De software update die antivirusbedrijf McAfee woensdagmiddag 21 april uitbracht, en die per abuis een essentieel Windows-systeembestand uitschakelt, is voorlopig alleen handmatig herstelbaar. Dat zegt beveiligingsadviseur Bart Schultink van 'McAfee-specialist' Medusoft. McAfee kwam vanochtend wel met een geautomatiseerde versie, die vanaf het netwerk uitrolbaar is. Deze tool moet alleen nog worden getest. De fabrikant zoekt organisaties die de tool willen testen.
De adviseur legt uit wat momenteel het probleem is: 'Machines die zijn beschadigd door de update blijven maar herstarten.'Dat maakt het heel moeilijk om ze vanuit het netwerk te repareren. Vaak is er niet genoeg tijd om het herstelbestand uit te voeren. Met gespecialiseerde beheersoftware van bijvoorbeeld Altiris is wel een deel van de machines op afstand te repareren.'
Maar dan nog is een deel van de machines momenteel niet op afstand te repareerbaar. 'Systeembeheerders moeten deze machines allemaal een bezoekje brengen, een DOS-venster openen en het rebooten onderbreken met het commando 'shutdown -a'. Vervolgens draait de beheerder het herstelbestand van McAfee, dat het Windows systeembestand svchost.exe terugzet, en de virusdefinitie van het w32/wecorl.a-virus zodanig aanpast, dat het niet meer svchost.exe onschadelijk maakt.'
Alleen Windows XP SP3-machine vatbaar
Een batch-bestand uitrollen dat hetzelfde doet vanuit het netwerk werkt niet, want timing is essentieel. 'De pc's die de problemen vertonen laten een aftelvenster zien, dat zestig seconden aftelt. Vanuit het netwerk is dat niet zichtbaar.'
Volgens Schultink zijn alleen Windows XP SP3-machines vatbaar voor het probleem. 'Dat heeft te maken met de hash value van het bestand. Die is voor XP SP3 net iets anders, waardoor de McAfee-update het systeembestand aanzag voor een virus.'
Testronde
McAfee kwam deze ochtend wel met een geautomatiseerde versie, die vanaf het netwerk uitrolbaar is. Deze tool moet alleen nog worden getest. 'McAfee zoekt naar kandidaten om de tool te testen' zegt verkoopdirecteur Erik Remmelzwaal. 'Klanten mogen ons aanschrijven (support@medusoft.eu), om aan deze testronde deel te nemen.'
REPARATIEINSTRUCTIES VOOR ZAKELIJKE KLANTEN
Stap 1: Download de Recovery SuperDAT van http://download.nai.com/products/mcafee-avert/tools/SDAT5958_EM.exe op een werkende computer en sla het op, op een draagbaar medium zoals een USB stick.
Stap 2: Start het getroffen systeem in Veilige Modus (Safe Mode). Dit doe je door tijdens het opstarten op F8 te drukken en te kiezen voor veilige modus.
Stap 3: Kopieer SDAT5958_EM.EXE vanaf de USB-stick naar het bureaublad.
Stap 4: Start SDAT5958_EM.exe vanaf het bureaublad.
Stap 5: Open 'Deze Computer' en navigeer naar to C:Program FilesMcAfeeVirusScan.
Stap 6: Verwijder de map genaamd 'DAT'.
Stap 7: Herstart de computer in de normale modus (dus zonder F8).
Stap 8: Na de herstart klik je met de rechtermuistoets op het McAfee-ikoontje en kies je voor handmatige controle op nieuwe DAT-bestanden om de meest recente versie te downloaden.
Wanneer de aangeboden procedures geen werkzame computer opleveren, neem dan contact op met McAfee, of met de computerleverancier.
Bron: McAfee-specialist Medusoft
@Stefan
Bedankt, je beschrijving voldoet aan de verschijnselen die ik hier nu ook aantref.
Ik heb de “svchost.exe’ terug kunnen plaatsen naar c:windowssystem32 nadat ik deze eerst heb opgezocht via het aloude Dos commando dir /s svchost.exe
bedankt.
We hadden in onze omgeving meer dan 700 computers die geinfecteerd waren.
We hebben meerdere opties bekeken en getest (waaronder een startup script via Group Policy). Het probleem is met name dat svchost.exe nodig is om netwerk verbindingen te maken en dit dus niet werkt.
