De software update die antivirusbedrijf McAfee woensdagmiddag 21 april uitbracht, en die per abuis een essentieel Windows-systeembestand uitschakelt, is voorlopig alleen handmatig herstelbaar. Dat zegt beveiligingsadviseur Bart Schultink van 'McAfee-specialist' Medusoft. McAfee kwam vanochtend wel met een geautomatiseerde versie, die vanaf het netwerk uitrolbaar is. Deze tool moet alleen nog worden getest. De fabrikant zoekt organisaties die de tool willen testen.
De adviseur legt uit wat momenteel het probleem is: 'Machines die zijn beschadigd door de update blijven maar herstarten.'Dat maakt het heel moeilijk om ze vanuit het netwerk te repareren. Vaak is er niet genoeg tijd om het herstelbestand uit te voeren. Met gespecialiseerde beheersoftware van bijvoorbeeld Altiris is wel een deel van de machines op afstand te repareren.'
Maar dan nog is een deel van de machines momenteel niet op afstand te repareerbaar. 'Systeembeheerders moeten deze machines allemaal een bezoekje brengen, een DOS-venster openen en het rebooten onderbreken met het commando 'shutdown -a'. Vervolgens draait de beheerder het herstelbestand van McAfee, dat het Windows systeembestand svchost.exe terugzet, en de virusdefinitie van het w32/wecorl.a-virus zodanig aanpast, dat het niet meer svchost.exe onschadelijk maakt.'
Alleen Windows XP SP3-machine vatbaar
Een batch-bestand uitrollen dat hetzelfde doet vanuit het netwerk werkt niet, want timing is essentieel. 'De pc's die de problemen vertonen laten een aftelvenster zien, dat zestig seconden aftelt. Vanuit het netwerk is dat niet zichtbaar.'
Volgens Schultink zijn alleen Windows XP SP3-machines vatbaar voor het probleem. 'Dat heeft te maken met de hash value van het bestand. Die is voor XP SP3 net iets anders, waardoor de McAfee-update het systeembestand aanzag voor een virus.'
Testronde
McAfee kwam deze ochtend wel met een geautomatiseerde versie, die vanaf het netwerk uitrolbaar is. Deze tool moet alleen nog worden getest. 'McAfee zoekt naar kandidaten om de tool te testen' zegt verkoopdirecteur Erik Remmelzwaal. 'Klanten mogen ons aanschrijven (support@medusoft.eu), om aan deze testronde deel te nemen.'
REPARATIEINSTRUCTIES VOOR ZAKELIJKE KLANTEN
Stap 1: Download de Recovery SuperDAT van http://download.nai.com/products/mcafee-avert/tools/SDAT5958_EM.exe op een werkende computer en sla het op, op een draagbaar medium zoals een USB stick.
Stap 2: Start het getroffen systeem in Veilige Modus (Safe Mode). Dit doe je door tijdens het opstarten op F8 te drukken en te kiezen voor veilige modus.
Stap 3: Kopieer SDAT5958_EM.EXE vanaf de USB-stick naar het bureaublad.
Stap 4: Start SDAT5958_EM.exe vanaf het bureaublad.
Stap 5: Open 'Deze Computer' en navigeer naar to C:Program FilesMcAfeeVirusScan.
Stap 6: Verwijder de map genaamd 'DAT'.
Stap 7: Herstart de computer in de normale modus (dus zonder F8).
Stap 8: Na de herstart klik je met de rechtermuistoets op het McAfee-ikoontje en kies je voor handmatige controle op nieuwe DAT-bestanden om de meest recente versie te downloaden.
Wanneer de aangeboden procedures geen werkzame computer opleveren, neem dan contact op met McAfee, of met de computerleverancier.
Bron: McAfee-specialist Medusoft
Na een dag en avond troubleshooten het volgende ontdekt: Wat in een keer goed werkt en ook nog eens zonder techie-gedoe is het gebruik van de Norton Save and Restore 2.0 opstart cd. In de drive en ziedaar een volledig normaal functioneren! Bedankt Symantec, you’re the best!
Wij gebruiken ook McAfee op het werk en hebben tot nu toe maar 2 pc’s gehad in ons netwerk die last hebben gehad. Da’s inderdaad de genoemde 0,5% (op 400 pc’s – vrijwel allemaal Windows XP UK SP3, enkelen nog SP2). Maar goed, ik heb wel vrijwel gelijk actie ondernomen na geïnformeerd te zijn door Medusoft (dus 5958 verwijderd uit ePO, updaten uitgezet en de EXTRA.DAT ingecheckt). Ondanks dat zijn er zeker PC’s geweest die de update wel hebben gehad, maar dat heeft geen effect gehad.
Daarnaast, ik denk dat dit probleem heel snel is op te lossen dmv een BartPE CD, wat tot een ieders standaard uitrusting zou moeten behoren. Medusoft heeft ook zo’n disk beschikbaar gesteld aan haar klanten, die dit automatisch zou moeten fixen (maar die heb ik niet nodig gehad dus).
“Alleen windows Xp met SP3 is vatbaar”. Die titel suggereert dat slechts een klein deel van de computers getroffen kan worden door deze enorme blunder van McAfee. De waarheid is echter dat juist de meerste computers van windows Xp met SP3 zijn voorzien.
Weet iemand of de update nog steeds automatisch wordt geinstalleerd? Ik wil namelijk een ghost terugzetten, maar als ik die rommel dan wederom binnenkrijg….kan ik weer opnieuw beginnen.
Volgens mij heeft McAfee de uodate aangepast. Lijkt me ook wel logisch, want als je deze na het recoveren weer binnenhaalt blijf je bezig. Dat zal McAfee ook wel weten denk ik 🙂 Ik kan het alleen even niet zo snel vinden op hun (Nederlandse) site. (Of ik moet scheel kijken, het is maandag) Weer een gemiste kans van hen om dat, vergezeld van een welgemeende excuses, prominent op hun website te zetten.
Wat is dat eigenlijk, een virusscanner?!