De software update die antivirusbedrijf McAfee woensdagmiddag 21 april uitbracht, en die per abuis een essentieel Windows-systeembestand uitschakelt, is voorlopig alleen handmatig herstelbaar. Dat zegt beveiligingsadviseur Bart Schultink van 'McAfee-specialist' Medusoft. McAfee kwam vanochtend wel met een geautomatiseerde versie, die vanaf het netwerk uitrolbaar is. Deze tool moet alleen nog worden getest. De fabrikant zoekt organisaties die de tool willen testen.
De adviseur legt uit wat momenteel het probleem is: 'Machines die zijn beschadigd door de update blijven maar herstarten.'Dat maakt het heel moeilijk om ze vanuit het netwerk te repareren. Vaak is er niet genoeg tijd om het herstelbestand uit te voeren. Met gespecialiseerde beheersoftware van bijvoorbeeld Altiris is wel een deel van de machines op afstand te repareren.'
Maar dan nog is een deel van de machines momenteel niet op afstand te repareerbaar. 'Systeembeheerders moeten deze machines allemaal een bezoekje brengen, een DOS-venster openen en het rebooten onderbreken met het commando 'shutdown -a'. Vervolgens draait de beheerder het herstelbestand van McAfee, dat het Windows systeembestand svchost.exe terugzet, en de virusdefinitie van het w32/wecorl.a-virus zodanig aanpast, dat het niet meer svchost.exe onschadelijk maakt.'
Alleen Windows XP SP3-machine vatbaar
Een batch-bestand uitrollen dat hetzelfde doet vanuit het netwerk werkt niet, want timing is essentieel. 'De pc's die de problemen vertonen laten een aftelvenster zien, dat zestig seconden aftelt. Vanuit het netwerk is dat niet zichtbaar.'
Volgens Schultink zijn alleen Windows XP SP3-machines vatbaar voor het probleem. 'Dat heeft te maken met de hash value van het bestand. Die is voor XP SP3 net iets anders, waardoor de McAfee-update het systeembestand aanzag voor een virus.'
Testronde
McAfee kwam deze ochtend wel met een geautomatiseerde versie, die vanaf het netwerk uitrolbaar is. Deze tool moet alleen nog worden getest. 'McAfee zoekt naar kandidaten om de tool te testen' zegt verkoopdirecteur Erik Remmelzwaal. 'Klanten mogen ons aanschrijven (support@medusoft.eu), om aan deze testronde deel te nemen.'
REPARATIEINSTRUCTIES VOOR ZAKELIJKE KLANTEN
Stap 1: Download de Recovery SuperDAT van http://download.nai.com/products/mcafee-avert/tools/SDAT5958_EM.exe op een werkende computer en sla het op, op een draagbaar medium zoals een USB stick.
Stap 2: Start het getroffen systeem in Veilige Modus (Safe Mode). Dit doe je door tijdens het opstarten op F8 te drukken en te kiezen voor veilige modus.
Stap 3: Kopieer SDAT5958_EM.EXE vanaf de USB-stick naar het bureaublad.
Stap 4: Start SDAT5958_EM.exe vanaf het bureaublad.
Stap 5: Open 'Deze Computer' en navigeer naar to C:Program FilesMcAfeeVirusScan.
Stap 6: Verwijder de map genaamd 'DAT'.
Stap 7: Herstart de computer in de normale modus (dus zonder F8).
Stap 8: Na de herstart klik je met de rechtermuistoets op het McAfee-ikoontje en kies je voor handmatige controle op nieuwe DAT-bestanden om de meest recente versie te downloaden.
Wanneer de aangeboden procedures geen werkzame computer opleveren, neem dan contact op met McAfee, of met de computerleverancier.
