Entries tagged as McAfee

UPDATE und Lösung: McAfee Update 5958 legt Windows lahm

Ok, wir haben das Problem soweit in Griff.
Betroffen waren tatsächlich Windows XP SP3 Rechner mit McAfee 8.7 und deren Svchost.exe.
Eine einfache Wiederherstellung der Datei über die Reparaturkonsole der Windows XP CD brachte die Systeme wieder an den Start.
Nachfolgend die Reparaturanleitung:

1. Windows XP CD einlegen und den Rechner von CD booten
2. In der ersten Eingabeaufforderung "R" für Reparaturkonsole drücken
3. Im Prompt die Windows-Installation (i.d.R. "1") auswählen und das Adminkennwort eingeben - sofern eins vergeben wurde.
4. Danach eingeben: cd D:\I386 (sofern D:\ der Laufwerksbuchstabe des DVD-Laufwerks ist)
5. Der Pfad sollte danach D:\I386 lauten. An dieser Stelle nun eingeben: Expand svchost.ex_ C:\windows\system32 (sofern C:\windows\... Laufwerksbuchstabe und Pfad zur Windows-Installation sind)
6. Die Frage mit "ja" bestätigen ob die bestehende Datei "svchost.exe" überschrieben werden soll.
7. Abschließend kommt man per "exit" (ohne die "") aus der Konsole und macht einen Reboot.

Nach dieser Aktion fährt das System wieder ordnungsgemäß hoch.
Danach sollte man direkt ein Update von McAfee durchführen. Es ist bereits das Update 5959 verfügbar, in dem das Problem offenbar bereits gefixt wurde.



** UPDATE **

Heute morgen erhielten wir von McAfee noch folgende Lösung, die wir aber noch (noch) nicht getestet haben:

QUOTE:

Restoring SVCHOST.EXE on computers affected by DAT 5958
1. Start your computer in Safe Mode (When starting press F8 and pick Safe Mode).
2. Open My Computer.
3. Double-Click the C:\ drive.
4. Double-click Program Files.
5. Double-click McAfee.
6. Double-click VirusScan.
7. Delete the DAT folder.
8. Press the CTRL, SHIFT, and ESC keys at the same time to open Task Manager.
9. Click File and select New Task (Run)...
10. Type CMD and press Enter.
11. In the command prompt window type:

copy %systemroot%\system32\dllcache\svchost.exe %systemroot%\system32\


12. Press Enter.
13. After the copy is completed restart the computer.
14. After the computer restarts, right-click the M icon and manually check for an update to get the new DAT files



Zudem bietet McAfee ein SuperDAT Remediation Tool an, mit dem sich das Problem beheben lassen soll:


QUOTE:

McAfee has developed a SuperDAT remediation Tool to restore the svchost.exe file on affected systems.

Q: What does the SuperDAT Remediation Tool Do?
A: The tool suppresses the driver causing the false positive by applying an Extra.dat file in c:\program files\commonfiles\mcafee\engine folder. It then restores the svchost.exe by looking first in %SYSTEM_DIR%\dllcache\svchost.exe, if not present it will attempt a restore from %WINDOWS%\servicepackfiles\i386\svchost.exe, if not present it will attempt a restore from quarantine. After the tool is run, the machine needs to be rebooted.

Recommended Recovery SuperDAT Procedure
1. From a machine that has Internet access, locate and download the Recovery SuperDAT at http://download.nai.com/products/mcafee-avert/tools/SDAT5958_EM.exe and save it to portable media.
2. Take the portable media to each affected machine and run the tool. If you are not able to run the tool on the affected machine, boot in safe mode
3. Execute the Recovery SuperDAT tool
4. Reboot in normal mode
5. Use the product update to update to 5959

For additional FAQs and information, go to https://kc.mcafee.com/corporate/index?elq_mid=2373&elq_cid=267942&page=content&id=KB68780 which will remain up to date.

McAfee Update 5958 legt Windows-Rechner lahm

Seit heute 17:15 Uhr haben wir in unseren Büros bei einigen Windows-Rechner das Problem, dass diese nach einer Meldung runterfahren und neu starten. Danach ist die Taskleiste weg, sämtliche Netzwerkverbindungen werden nicht mehr angezeigt und eine ganze Reihe von Diensten lässt sich nicht mehr (neu) starten. Kurz darauf erhielten wir eine E-Mail seitens McAfee, dass es offensichtlich ein Problem mit dem Update 5958.0000 gibt.

Somit sei allen McAfee-Usern geraten erstmal keine Updates online zu beziehen, sondern noch einen Moment zu warten und sich im Internet, am besten auf der Website von McAfee, zu informieren.

Wenn ich weitere Infos diesbezüglich habe, werde ich sie hier posten.

**UPDATE**

Offenbar ist die SVCHOST.EXE betroffen, wodurch auch das Problem mit den Diensten und den Netzwerkverbindungen klar wird.
Das Problem scheint zudem wohl nur bei Rechnern mit XP SP3 aufzutreten.


Erste Infos hier:

CNET-Forum
Vistaheads
Sans.org

McAfee stuft Vista-Komponente als Trojaner ein

Heute morgen auf Winfuture.de gelesen:

QUOTE:
Die AntiVirus-Software aus dem Hause McAfee stufte am Montag eine Komponente des Betriebssystems Windows Vista fälschlicherweise als Trojaner ein. Schuld war ein fehlerhaftes Update, mit dessen Hilfe neue Schädlinge erkannt werden sollten.

In Folge dieses Fehlers wurde die Systemdatei conime.exe als passwortstehlender Trojaner eingestuft. Viele Anwender legten die betroffene Datei daraufhin in der Quarantäne ab oder löschten sie gar komplett. Welche Auswirkunegn dies auf das Betriebssystem hatte, ist nicht bekannt.


Am Dienstag wurde dann erneut ein Update veröffentlicht, mit dem McAfee diesen Fehler wieder beseitigte. Wie viele Anwender von diesem Problem betroffen waren, teilte das Sicherheitsunternehmen nicht mit.

In der Vergangenheit tauchten immer wieder Fälle auf, in denen eine Antivirus-Software unbedenkliche Programme als schädlich einstufte. Erst vor rund zwei Monaten unterlief McAfee ein ähnlicher Fehler. Damals wurde ein Plugin für Microsoft Office Live Meeting als Trojaner eingestuft und entsprechend entfernt.

Page 1 of 1, totaling 3 entries