|
22-04-2010: IMPORTANT UPDATE! False Positive McAfee DAT5958
 |
Latest important update!
False-Positive Detectie in DAT 5958 (W32/Wecorl.a)
22-04-2010 10:05
Recommended Manual Recovery Procedure
using the Extra DAT where DAT 5958 is currently installed
http://vil.nai.com/vil/5958_false.htm?elq_mid=2370&elq_cid=316669
Use this manual procedure if our Boot CD doesn't work.
Latest important update!
False-Positive Detectie in DAT 5958 (W32/Wecorl.a)
22-04-2010 10:00
Usable starting from 1 PC.
McAfee has developed a SuperDAT remediation Tool to restore the svchost.exe file on affected systems.
Q: What does the SuperDAT Remediation Tool Do?
A: The tool suppresses the driver causing the false positive by applying an Extra.dat file in c:\program files\commonfiles\mcafee\engine folder. It then restores the svchost.exe by looking first in %SYSTEM_DIR%\dllcache\svchost.exe, if not present it will attempt a restore from %WINDOWS%\servicepackfiles\i386\svchost.exe, if not present it will attempt a restore from quarantine. After the tool is run, the machine needs to be rebooted.
Recommended Recovery SuperDAT Procedure:
1. From a machine that has Internet access, locate and download the Recovery SuperDAT at http://download.nai.com/products/mcafee-avert/tools/SDAT5958_EM.exe and save it to portable media.
2. Take the portable media to each affected machine and run the tool. If you are not able to run the tool on the affected machine, boot in safe mode
3. Execute the Recovery SuperDAT tool
4. Reboot in normal mode
5. Use the product update to update to 5959
|
Latest important update!
False-Positive Detectie in DAT 5958 (W32/Wecorl.a) |
|
woensdag, 21 april 2010 21:42 |
Nieuwe DAT file 5959 is released.
DAT 5959 is beschikbaar om via de ePO-server te downloaden.
Replicatie van de ePO server met McAfee moet terug worden geactiveerd!
Klik onderstaande link om de Boot-CD te downloaden.
(Deze werkwijze is enkel voor bedrijven met meerdere PC's.)
Let er op dat deze niet zal werken op:
1. Systemen die de syteemdisk een SATA controller hebben in AHCI mode, is dit het geval: schakel deze in de BIOS dan tijdelijk om naar IDE compatibiliteitsmode
2. Systemen die de systeemdisk op een RAID controller hebben
3. Systemen die voorzien zijn van disk encryptie, zoals Endpoint Encryption of Bitlocker
4. Systemen waar de virusscan software in een niet standaard locatie is geinstalleerd
In deze gevallen kunt u als alternatief ook bovenstaande procedure gebruiken om hetzelfde te bereiken in Safe-Mode.
De boot cd kan door iedereen worden gebruikt, er zijn geen administrator rechten voor nodig.
ftp.secutec.be/mcafee
contacteer ons op support@secutec.be voor de login-gegevens.
|
Latest important update!
False-Positive Detectie in DAT 5958 (W32/Wecorl.a) |
|
woensdag, 21 april 2010 15:36 |
|
Door diverse klanten zijn wij gebeld met meldingen van herstartende systemen, direct na detectie van svchost.exe als W32/Wecorl.a.
We hebben deze meldingen in onderzoek maar het lijkt erop dat het een bug in DAT release 5958 betreft. De detectie lijkt alleen effect te hebben op Windows XP systemen.
Wij adviseren DAT 5958 voorlopig uit de repository te verwijderen en de automatische Repository Pull taak of taken stop te zetten.
Zie dit forumpost voor het laatste nieuws hieromtrent:
Voor het laatste nieuws en oplossingen om geaffecteerde systemen terug werkende te krijgen.
https://www.medusoft.eu/nl/Support/viewtopic/f6/t565.html
|
|
