McAfee verwijdert essentieel Windows-bestand na fout in virusupdate

McAfee heeft de woede van klanten over zich afgeroepen nadat het bedrijf per abuis een foute virusupdate heeft verspreid. Systemen die worden voorzien van de update kunnen hierdoor beschadigd raken. De antivirusfabrikant heeft al een fix.

Volgens McAfee gaat het om update 5958 die woensdagmiddag is vrijgegeven. Systemen met de antivirussoftware van de fabrikant waarop de update is geïnstalleerd kunnen een BSOD krijgen of te kampen krijgen met willekeurige herstarts. McAfee adviseert logischerwijs de update niet te installeren als deze nog niet is geïnstalleerd en dan auto-update uit te schakelen.

McAfee heeft inmiddels een speciale pagina op zijn website ingericht waarop wordt bevestigd dat er een probleem met de laatste update is. Ook meldt het bedrijf een oplossing (mirror) te hebben ontwikkeld en geeft het instructies hoe deze oplossing, bestaande uit een zip-bestand, kan worden toegepast.

Op het forum van Tweakers.net melden bezoekers dat de problemen zich vanaf ongeveer 16.00 uur voordoen, waarbij de problemen beperkt lijken tot systemen met Windows XP SP3, al worden ook Windows 2000 en Windows Vista genoemd. Als gevolg van de foute update denkt de McAfee-software in het Windows-bestand svchost.exe het virus w32/wecorl.a te hebben ontdekt waarna deze in quarantaine wordt geplaatst of verwijderd. De machine herstart hierdoor, waarna het in een opstart-loop blijft hangen.

Het is niet bekend welke antiviruspakketten van de softwarefabrikant gebruikmaken van de bewuste update. Wat wel duidelijk is, is dat wereldwijd zowel consumenten als bedrijven door de fout zijn getroffen. Mogelijk zijn door de fout enkele tienduizenden pc's getroffen.

Door Wilbert de Vries

21-04-2010 • 20:53

333 Linkedin Whatsapp

Submitter: jerbro

Reacties (333)

333
315
139
8
1
10
Wijzig sortering
Ik ben net terug na een spoedoperatie op mijn werk.

171 pc's met problemen. De laatste update (5959) is nu aan het deployen.

Wel even zwaar schrikken moet ik zeggen.

Het rebooten van de pc's gebeurd één minuut na het inloggen (toch bij de pc's die ik voor me gehad heb). Als je snel een command prompt opent en "shutdown -a" typt stopt het aftellen. Dan heb je alle tijd om svchost.exe uit quarantaine te halen en te updaten.

[Reactie gewijzigd door Johan.B op 21 april 2010 22:50]

Zijn dat dan ook alle pc's?
Hier heeft pc (WinXP SP3) hele dag aan gestaan. Heb twee keer een melding gekregen dat er een update is geïnstalleerd en ik heb nu DAT-versie 5959. Oftewel 5958 heeft er ook opgestaan. Maar heeft dus niet tot problemen geleid. Instelling voor updates op automatisch.
Anoniem: 356435
21 april 2010 22:44
Het probleem is makkelijk te verhelpen.

Het probleem is dat ie het bestand svchost.exe als besmet ziet. Of het bestand is daarna verwijdert of in quarantaine gezet. Nu blijft ie steeds rebooten.

==/ Hieronder de uitleg voor het te verhelpen \==

- Haal de harde schijf eruit.
- Plaats de harde schijf in een andere Pc.
- Kopieër het bestand "svchost.exe" van die pc naar de hardeschijf
- Plaats de hardeschijf nu weer terug in de pc
- Herstart de pc in veilige modus zodat de virusscanner niet actief is (Als je weer doorstart naar OS dan ziet ie hetrbestand weer voor besmet aan en begint het van voor af aan )
- Verwijder de oude update van de virusscanner of installeer hem opnieuw indien nodig

