McAfee 5958病毒特徵碼誤殺系統文件"Svchost.exe"解決方法!

McAfee在4/21晚間9點的時候發佈了一次的特徵碼更新,大家依然一如往常的按下更新,更新之後電腦突然當機且不斷的重開機,導致無法進入系統,

這次的更新主要受害者為Windows XP SP3的使用者,其他版本號基本上比較沒什麼問題,這次的更新導致McAfee把正常的系統文件程序誤列為病毒文件,導致系統錯誤

這個問題使得美國的幾家企業無法順利運作,有些收銀機的電腦也因為安裝企業版的用戶端而導致無法營業,

目前McAfee已經針對 “5958″病毒碼更新故障的問題發佈了自行修復的方式,看到這篇文章或許還有救,先別急著把自己的電腦送去重灌: )

請參考以下兩個方法自行嘗試手動解決˙˙

————————————————————————————————-

DAT 5958 病毒碼更新中的誤判是一個稱為 w32/wecorl.a 的 Downloader 威脅,該威脅會讀取來自外部網站的資訊,影響系統的 DCOM 服務。這個最近被發現的威脅會利用微軟漏洞 (MS08) 實施攻擊。當記憶體掃描到執行的處理程序時會啟用該驅動程式。

邁克菲針對 此威脅的評估邏輯不夠嚴密,因此,導致部份客戶的系統出現了問題。

可使用 Extra DAT 進行恢復,步驟如下:

  1. 以安全模式啟動系統,啟用“Network Option”(網路選項)
  2. 將 Extra DAT 複製到 c:\program files\common files\mcafee\engine
  3. 如果在 c:\windows\system32 下存在 svchost.exe 並且不是一個“0”位元組檔案,直接跳至步驟 5
  4. 如果 svchost.exe 已被刪除,開啟 VSE 控制台,打開“Quarantine manager”(隔離管理器)。選取檢測,選擇“Restore”(還原)
    • 如果 VSE 控制台無法啟用:
      C:\program files\mcafee\virusscan enterprise\mcconsol.exe /standalone
      這將啟動 VSE 控制台。選取檢測,選擇“Restore”(還原)
    • 如果步驟 4 和 4.1 不起作用或者 svchost.exe 是“0”位字組檔案:
      a. 當能夠從本地(C:\windows\ServicePackFiles\i386\svchost.exe)複製 svchost.exe 時,
      請從本地複製 svchost.exe 文件到c:\windows\system32
      b. 使用外部儲存媒體(USB、CD 等)從未受影響的系統複製svchost.exe 至 c:\windows\system32 目錄(相同的操作系統)
      如果“paste”(貼上)功能為灰色,使用以下命令:
      依次選取 Start(開始)-> run(執行)->輸入 cmd
      執行如下命令“從 [來源\檔案名] 複製到 [目的\檔案夾]”
      例如:copy from x:\svchost.exe to c:\windows\system32
  5. 以正常模式重啟系統

也可使用 DAT 5959 進行恢復,步驟如下:

  1. 以安全模式啟動系統,啟用“Network Option”(網路選項)
  2. 如果 svchost.exe 未被刪除(查看 c:\windows\system32\svchost.exe)並且不是“0”位元組檔案,且網路可正常連接 ─ 下載 5959 DAT,跳至步驟 6
  3. 如果 svchost.exe 已被刪除或者是“0” 位元組檔案,則網路可能無法正常連接
  4. 如果已刪除 svchost.exe,啟用 VSE 控制台,打開“Quarantine manager”(隔離管理器)。選取檢測,選擇“Restore”(還原)
    • 如果 VSE 控制台無法啟用:
      C:\program files\mcafee\virusscan enterprise\mcconsol.exe /standalone
      這將啟動 VSE 控制台
    • 如果步驟 4 和 4.1 不起作用或者 svchost.exe 是“0字元組”檔案:
      a. 當能夠從本地(C:\windows\ServicePackFiles\i386\svchost.exe)複製 svchost.exe 時,請從本地複製 svchost.exe 檔案到 c:\windows\system32
      b. 使用外部儲存媒體(USB、CD 等)從未受影響的系統複製 svchost.exe 至 c:\windows\system32 目錄(相同的操作系統)
      如果“paste”(貼上)功能為灰色,使用以下命令:
      依次選取 Start(開始)-> run(執行)->輸入 cmd
      執行如下命令從“ [來源\檔案名] 複製到 [目的\檔案夾]”
      例如:copy from x:\svchost.exe to c:\windows\system32
  5. 下載 DAT 5959
  6. 以正常模式重啟系統

————————————————————————————————

如果覺得太複雜沒關係,銘在網路上有看到有人已經找出較簡單的修正方式也提供參考:

步驟一:使用F8啟動系統安全模式。

步驟二:重新命名「mcshield.exe」為 「mcshield_temp.exe」。

步驟三:重新啟動電腦。

步驟四:開啟 McAfee VirusScan 主控台。

步驟五:點擊「工具」\「復原DAT」。

步驟六:將「mcshield_temp.exe」改回 「mcshield.exe」。

步驟七:再次重新啟動電腦。

步驟八:請執行病毒碼更新至5959以上。

————————————————————————————————

第一個方法由McAfee官方提供

第二個方法感謝網友甲胖提供

  • Flymia

    啊啊…想不到會錯殺同樣的東西兩次…~
    但想想,哪家公司沒錯殺過呢?口傑口傑
    ———————————————————————-
    回覆『Flymia』:
    美國那邊造成蠻大的傷害的,
    McAfee似乎在美國算是數一數二的軟體廠商,所以蠻多企業使用他們的企業版軟體..,
    摁 Avast、Avg也有殺錯過大家還是死忠的愛用..
    不過Avast、Avg主要針對家用使用者,
    而McAfee通常都是大企業一次購買幾萬台電腦的授權.
    所以可能會造成信譽受損蠻大的…