントに対して過度に多いエントリが含まれています。

イベントの種類: 警告
イベント ソース: mfehidk
イベント カテゴリ: (256)
イベント ID: 519
説明:
プロセス **\VSTSKMGR.EXE pid (###)は mfevtp サービスで有効にできず、マカフィー ドライバーを使用した特権による操作の実行からブロックされました。

イベントの種類:警告
イベント ソース:mfehidk
イベント カテゴリ:(256)
イベント ID:516
説明:
プロセス **\VSTSKMGR.EXE pid (###には署名済みの信頼されないコードが含まれていますが、マカフィー ドライバーを使用した特権による操作の実行を許可されました。

イベントの種類:警告
イベント ソース:mfehidk
イベント カテゴリ:(256)
イベント ID:514
説明:
プロセス C:\Program Files\McAfee\VirusScan Enterprise\ pid (###)は未署名または破損したコードが含まれており、マカフィー ドライバーを使用した特権による操作の実行からブロックされました。

一部のシステムでは数分ごとにイベントが記録されて、システム イベント ログが短時間で巨大化される場合があります。

クライアントではその他の症状は報告されていません。

重要: VSE の機能およびパフォーマンスには影響ありません。

システムの変更

VirusScan Enterprise(VSE)8.8 または VSE 8.8 パッチ 1 がインストール済み。

原因

重要:VirusScan Enterprise(VSE)製品を使用している場合、イベント 514/516/519 は問題を示しているわけではありません。これは、VSE の新しいセキュリティ機能に関連しています。

Events 514/516/519 は正当な理由で発生し、マカフィーの コードが操作された可能性があることを管理者に報告します。あるプロセスが、マカフィー プロセスのアドレス空間内で無関係なコードを実行することを許可されている場合、多くのアクセス保護ルールはマカフィー プロセスを信用しているため、アクセス保護ルールの一部が回避される可能性があります。多くのサードパーティ製アプリケーションがこのテクニックを使用して、有益な機能を組織に提供しています。しかし、これらのイベント ID はまた、システムがルート キットなどのマルウェアに感染していたり、信頼できないサードパーティ製アプリケーションが動作していたりすることを示している可能性もあります。

解決策

この問題は、VSE8.8パッチ2で解決しています。 VSE8.8パッチ2は、有効な契約番号をご使用いただきダウンロードサイトより入手可能です。

パッチは累積的修正プログラムです。従いまして、マカフィーは最新のパッチを適用することを推奨いたします。最新のリリース情報につきましては、KB51109を参照ください。

VSE8.8パッチ2はマカフィーダウンロードサイトから入手可能な最新のパッチです。

マカフィー製品のダウンロード、アップデートや資料の入手は、http://www.mcafee.com/us/downloads/downloads.aspx.のダウンロードページより。
ダウンロード方法につきましては、KB56057をご覧ください。

Note

この動作は、まず最初に VSE 8.8 パッチ 1 Hotfix 625756 で解決されましたが、一部のインストールでの問題や McAfee Host Intrusion Prevention エージェントとの競合によりこの HotFix は削除されました。この問題を解決するために VSE 8.8 パッチ 1 Hotfix 735512 を作成しました。VSE 8.8 パッチ 1 Hotfix 735512での修正はVSE 8.8 パッチ 2 リリース以降にも含まれます。

関連情報

各タイプのイベント発生に関するトラブルシューティングと解決方法については、以下を参照してください。

  • イベント ID:514 については、KB71812 を参照してください。
  • イベント ID: 516 については、KB71083 を参照してください。
  • イベント ID:519 については、KB73354 を参照してください。
製品拡張のリクエスト

以下の機能のいずれかが必要な場合は、Product Enhancement Request(PER)プロセスを使用してください。

  • 未署名ファイルの除外または無視を切り替える機能
  • 選択した未署名ファイルを除外または無視する(その他については引き続き警告を行う)機能
  • イベントに関する詳細情報(ファイル名、格納場所など)が必要な場合
  • サードパーティ製アプリケーションを信用するかどうかをユーザー インターフェースを使用して管理する機能

製品の今後のバージョンでこの機能の変更が必要な場合は、https://mcafee.acceptondemand.com/ にログインして Product Enhancement Request(PER)を送信することができます。

新規ユーザーとして登録するには、このページの上にある[Register to submit Product Enhancement Requests to McAfee]をクリックします。詳細については、KB60021 を参照してください。

掲載日 2012/09/26

サポート情報充実のためアンケートにご協力をお願いします。問題は解決しましたか?

  

目的の情報と異なる場合は、下記「キーワード検索」より再度検索いただく事をお勧めします。
製品・エンジンのサポート期間
プレインストール版製品・エンジンのサポート期間

・最新Q&A:過去1週間に掲載された項目を表示

情報解析ツール(MERTool)
自己診断ツール(MVT)
テクニカルサポートにお問い合わせいただく際にお使いください。

キーワード検索①〜③を入力して検索ボタンを押してください。
  • キーワード、または問題番号を入力(半角スペースでand検索可能)
      
  • 検索対象を選択 
  • 製品または製品群を選択