Als u dit hebt gedaan herstart de pc opnieuw en laat hem doorstarten naar het OS (operating system) als het goed is, is het probleem compleet verholpen

Met vriendelijke groet,
Mick

[Reactie gewijzigd door Anoniem: 356435 op 21 april 2010 22:46]

Leuk de oplossing die je aandraagt, maar dan ben je als systeembeheer wel even zoet als het om 100den pc's gaat in je bedrijf.
Makkelijker is booten van een liev CD en het bestand terugplaatsen.
Anoniem: 302955
22 april 2010 10:19
Zelf heb ik het anders aangepakt. Een usb stick gepakt en daarop een svchost.exe en de extra.dat die gisteren beschikbaar was op mcafee. Batch bestandje aangemaakt zodat ik weinig hoef te tikken. Start de pc en start in veilige modus. Login als administrator, en run je scriptje. Thats all.

hier het voorbeeldje van het batch bestandje.
@ECHO OFF
Echo Mcafee Fix
e:
copy e:\engine\*.* "C:\Program Files\Common Files\Mcafee\Engine\"
copy svchost.exe "C:\windows\system32\"
shutdown -r -t 1

ipv de 60+ mb die bij mcafee op zn site staat ben je klaar met 40kb, scheeld ook weer tijd.
Wel een mooie scriptje.

Heb zojuist de problemen hier op kantoor opgelost met een ander script.

Grappig is dat ik bij alle pc's hier op kantoor geen USB sticks kon benaderen.

Gelukkig hebben we de ouderwetse CDROM nog. Dus mochten er andere mensen ook geen USB stick kunnen gebruiken..

Of je start op in je Vista PE omgeving van een WDS.
Ik zou zeggen, verander E:\ in alleen een slash om de root van de stick te gebruiken (de stick hoeft namelijkt niet altijd dezelfde letter te krijgen)

Om helemaal correct te zijn kun je C:\Program Files ook veranderen in %ProgramFiles% in geval van 64-bit windows (Ik weet niet of dit werkt, het kan zijn dat hij naar de 64-bit program folder moet of de 32-bit)

Ik heb niks getest, maar het zijn alleen suggesties voor als het niet werkt bij andere mensen.
Je scriptje zal niet voor elke versie van McAfee werken want de engine-map staat niet bij iedere versie op de door jou aangegeven plek.
Had dit probleem op ongeveer 20 systemen. Was redelijk snel te verhelpen door SDAT5957.exe te downloaden (op een systeem dat nog wel werkt, opslaan op USB) vanaf:

ftp://anonymous:user%40eu...l/pub/mcafee/sdat5957.exe

Daarna installeren vanaf USB met commando: SDAT5957.exe /f

Daarna de virusscan console openen en via de Quarantaine policy (of beleid) de file terugzetten (wecorl) terugzetten. Hiermee word de SVCHOST terug gezet.

Even opnieuw opstarten en klaar! Misschien was deze info overbodig...maar misschien toch nog iemand geholpen.
McAfee Elite partner Medusoft heeft een bootable-cd uitgebracht die het probleem automatisch zou moeten verhelpen: http://dl.dropbox.com/u/6344442/rollback.zip
Werkt helaas niet helemaal...

[Reactie gewijzigd door Kriebelkous op 22 april 2010 11:01]

McAfee has developed a SuperDAT remediation Tool to restore the svchost.exe file on affected systems.

Q: What does the SuperDAT Remediation Tool Do?
A: The tool suppresses the driver causing the false positive by applying an Extra.dat file in c:\program files\commonfiles\mcafee\engine folder. It then restores the svchost.exe by looking first in %SYSTEM_DIR%\dllcache\svchost.exe, if not present it will attempt a restore from %WINDOWS%\servicepackfiles\i386\svchost.exe, if not present it will attempt a restore from quarantine. After the tool is run, the machine needs to be rebooted.

