De software update die antivirusbedrijf McAfee woensdagmiddag 21 april uitbracht, en die per abuis een essentieel Windows-systeembestand uitschakelt, is voorlopig alleen handmatig herstelbaar. Dat zegt beveiligingsadviseur Bart Schultink van 'McAfee-specialist' Medusoft. McAfee kwam vanochtend wel met een geautomatiseerde versie, die vanaf het netwerk uitrolbaar is. Deze tool moet alleen nog worden getest. De fabrikant zoekt organisaties die de tool willen testen.
De adviseur legt uit wat momenteel het probleem is: 'Machines die zijn beschadigd door de update blijven maar herstarten.'Dat maakt het heel moeilijk om ze vanuit het netwerk te repareren. Vaak is er niet genoeg tijd om het herstelbestand uit te voeren. Met gespecialiseerde beheersoftware van bijvoorbeeld Altiris is wel een deel van de machines op afstand te repareren.'
Maar dan nog is een deel van de machines momenteel niet op afstand te repareerbaar. 'Systeembeheerders moeten deze machines allemaal een bezoekje brengen, een DOS-venster openen en het rebooten onderbreken met het commando 'shutdown -a'. Vervolgens draait de beheerder het herstelbestand van McAfee, dat het Windows systeembestand svchost.exe terugzet, en de virusdefinitie van het w32/wecorl.a-virus zodanig aanpast, dat het niet meer svchost.exe onschadelijk maakt.'
Alleen Windows XP SP3-machine vatbaar
Een batch-bestand uitrollen dat hetzelfde doet vanuit het netwerk werkt niet, want timing is essentieel. 'De pc's die de problemen vertonen laten een aftelvenster zien, dat zestig seconden aftelt. Vanuit het netwerk is dat niet zichtbaar.'
Volgens Schultink zijn alleen Windows XP SP3-machines vatbaar voor het probleem. 'Dat heeft te maken met de hash value van het bestand. Die is voor XP SP3 net iets anders, waardoor de McAfee-update het systeembestand aanzag voor een virus.'
Testronde
McAfee kwam deze ochtend wel met een geautomatiseerde versie, die vanaf het netwerk uitrolbaar is. Deze tool moet alleen nog worden getest. 'McAfee zoekt naar kandidaten om de tool te testen' zegt verkoopdirecteur Erik Remmelzwaal. 'Klanten mogen ons aanschrijven (support@medusoft.eu), om aan deze testronde deel te nemen.'
REPARATIEINSTRUCTIES VOOR ZAKELIJKE KLANTEN
Stap 1: Download de Recovery SuperDAT van http://download.nai.com/products/mcafee-avert/tools/SDAT5958_EM.exe op een werkende computer en sla het op, op een draagbaar medium zoals een USB stick.
Stap 2: Start het getroffen systeem in Veilige Modus (Safe Mode). Dit doe je door tijdens het opstarten op F8 te drukken en te kiezen voor veilige modus.
Stap 3: Kopieer SDAT5958_EM.EXE vanaf de USB-stick naar het bureaublad.
Stap 4: Start SDAT5958_EM.exe vanaf het bureaublad.
Stap 5: Open 'Deze Computer' en navigeer naar to C:Program FilesMcAfeeVirusScan.
Stap 6: Verwijder de map genaamd 'DAT'.
Stap 7: Herstart de computer in de normale modus (dus zonder F8).
Stap 8: Na de herstart klik je met de rechtermuistoets op het McAfee-ikoontje en kies je voor handmatige controle op nieuwe DAT-bestanden om de meest recente versie te downloaden.
Wanneer de aangeboden procedures geen werkzame computer opleveren, neem dan contact op met McAfee, of met de computerleverancier.
Bron: McAfee-specialist Medusoft
@Mark Peter:
Klopt we hebben ook alleen even “snel”een aantal key PC’s geupdate. Daarna zijn we na gaan denken hoe we de rest konden gaan doen. Dit is idd via een USB stick gegaan
@Kees,
Leuk advies maar dat gaat niet werken, al de benodigde netwerkservices, denk aan DHCP, Workstation etc draaien binnen het SVCHost.exe image, en die was nu net verwijderd door de McAfee update. Dus er valt niet zoveel te laden via het netwerk.
Je kunt ook een batch maken die de McAfee services uitschakelt, de extra.dat kopieerd, de svchost.exe terug zet en dan de services weer starten.
werkte hier prima.
Hmm… Waarom zijn er nu opeens 7 reacties verdwenen?
Graag uitleg.
@Mark Peter: Je eigen bericht is taalkundig helemaal een ramp en lezen kan je blijkbaar ook niet. Over geselecteerd publiek gesproken, daar hoor jij dus echt niet bij.
Ook ik heb van alles geprobeert.
Het enige wat werkte is recovery console.
Simpel en alles doet het weer.
deze beschrijving is ook te vinden bij mcafee.
Mijn pc is in ieder geval weer gerepareerd.
Ik hoop dat het voor de rest ook goed komt.
Overigens vindt ik het schandalig dat dit kan.
Wij krijgen de computer niet eens meer in de veilige modus opgestart. Komt er nu een complete fix van McAfee of van Microsoft?
Mijn computer (XP sp3) is ook al slachtoffer, al sinds woensdag… Helaas kan ik de tool niet via een usb of cdrom benaderen, ziet helaas de externe opslagmedia niet. Betreffende de verwijderde file is niet meer te vinden (in safemode). Wat moet ik nu doen?
Ik heb al een aantal pcs gefixt met dit probleem. Dit probleem is binnen 1 min aan te fixen maar het vervelende is dat Internet gewoon niet werkt op deze pcs dus je kan ze niet eens overpakken van afstand. Toch wel slecht van een virusscanner dat de update niet goed worden getest en worden uitgewerkt. Maar hierdoor is wel weer te zien hoe makkelijk belangrijke bestanden gewist kunnen worden en het systeem onklaar te maken is.
Allemaal heel lastig en hoe moet de leek dit nu oplossen? McAfee neemt de telefoon niet op..wat nu?
Wie heeft er een oplossing?