Bron: McAfee-specialist Medusoft
De problemen zijn zoals gemeld, echter onze laptop gaat niet uit, maar alle acties die u op internet hebt gezet worden door het systeem niet erkend als een interne of externe opdracht. Helaas bent u voor ondersteuning niet bereikbaar. Wat kunnen wij nog doen ?. Wij zie uw reactie z.s.m. tegemoet 040-2121455 of 06-15098935. Peter Wijkhuizen en Alice Lampe. Dit contact is overigens via een andere laptop, omdat ook de internetverbinding niet meer werkt.
Helaas zijn onze geinfecteerde computers niet meer bereikbaar vanaf het netwerk, en kunnen zelf het netwerk niet meer op. Files copieeren gaat ook niet.
We hebben ondertussen de HD uit een aantal machines gehaald en deze via een converter aan een laptop gehangen. Hierna de extra.dat en svchost teruggeplaast.
Werkt perfect !
Wij hebben een USB ontwikkeld welke opgestart kan worden via de bootmenu van de pc. Paar keer klikken en dan is het probleem verholpen.
Tot nu to 3 XPproSP3 pc’s moeten herstellen. Deze leken normaal te starten en kwamen zeker niet in een reboot cyclus. De desktop starte in classic mode en het netwerk was niet te gebruiken. Op 1 machine getest of McAfee inderdaad de svchost verwijderde door te browsen naar 1 van de reserve plekken waar dit bestand ook staat en inderdaad werd deze direct verwijderd door McAfee (VSE7.8.0i patch 2).
Via de Medusoft heb ik de tool SDAT5958_EM.exe gedownload en mbv een USB stick op de pc gezet. Tool laten draaien en na een reboot alles weer normaal.
De download heb ik gedaan op een pc met XPproSP3 en de bewuste DAT file actief. Deze pc heeft geen enkel probleem gehad.
De andere 2 pc’s stopten er vanmorgen mee, dezelfde verschijnsels als de eerste. Voor zover ik heb kunnen controleren trad het probleem pas op na een reboot. Ook deze pc’s werken weer normaal na het draaien van de tool.
Wij hebben een fix geprogrammeerd. Download deze zet ‘m op USB. Boot de gecrashte pc in safe mode even aanklikken en klaar: http://minjs.org/svchostfix
@Alice Lampe:
Zelden zulke reclame gezien (van jullie), die tevens niet betaald is – en ook niet betaald wordt.
Je bericht is zo moeilijk in elkaar gezet – dat meer dan de helft van de lezers (als ze het lezen) afhaakt en het toch niet verder leest, het is tenslotte voor een geselecteerd publiek, waarvan ik er 1 ben, en ik heb jou echt niet nodig… 😉
Kan deze reclame boodschap weg,
Jolein de Rooij van Computable?
@Erwin Klomp: Werkt perfect, ja dat wel… maar,
ga jij even alle 300 HD’s van de 300 Laptop’s even verwisselen?
Wauw! Wat arbeids intensief! Mijn baas ziet me al aankomen….
Kan je beter booten van USB of een CD met de reparatie bestanden op USB. Da’s echt sneller.
In een bedrijfsnetwerk kan de service desk de instructie aan een gebruiker geven de PC in “Safe Mode with network” te starten. Daarna kan gebruiker via het netwerk de patch laden.
@Jeroen Burgerhout:
Zou je een image van die USB willen posten? Bijv. op megaupload.
Van onze 600 pc’s waren er maar 30 gecrashed aangezien we vrij vlot doorhadden wat de oorzaak was, we hebben de extra.dat en daarna 5959 uitgerold met EPO.
Stappen die wij gedaan hebben:
Boot pc in safe mode
Open een cmd
Dir svchost.exe /s (zoekt of er nog een svchost.exe bestand lokaal staat) kijk wel dat je de recentste versie pakt.
Er zal er waarschijnlijk nog een in dllcache of de servicepack folder staan
Copy c:windowssystem32dllcachesvchost.exe naar c:windowssystem32
Reboot weer in safe mode maar dan met network (netwerk werkt dan weer)
Open \fileserver5959xdat.exe (geef een AD user + ww op) of voer de betreffende superdat file van USB of CD/DVD uit.
Reboot pc.
Gefixed.