Recommended Recovery SuperDAT Procedure
1. From a machine that has Internet access, locate and download the Recovery SuperDAT at http://download.nai.com/p...ert/tools/SDAT5958_EM.exe and save it to portable media.
2. Take the portable media to each affected machine and run the tool. If you are not able to run the tool on the affected machine, boot in safe mode
3. Execute the Recovery SuperDAT tool
4. Reboot in normal mode
5. Use the product update to update to 5959
Ik heb in ieder geval een oplossing gevonden om een door McAfee gesloopte computer te fixen, voor geïnteresseerden:

Double-click the M icon in your taskbar.
Click About. The DAT version is located in the VirusScan section.
Restoring SVCHOST.EXE on computers affected by DAT 5958
Start your computer in Safe Mode (When starting press F8 and pick Safe Mode).
Open My Computer.
Double-Click the C: drive.
Double-click Program Files.
Double-click McAfee.
Double-click VirusScan.
Delete the DAT folder.
Press the CTRL, SHIFT, and ESC keys at the same time to open Task Manager.
Click File and select New Task (Run)...
Type CMD and press Enter.
In the command prompt window type:

copy %systemroot%system32dllcachesvchost.exe %systemroot%system32


Press Enter.
After the copy is completed restart the computer.
After the computer restarts, right-click the M icon and manually check for an update to get the new DAT files.
Ik vraag me als ik zulke berichten lees toch welkens weer af of bedrijven wel een fatsoenelijke Q&A hebben bij updates zoals dit.
Ik vraag me als ik zulke berichten lees toch welkens weer af of bedrijven wel een fatsoenelijke Q&A hebben bij updates zoals dit.
Ik denk dat je de complexiteit van de materie enigzins onderschat. Een virusscanner grijpt noodzakelijkerwijs in in de normale werking van het besturingssysteem (anders zou het kwaadwillende applicaties ook geen beperkingen op kunnen leggen) en dan is het lastig uit te sluiten dat soms een legitieme applicatie per abuis geblokkeerd wordt.

Als dat een kritiek onderdeel van het systeem is, is dat natuurlijk heel vervelend, maar het is niet eenvoudig te ondervangen met (bijvoorbeeld) uitgebreider testen. Daarvoor zijn er simpelweg te veel mogelijke versies van Windows en bijbehorende drivers.

Er zal bij McAfee zeker aandacht besteed worden aan quality assurance (QA, niet Q&A trouwens) maar dat betekent op zichzelf niet dat incidenten als dit niet voor kunnen komen. Als het nu veel vaker voorkomt zou je van een structureel probleem kunnen spreken maar dat lijkt vooralsnog niet het geval te zijn.
Dat neemt niet weg dat dit niet goed getest is. Het lijkt me toch wel dat het een Requirement is dat het systeem geen essentiële (windows) bestanden in quarantaine mag zetten. Hier is gewoon op te testen.
Dat het onmogelijk is om alle combinaties OS/Drivers te testen ben ik met je eens, maar dit is geen driverspecifieke bug. Ik ga er toch vanuit dat een bedrijf als McAfee een vrij veel gebruikt OS als Windows XP toch wel test met hun pakket ......... |:(

Ik vind dit toch een vrij grove fout. :(
Anoniem: 47640
@PvtRasta21 april 2010 21:03
F-Secure :) of maak ik nu reclame
F-Secure gebruikt de engine van Kaspersky en volgens mij heeft Kaspersky (en daarmee neem ik aan F-secure ook) last gehad van dit fenomeen.
Ik heb al een aantal jaren F-Secure en nog nooit zo'n bizar probleem gehad zoals met AVC en nu MCaffee.
Anoniem: 263922
@Hakulaku21 april 2010 22:41
Het probleem bij mij met F-secure was dat het meer een open dag voor virussen was dan een hek om ze buiten te houden, zelfs norton vond zeker 500 infecties :O

