De geautomatiseerde netwerktool van McAfee waarmee beschadigde Windows XP SP3-pc's te repareren zijn, werkt slechts gedeeltelijk. Dat zegt McAfee-specialist Medusoft. Een deel van de systemen moet daardoor nog steeds door de systeembeheerder handmatig worden gerepareerd. McAfee kwam 23 april 2010 met een reparatietool om computers te herstellen die door een foutieve virusupdate van 21 april 2010 beschadigd waren geraakt.
'De automatische tool die McAfee heeft uitgebracht is een msi-bestand dat je vanuit Microsoft's beheertool Active Directory kunt uitrollen als group policy object', legt beveiligingsadviseur Bart Schultink uit. 'Het zorgt er vervolgens voor dat op elk systeem dat zich aanmeldt op het netwerk McAfee's reparatietool wordt geïnstalleerd. Voorwaarde voor het functioneren van deze tool is natuurlijk wel dat er een netwerkverbinding tot stand komt. Als die er is, dan is zo'n pc heel snel gerepareerd.'
'Het probleem is alleen dat de foutieve McAfee update van woensdag 21 april – die het Windows systeembestand svchost.exe onterecht aanziet voor de Trojan w32/wecorl.a – ervoor zorgt dat in een aantal gevallen de netwerkverbinding al direct niet meer beschikbaar is na het opstarten. Daardoor moet nog steeds dat deel van de systemen persoonlijk door de systeembeheerder met een usb-stick worden bezocht.'
Grotendeels opgelost
Desondanks heeft Schultink de indruk dat de meeste McAfee-klanten het probleem inmiddels onder controle hebben, en het overgrote deel van hun systemen gerepareerd hebben. 'We krijgen nog wel telefoontjes, maar die zijn vooral afkomstig van consumenten.'
McAfee heeft de automatische tool niet online beschikbaar gesteld. Zakelijke klanten kunnen de tool aanvragen via McAfee-support en via McAfee-leveranciers.
Reparatieinstructies voor zakelijke klanten
Stap 1: Download de Recovery SuperDAT van http://download.nai.com/products/mcafee-avert/tools/SDAT5958_EM.exe op een werkende computer en sla het op, op een draagbaar medium zoals een USB stick.
Stap 2: Start het getroffen systeem in Veilige Modus (Safe Mode). Dit doe je door tijdens het opstarten op F8 te drukken en te kiezen voor veilige modus.
Stap 3: Kopieer SDAT5958_EM.EXE vanaf de USB-stick naar het bureaublad.
Stap 4: Start SDAT5958_EM.exe vanaf het bureaublad.
Stap 5: Open 'Deze Computer' en navigeer naar to C:Program FilesMcAfeeVirusScan.
Stap 6: Verwijder de map genaamd 'DAT'.
Stap 7: Herstart de computer in de normale modus (dus zonder F8).
Stap 8: Na de herstart klik je met de rechtermuistoets op het McAfee-ikoontje en kies je voor handmatige controle op nieuwe DAT-bestanden om de meest recente versie te downloaden.
Wanneer de aangeboden procedures geen werkzame computer opleveren, neem dan contact op met McAfee, of met de computerleverancier.
Bron: McAfee-specialist Medusoft
Klopt inderdaad. Thuis waren 2 van de 3 XP PC’s een probleem. Gelukkig 1 Vista PC waardoor we nog op internet konden.
Beide probleem PC’s reageerden beide verschillend. De patches/oplossingen van McAfee werkten allemaal niet.
Uiteindelijk de svchost.exe van de niet besmette XP PC naar de probleem PC’s gekopieerd (wel via de command line) en vervolgens probleem opgelost.
Heeft me uiteindelijk voor slechts 2 PC’s in totaal diverse uren gekost.