Try our new Certificate Revocation List Check Tool
CRLcheck.exe is a tool developed to verify digital signatures of executable files. It collects files from known paths on your client, checks their signature, and checks Certificate Revocation Lists (CRL) and OCSP download. This helps avoid delays in launching files.
Category published:  Deployment Mcafee/Trellix Uncategorized VSE | VirusScan Enterprise   Click on the Category button to get more articles regarding that product.

Behebung Fehler Mcafee VSE 8.8 SP2 TRUST beim Scannen und Event 516 crypt32.dll

Posted by admin on 02.09.2013

Dieses Dokument beschreibt wie man Mcafee Event516 oder Untrusted Fehlermeldung beheben kann.

Fehlermeldung:

scan32.exe – Ungültiges Bild
scan64.exe – Ungueltiges Bild

Versionen:

 

* Client Windows 7 64BIT SP1, German Language

* Mcafee VSE 8.8 P2 with HF Post SP2 (8.8.0.975 BUILD 14.08.2012)

* DAT 7180.0000

* Framework 4.8.0.887

* EPO 4.6

 

Der Fehler tritt unter Patch 3 nicht auf. Patch 3 ist jedoch fuer Windows 7 und Server 2012. Nicht fuer Windows 7 > Achtung!

 

Files die Fehler machen:

c:\progra~2\netinst\NiAMH.DLL (Enteo Frontrange 32BIT)
c:\progra~2\Citrix\ICACLI?1\RSHOOK.DLL (Citrix 32BIT)
c:\program files\Immidio\Flex Profiles\Flexhook32.dll (Immidio Flex Profiles 32BIT)
c:\progra~2\netinst\NiA64.DLL (Enteo Frontrange 64BIT)
c:\program files\Immidio\Flex Profiles\Flexhook64.dll (Immidio Flex Profiles 32BIT)

 

Mcafee KB Links:

https://kc.mcafee.com/corporate/index?page=content&id=KB74176

https://kc.mcafee.com/corporate/index?page=content&id=KB74174

Hunderte von Mcafee Foren Beiträge zu den Events und auch selber vorher nie gelöst 😉

https://community.mcafee.com/thread/32189?start=90&tstart=0

https://www.butsch.ch/post/Mcafee-VSE-Event-516-mfehidk-ir-Crypt32-on-Windows-XP.aspx

 

 

 

Dies war der Fehler nebst all den Event Einträgen 516

Event ID: 516, Warning, Process **\VSTSKMGR.EXE pid (XXXX)

contains signed but untrusted code (issue: third-party application DLL)

 

 

Warum ist dies passiert?

Der Mcafee VSE hat ein Cache dieser soll verhindern, dass jedes File tausend Mal am Tag neu gescannt wird. Neu ist, dass der Cache auch Reboot überlebt. Daher ist Mcafee ab der Version 8.8 nicht mehr langsam nach einem Neustart.

Warum kommt der Fehler nach einem Reboot immer noch?

Im Cache sind JETZT noch die falschen untrusted DLL von Citrix, Immidio und Enteo. Diese fallen nach einiger Zeit raus. Mcafee selber weiss nicht wann und wie schnell. Falls jemand dies umgehend lösen will gibt es unten eine Anleitung.

Schuld ist nicht Mcafee sondern Entwickler, welche Ihre HOOK API DLL nicht mit einem teuren Certificate Signieren lassen sondern selber was basteln oder ein billiges Certificate nehmen. Die API Interface / Schnittstellen bleiben ein Streitpunkt zwischen den Herstellern.

Wie kann man dies lösen?

How to trust a third-party application

  1. Obtain the signature file.
    1. Right-click the third-party DLL file (or any of the third-party application signed files) and select Properties.
    2. Click the Digital Signatures tab.
    3. Select the appropriate digital signature from the Signature list.
    4. Click Details, View Certificate.
    5. Click the Details tab, then click Copy to File.
    6. Complete the Certificate Export Wizard and note where you save the .cer file. McAfee recommends that you accept the default wizard options, with the exception of the file path. 
       
  2. Import a copy of the product’s digital certificate into the McAfee Trust certificate store.
    1. Contact McAfee Support. See the Related Information section for the contact details.
    2. Provide the .cer file you want to add.
      McAfee Support will provide an executable package to add the certificate to the McAfee Trust certificate store.
    3. Run the executable provided by McAfee Support. (Steps to do so via ePolicy Orchestrator will be provided by McAfee Support.)
    4. Click Tools, General Options, Global Scan Settings and deselect Enable saving scan data across reboots, then click Apply, OK.
    5. Restart your computer. This is necessary for the certificate store changes to take effect.
    6. Click Tools, General Options, Global Scan Settings and select Enable saving scan data across reboots, then click Apply, OK.

After these steps the Event 516 will no longer occur for the newly trusted third-party application.

NOTES:
For more advanced users, there are other methods to update the certificate store:

 

Wie kann man den Certificate Export fuer Mcafee machen:

Rechts Klick auf die besagte DLL:

 

 

Diese sind z.B. die Files welche durch das “In Datei kopieren” generiert werden. Ein Case bei Mcafee eröffnen und diese dann Mcafee senden. Bezug auf KB74176 (https://kc.mcafee.com/corporate/index?page=content&id=KB74176) nehmen im Ticket.

 

 

c:\progra~2\netinst\NiAMH.DLL (32BIT)
c:\progra~2\Citrix\ICACLI?1\RSHOOK.DLL (32BIT)
c:\program files\Immidio\Flex Profiles\Flexhook32.dll (32bit)
c:\progra~2\netinst\NiA64.DLL (64BIT)
c:\program files\Immidio\Flex Profiles\Flexhook64.dll (32bit)

Folgende Files sind neu “Trusted” und durch Mcafee für uns signiert worden

 

 

Falls Mcafee alles richtig macht bekommt man nach einigen Tagen ein SUPERDAT file:

Setup_4-3355773632.exe

 

Dieses mit Deployment verteilen oder mit dem EPO Server (Einchecken als Superdat).

 

Andere Infos zum Case:

3rdParty1.cer (Hersteller 1)
3rdParty2.cer (Hersteller 2)
3rdParty3.cer (Hersteller 3)
Certmgr.exe (Mcafee’s Certificate Manager)

Das ganze ist in einem selbstausführenden Executable Paket verpackt. Er entpackt die Sachen temporär ins C:\Program Files (x86)\McAfee\VirusScan Enterprise und integriert der Certificates dann mit certmgr.exe FILENAME.CER.

Files welche im SUPERDAT sind welches man von Mcafee erhält

 

 

Wie kann man den Mcafee File Cache FORCED löschen.

 

 

Reboot

Testen ob Fehler noch kommt

Bitte den Haken nach dem Reboot wieder aktivieren sonst ist Mcafee langsam!


 Category published:  Deployment Mcafee/Trellix Uncategorized VSE | VirusScan Enterprise   Click on the Category button to get more articles regarding that product.