Dat was nog in de tijd dat ik dacht dat norton goed was, heb nu avast 5 free antivirus, nergens last van, blokkeert alles tot nu toe en iedere dag n virus definition update, maar ze kunnen hier allang blij zijn dat de feedback van klanten schijnbaar zo goed is dat ze het probleem binnen 1 dag kunnen blokkeren :)
Tja, net als AVG en Mcaffee etc, jaren werkte ze perfect tot 1 klein foutje in de update sloop.. ofwel dit kan bij elk bedrijf gebeuren...
En zo zul je van elke pakket wel horen 'ik heb pakket x al jaren zonder problemen gebruikt'...
Anoniem: 47640
@Bor21 april 2010 21:42
Engine, niet de definities
Gebruik Avira al jaren, geen probs daarmee gehad tot nu toe.
Voor mensen die een legale Windows hebben is Microsoft Security Essentials ook een prima alternatief. Kost geen cent, licht en doet wat het moet doen.
Onze ervaring is echter wel dat die vrijwel altijd gedisabled wordt bij een infectie en dus netto vrij weinig doet t.o.v. bijv. mcafee waar dat minder makkelijk gaat.
Ik installeer overal Microsoft Security Essentials. Binnen een minuut geinstalleerd, en geen irritante en onnodige meldingen. Zou niet weten wat een betaald pakket voor toegevoegde waarde zou hebben.
Microsoft Security Essentials is voor zover ik weet niet centraal te beheren, dit is vaak wel een must in een groot netwerk..
Anoniem: 80466
@bertje22 april 2010 09:33
Daarvoor heeft MS dan ook MS Forefront wat in essentie een vergelijkbare desktop scanner heeeft maar ook veel andere features als het scannen van Exchange en Sharepoint servers
Persoonlijk wil ik McAfee ook niet op mijn systeem hebben draaien. Het is bijna even grote rotzooi als Norton :X
Ik heb na ellende met deze beide paketten (en andere) besloten om maar zonder virusscanner door het leven te gaan. Tja, dan maar gewoon géén virussen downloaden (gewoon goed nadenken vóórdat ik iets vertrouw)... en eerlijk gezegd kan ik best zonder ;)

Doe ik al jaren en heb op geen van mijn computers ooit problemen gehad wat dat betreft. Ik vind virusscanners over het algemeen té diep ingrijpen op het systeem, veel te irritant om de beveiliging waard te zijn... maargoed, da's mijn ervaring, en wellicht staat de computer waar ik nu achter zit wel via allerhande trojans mijn persoonlijke info op dit moment over het net te verspeiden, dus zie het vooral niet als advies... :P
ik zou maar even checken op een van de laatste threats dan... incognito.exe die mee draait met het systeem (ctrl shift escape --> Processen)

Overigens... zet dan iig ms security essentials erop... heb je iig nog 1 bepaalde detectie...

Iemand die weet of dit ooit bij NOD32 is gebeurt? Volgens mij niet...
Nope, die heb ik niet....


@RRRobert
En nee, ben ook niet echt goed wijs, daarom geef ik ook aan dat het iig niet als advies bedoelt is :P

Maar op een of andere manier gaat het al jaren goed eigenlijk....en na iets van 13 jaar op internet rondzwerven (en de nodige dubieuse websites bezocht te hebben :P ) ´proef´ ik soms wel wanneer er iets niet klopt... en een lichte virusscanner wil ik dan wel installeren. Die bekende namen als mcafee, norton, panda, avg etc leveren me altijd meer kopzorgen op dan dat ze wegnemen... plus dat ik (ivm 3d/video rendering) gewoon alle resources tot m´n beschikking wil hebben die ik heb.

Als ik voor iemand anders een computer bouw of OS installeer zorg ik wel voor de nodige beveiliging. Verbaas me af en toe behoorlijk wat voor meuk ik daarop terugvind na een half jaartje... ;)

Maargoed, ik zal dat microsoft spul eens een kans geven, vertrouw er wel op dat het niet de strijd aangaat met hun eigen OS...

