[Update2] McAfee sloopt mogelijk duizenden pc’s

Sinds de nieuwste update van McAfee voor Windows XP komen er uit alle hoeken van de wereld klachten dat computers zichzelf afsluiten en andere rare dingen vertonen. Blijkbaar zorgt ‘DAT’-update 5958 ervoor dat het svchost.exe bestand als geïnfecteerd wordt gezien.

Doordat het svchost.exe bestand als geïnfecteerd wordt gezien krijgt de computer last van ongecontroleerd herstarten en verlies van internet en andere netwerk-mogelijkheden. Gisteren is de update op vele computers uitgevoerd en het lijkt dat ondanks het alleen om de zakelijke versie van McAfee zou gaan dat er ook vele consumenten getroffen zijn. Of die de zakelijke versie gebruiken is onbekend. McAfee heeft ondertussen de update offline gehaalt en een bericht rondgestuurd dat luidt als volgt:

"McAfee is aware that a number of customers have incurred a false positive error due to incorrect malware alerts on Wednesday, April 21. The problem occurs with the 5958 virus definition file (DAT) that was released on April 21 at 2.00 PM GMT+1 (6am Pacific Time).

Our initial investigation indicates that the error can result in moderate to significant performance issues on systems running Windows XP Service Pack 3.

The faulty update has been removed from McAfee download servers for corporate users, preventing any further impact on those customers. We are not aware of significant impact on consumer customers and believe we have effectively limited such occurrence.

McAfee teams are working with the highest priority to support impacted customers and plan to provide an update virus definition file shortly. McAfee apologizes for any inconvenience to our customers.".

Ondanks dit bericht zijn er ook al meldingen dat het probleem ook SP2 treft. McAfee heeft zelf ook een oplossing online gezet, maar er zijn alweer meldingen binnen dat die alleen werkt als je nog niet door het probleem getroffen bent.

De fix is in ieder geval hier te vinden.

Update:
Er is nu ook een oplossing te vinden voor de consumenten die last hebben van het probleem. Het probleem is dus niet alleen in de zakelijke versie te vinden. De oplossing kun je hier vinden.

Update 2:
Wie een oplossing zoekt voor de door McAfee veroorzaakte problemen, kan met een scareware infectie eindigen. Inmiddels grijpen ook cybercriminelen de problemen aan voor het verspreiden van nep-virusscanners. Wie op termen als McAfee, wecorl, svchost.exe en false positive zoekt, kan uiteindelijk op kwaadaardige pagina’s belanden die bezoekers via pop-ups laten geloven dat hun systeem besmet is.

"Dit is wel het laatste dat je wilt als je naar advies zoekt om een probleem met de andere computers in je bedrijf op te lossen", zegt Graham Cluley van het Britse anti-virusbedrijf Sophos. Ook de Amerikaanse virusbestrijder ESET ziet inmiddels scareware die van de problemen probeert te profiteren.

Ook is er nog een extra oplossing gevonden:

"1. Start the customer’s computer in Safe Mode. (When starting press F8 and pick Safe Mode)
2. Open My Computer
3. Double Click C:
4. Double Click Program Files
5. Double Click McAfee
6. Double Click VirusScan
7. Delete the DAT folder
8. Press Click Start>Run Type cmd and Click OK
9. In the command prompt window type CD\
10 Now type dir svchost.exe /s /b
11. The command will return the location of svchost files.
12. C:\Windows\ServicePackFiles\i386\svchost.exe is very common on XP so hopefully you find it there.
13. Once you find it copy it from that location to C:\Windows\system32
14. For example copy C:\Windows\ServicePackFiles\i386\svchost.exe c:\windows\system32
15. Once the file is copied reboot

Regel nummer 10 laat de directory zien waar de svchost file is deze kan verplaatst zijn en deze command laat zien waar deze file staat deze heeft al bij meerdere mensen geholpen!"