Uit eindelijk hebben we de dat-files met een SCCM build task verspreid. Ook hebben we het svchost.exe bestand van de dllcache (c:windowssystem32dllcache) gekopieerd naar de systeemdirectory (C:windowssystem32). De gebruikers of support medewerkers moeten de computer starten in PXE (F12 tijdens opstarten) voor deze oplossing.
Voor deze methode moet je echter wel een beheersbare omgeving hebben, wij gebruiken SCCM. Of zoals al eerder is gepost een USB-drive methode gebruiken.
Success allemaal!
Check op http://www.bewired.nl het artikel over hoe McAfee ‘FAIL’ een nieuwe dimensie gaf en hoe je je PC kunt repareren.
Mijn PC starte nog wel op. Kon ook inloggen en programma’s starten. Alleen netwerk gerelateerde tools hadden problemen. Virusscan console opgestart -> In quarantine bestanden opgevraagd en svchost.exe weer terug gezet. Na de rebbot draait alles weer normaal.
McAfee niet te bereiken. Kopieren vanaf USB gaat niet. En op zaterdag is McAfee niet te berieken ook niet in deze turbulente tijden. Een telefoonnummer is niet te vinden, alles afgeschermd. Ik kom best wel uit een normaal probleem maar dit gaat mij tever. Een file die niet werkt en een promptopdracht die niet werkt. Waardeloos!
Dank zij een telefoontje van Medusoft waren wij er gelukkig snel bij en hebben de automatische update uitgezet, evenals de toegang tot het internet. Van de 1800 pc’s zijn er gelukkig maar 10 geraakt en snel hersteld.
Als ik hier zo de reacties zie, schrik ik nog het meest van de onwetenheid die er heerst over hoe Windows funktioneert en hoe je dingen kunt repareren als het fout gaat.
Eigenlijk in en in triest dat zelfs op een computerforum gebrek aan kennis troef is. Leren al die mensen met die dure certificaatjes dan helemaal niks meer?
Want dit keer is het McAfee die door een foutje problemen veroorzaakt, maar het kan natuurlijk allerlei oorzaken hebben. Een bestandssysteem mounten met een ander OS, het verwijderde bestand terugzetten van een willekeurige backup (!) locatie en voila het werkt weer. Tenzij je hele schijf encrypted is, dan wordt het wat lastiger…
Mosterd na de maaltijd van Mcafee…. Laat ze een fatsoenlijke oplossing aandragen zoals een bovenstaande reageerder meldde via PXE booten of via een bootable iso.
Maar nee ze komen met een netwerktooltje (wat eerst nog getest moet worden schijnbaar) terwijl je windows machines niet op het netwerk kunnen komen?
Als onze (+2500) licentie’s verlopen zijn, zullen we zeker overstappen naar een andere AV oplossing. Ik heb in mijn 15 jarige carriere nog nooit zo iets meegemaakt als dit, en dat de leverancier dan zegt van it’s ONLY a small percentage (0,5%) of pc’s affected dan zakt me de broek helemaal af wat een arrogantie!!!
Mijn computer doet sinds gisteren ook vreemd, sterk het gevoel dat dit ook te maken heeft met het probleem rondom McAfee, maar weet het dus niet zeker. Lees hierboven toevallig dat bij iemand de desktop in classic mode opstart, dat is bij mij ook het geval. Ik kan ook geen enkel bestand openen, krijg overal foutmeldingen en ook geen verbinding met internet mogelijk. Ik heb al geprobeerd belangrijke bestanden over te zetten op een externe harde schijf, maar zelfs zoiets pakt ie niet, dus waarschijnlijk pakt ie ook geen usb-stick. Zal dit idd met McAfee te maken hebben of heb ik een ander probleem? Ik ben totaal niet handig met pc’s, begrijp dus ook niet veel van bovenstaande verhalen. Maar hoe kan ik zonder internetverbinding en zonder usb-stick dit probleem oplossen?
Schandalig vind ik deze fout. Eerst een nieuwe versie voor 2010 kopen (59.99 euro) en ze staat er amper een maand op en het loopt verkeerd. Komt daarbij nog eens 75.00 euro herstellingskosten in de winkel om de pc weer in orde te krijgen. McAfee zal veel klanten verliezen, en ik ben er alvast één van. Mijn pc heeft nu een andere beveiliging, McAfee zal mijn pc niet meer om zeep helpen !