[Reactie gewijzigd door Qualian op 22 april 2010 02:39]

Psst... Virussen gebruiken ook resources, als je computer allerlei trojans aan het verzamelen is gaat je performance ook achteruit.
Ooit een keer een traag geworden pc van familie zitten opschonen.. 150+ besmettingen.
Ik kan me inderdaad niet heugen dat dit ooit bij NOD gebeurd is.

Ik gebruik NOD nu al wat jaren, en naast dat het een hele lichte virusscanner is, heb ik het idee dat deze ook zeer betrouwbaar is. Het komt niet voor niets al jaren als één van de beteren uit de bus.

's kijken of we het bij het bedrijf kunnen uitrollen :)
Ik heb NOD32 (eset) ruim 2 jaar (legaal) draaien op 3 pc's en nog geen ellende meegemaakt.. en.. ze hebben snelle email helpdesk... ook niet onbelangrijk
No flame intended, maar je bent niet goed wijs, als je het mij vraagt. De laatste twee serieuze virusbesmettingen (trojans) die ik thuis opliep, 'kreeg' ik doordat er een besmette banner met een webpagina mee inlaadde. Niks geen surfen over dubieuze websites, het kwam in beide gevallen binnen via een nieuws website.

Er zijn genoeg 'lichte' virusscanners te vinden die gratis of tegen lage kosten de boel betrekkelijk veilig maken.
Als jij windows gebruikt (met name XP).
Dan heb jij virussen op je PC.
gegarandeerd...

Deze denkmethode werkte 5 jaar geleden. inmiddels hoef je alleen maar verbonden te zijn met internet om iets op te lopen (W32.blaster iemand?)
Thuis heb ik dualboot XP pro 64-bit/ Vista 64-bit, hier op m'n werk Win7 64-bit...
Nergens virusscanners (alhoewel hier op het netwerk wel iets zal draaien) alleen een zooi firewalls. Softwarematige firewall heb ik standaard uit staan. Beveiliging op IExplorer staat iets boven gemiddeld. Beveiligingsupdates voor windows houd ik wel altijd goed bij...

Ik gebruik mijn pc's vooral voor creatief werk en om te gamen (paketten als office gebruik ik maar héél zelden), iets waar makers van trojans (zolang ik er geen bakken met geld mee verdien tenminste :P) weinig interesse in zullen hebben, het zal weinig echt waardevolle en verwerkbare persoonlijke data opleveren... en werk dat ik zelf belangrijk vind zet ik sowieso in een back-up of online...

Dus tja, ik zet gewoon elke dag m'n computer aan, werk er op/gamen, nergens last van (hou processen in de gaten als het te langzaam gaat naar mijn zin) gaat enkele jaren achter elkaar goed (lang genoeg naar mijn idee) en als m'n OS onherstelbaar beschadigd raakt op wat voor manier dan ook (pech kun je altijd hebben), dan gooi ik er gewoon een nieuwe op. Kan sowieso geen kwaad af en toe...

Dus werkt mijn denkmethode? Nouja, in mijn geval moet het tegendeel nog bewezen worden, sorry :P
Op een of andere manier doe ik tegenwoordig toch echt véél langer met een installatie voordat ie 'gaar' is dan pak 'm beet 5 of 10 jaar geleden... :o
Het werkt best aardig, als je je systeem niet nodig hebt :+
Ben op m'n werk allemaal machines aan het configureren en installeren, en zet dan toch ff de virusscanner op pauze... Dat scheelt 20-50% van de processortijd, en dus mijn tijd!
och als je per uur betaald wordt zou ik em lekker aan laten staan :P

Maar vooral voor bedrijven is dit heel erg vervelend omdat er dan opeens een hoop pc's zijn die niet meer werken die toch 1 voor 1 met de hand weer gefixed moeten worden...
Inderdaad. McAfee disabled gewoon heel Windows.

Heel flauw misschien, maar ik heb met MSE toch echt een paar mooie opschoon acties gezien. Ik denk dat je het best serieus kan nemen, dat pakketje.
MSE is een goed systeem, beter dan McAfee in de meeste onafhankelijke tests. McAfee is echter binnen bedrijven misschien wat handiger ivm hun Policy gebeuren... wat vrij lastig te verwijderen is, zelfs als local administrator ... Maar wat natuurlijk uiteindelijk altijd lukt :)

Het enige van McAfee is vind ik alleen altijd wel dat het je pc enorm vertraagd.
Microsoft Security Essentials
Heb het altijd al grappig (of eerder triestig?) gevonden dat Microsoft security programma's aanbiedt om... haar eigen systeem veiliger te maken :P
Idd, opzich is het dat ook wel een beetje. Maar ik denk dat als ze al deze functionaliteit (of grote delen daarvan) in zouden bakken in het OS, dat McAfee en de zijnen bij de EU gaan aankloppen.
ik heb Trend Office scan, en die bevalt me (tot nu toe) hardstikke goed (en natuurlijk linux op m'n andere pc's)
Q&A = Questions & Answers
QA = Quality Assurance
Inderdaad. Zoiets moet er met de eerste de beste test toch meteen uitkomen? Gelukkig heb ik met m'n Windows 7 systeem er geen last van.
Er zijn bijna een oneindig aantal combinaties van software mogelijk. Het is onmogelijk om op alles te testen. De grote AV leveranciers zoals McAfee en Norton behoren zelfs tot de AV leveranciers die het meeste testen. Merk je ook in de statistieken, zij doen er gemiddeld een stuk langer over om bij een nieuw, gevaarlijk virus een update uit te brengen.
Vista zou er op zich ook geen last van mogen hebben, die beveiligd zijn systeembestanden ook.. zolang je de UAC maar aan laat staan :)
Vriend van me draait Windows7 en heeft er ook last van gehad. Heeft een systeemherstel gedaan en nu werkte het terug sort of, maar wist niet wat het was. Nu komt het dus aan het licht ;)
Lijkt me sterk want het probleem komt alleen voor op PCs met XP SP3. En ook pas sinds een uur of vijf vandaag.
Anoniem: 175233
@ymmv21 april 2010 22:58
Het artikel suggereert anders wel degelijk dat het ook Vista en W7 betreft... Alleen hebben die strictere security, en betere recovery tools, dus daar zullen mensen zich iets beter zelf kunnen helpen... Precies zoals bij die vriend dus is gebeurt.
Het artikel suggereert het, maar het is niet waar. Enkel XP SP3 is getroffen.
Then enlighten me. Waarom zou zijn probleem dan zijn opgelost door een systeemherstel? Lag het aan een Windows update? Tuurlijk..
Ik zou niet weten wat het anders is. Hij heeft een half jaar oude Vaio, en werkte tot nu toe perfect. Hij zei dat hij niets gedaan had buiten updates geïnstalleerd van windows en virusscanner (McAfee) en toen begon het systeem zich at random op te starten en kreeg hij BSOD meldingen.
Ik heb er met Windows 7 geen last van en ik heb vandaag wel alle updates binnengehaald.
Is het ook van toepassing op de Enterprise editions?
Ja. Juist Enterprise Editions omdat je via EPO zo makkelijk en snel de allerlaatste DAT-updates ogenblikelijk na verschijning al kunt verspreiden over je netwerk. In plaats van dat je 1 PC om zeep helpt, laat je honderden, zo niet duizenden PCs vastlopen.|
daarom testen wij altijd een klein groepje pc's, alvorens we het uitrollen over het gehele netwerk.
Ik denk dat die 'best practice' vanaf morgen ook bij ons zal worden ingevoerd.
Anoniem: 6153
@ymmv21 april 2010 23:57
Dat is een 'best practice' die je als een goede admin vanaf 'day one' hanteert ... Maar er zijn natuurlijk altijd (beheer)organisaties of individuen die dit niet inzien ( managers and/or admins ).
1 2 3 ... 13

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee