McAfee false positive svchost.exe

woensdag 21 april 2010 19:18

Acties:

0 Henk 'm!

Topicstarter

Sinds 5 uur heb ik enkele familieleden en klanten die mij belden met 100% hetzelfde probleem.
Ook mijn enige XP doos (testbak) kreeg zojuist dezelfde "storing" toen die gestart had en even ging internetten (nu.nl/tweakers/etc)

Tijdens het werken in WindowsXP krijg je een DCOM error waardoor windows een shutdown scherm krijgt die 1 minuut afteld en daarna herstart.
Daarna staat alles in classic mode: (ook wanneer je met "shutdown -a" de actie afbreekt)
- Systeemherstel start niet op (ook niet via c:\win\system32\restore)
- De complete netwerkomgeving van windows is verdwenen
hardware is wel aanwezig maar geen netwerkomgeving e.d.
- Services scherm is wit en staat niets meer in.
- iexplore.exe wordt niet meer gevonden.
- MBAM/Combofix vinden niets
- Mcafee is up-to-date en heeft niets gerapporteerd

Al mijn vista en win7 pc's lijken nergens last van te hebben.
De applicaties op mijn XPtestbak is vergelijkbaar met een windows7 pc die nergens last van heeft.

Zijn er andere tweakers die ook iets soortgelijks hebben gehad sinds een uur of 6?

[ Voor 7% gewijzigd door arjants op 21-04-2010 22:14 ]

We worden allemaal geconfronteerd met een reeks grootse kansen, op schitterende wijze vermomd als onoplosbare problemen. (John W. Gardner)

woensdag 21 april 2010 19:19

Acties:

0 Henk 'm!

Reneger

Wie? IK?

http://www.security.nl/ar...kt_Windows_computers.html
Reneger in "Systeembeheerders en hun problemen - dee..."

False positive.

woensdag 21 april 2010 19:20

Acties:

0 Henk 'm!

RaZ

Funky Cold Medina

En Windows XP heeft ook de laatste updates en service-packs?

Klinkt namelijk als Blaster of een variant.

woensdag 21 april 2010 19:23

Acties:

0 Henk 'm!

arjants

Topicstarter

pfff zeg... ik heb me al rot gezocht.
Titelfix dan maar?
Ik hoop maar dat epo bij klanten de DAT nog niet uitgerold heeft...

McAfee virusscanner verminkt Windows computers
Vandaag,17:44 doorRedactie
Door een fout van McAfee is een nog onbekend aantal computers bij bedrijven beschadigd geraakt. Het gaat om de zakelijke virusscanner van het anti-virusbedrijf, die het bestand svchost.exe als besmet beschouwt. Door het verwijderen of in quarantaine plaatsen van het bestand, wordt het systeem herstart en belandt in een reboot loop. "De meeste mensen kunnen niet eens inloggen voordat het systeem zichzelf uitschakelt, dus kunnen ze geen e-mail lezen over hoe ze dit kunnen oplossen", aldus een systeembeheerder.

De false positive wordt veroorzaakt door DAT update 5958.0000, tot grote onvrede van gebruikers. "Hoe kunnen ze een dat uitgeven die een essentieel systeem proces uitschakelt. Dit is verdomme belachelijk", zegt een andere boze systeembeheerder. Volgens de virusscanner is svchost.exe besmet met Wecorl.a, een vrij oud Trojaans paard.

We worden allemaal geconfronteerd met een reeks grootse kansen, op schitterende wijze vermomd als onoplosbare problemen. (John W. Gardner)

woensdag 21 april 2010 19:23

Acties:

0 Henk 'm!

Reneger

Wie? IK?

EPO bij ons op de zaak was al bezig met uitrollen hier en daar. Ook mijn systeem is gepakt... Helaas.

woensdag 21 april 2010 19:24

Acties:

0 Henk 'm!

arjants

Topicstarter

Wanneer is de DAT vrijgegeven dan? Vanochtend al?

We worden allemaal geconfronteerd met een reeks grootse kansen, op schitterende wijze vermomd als onoplosbare problemen. (John W. Gardner)

woensdag 21 april 2010 19:26

Acties:

0 Henk 'm!

Vunzz

Nope, uurtje of 17.00
Hier ook druk bezig om de boel te fixen.....

How can you conquer a hill top, if you are to busy at the bottom stepping over stones.

woensdag 21 april 2010 19:26

Acties:

0 Henk 'm!

Reneger

Wie? IK?

Geen idee. Rond 16:00 waren de 1e meldingen.

woensdag 21 april 2010 19:32

Acties:

0 Henk 'm!

Jelmer

McAfee detecteerd met hun (op dit moment) laatste dat file (5958) een false positive.

svchost.exe wordt gezien als het W32/wecorl.a virus, waardoor machines (zover ik nu kan zien XP en Vista, dus geen servers) in een reboot loop blijven hangen.
Ik lees gevallen waarbij svchost.exe verwijderd wordt, heb het nog niet met mijn eigen ogen gezien...

Extra info en een fix: https://kc.mcafee.com/cor...x?page=content&id=KB68780

woensdag 21 april 2010 19:33

Acties:

0 Henk 'm!

_Arthur

blub

Vunzz schreef op woensdag 21 april 2010 @ 19:26:
Nope, uurtje of 17.00
Hier ook druk bezig om de boel te fixen.....

Kan je vertellen wat je doet om het te fixen?

Naast MCAfee er af tiefen natuurlijk.

woensdag 21 april 2010 19:35

Acties:

0 Henk 'm!

The Executer

Lekker belangrijk!

Hier schijnt een fix te staan, kan zelf de pagina niet openen, waarschijnlijkivm veel verzoeken (niet zelf gecontroleerd!)

Pagina is erg traag, en na 2 minuten nog niets te zien hier.

^{Ik ben niet aansprakelijk voor enige schade als gevolg van installeren van software via bovengenoemde URL}

[ Voor 42% gewijzigd door The Executer op 21-04-2010 19:44 ]

"We don't make mistakes; we just have happy accidents" - Bob Ross

woensdag 21 april 2010 19:42

Acties:

0 Henk 'm!

gambieter

Just me & my cat

Ik draai McAfee/XP hier op het werk, en DAT 5958 staat erop, maar nog geen probleem. Afkloppen dus?

Zie ook Virus uitbraak?.

[ Voor 20% gewijzigd door gambieter op 21-04-2010 19:42 ]

I had a decent lunch, and I'm feeling quite amiable. That's why you're still alive.

woensdag 21 april 2010 19:42

Acties:

0 Henk 'm!

DJ-B

Ik kan het bericht bevestigen. Staat ook op Nu.nl

woensdag 21 april 2010 20:03

Acties:

0 Henk 'm!

just

als access protection uit staat, heb je hier dan geen last van?
na een kleine steekproef van de 200+ xp machine's die 5958 hebben, zie ik geen problemen.

ze hebben een extradat die het symptoon tegengaat, die gaat zo maar in de epo server.

woensdag 21 april 2010 20:04

Acties:

0 Henk 'm!

YellowOnline

BEATI PAVPERES SPIRITV

Ik raad iedereen aan om autoupdate even uit te schakelen. Wij hebben op onze ePO-servers de autoupdate ook uitgeschakeld nadat McAfee ons zelf van het probleem op de hoogte heeft gesteld. De 5958 crasht Windows. Laatste stabiele versie is 5957.

Ik heb een Titlechange aangevraagd want dit probleem is morgen FP nieuws: cf. gelijkaardig probleem met AVG indertijd, met als verschil dat McAfee wel in een hoop professionele omgevingen draait.

[ Voor 28% gewijzigd door YellowOnline op 21-04-2010 20:13 ]

woensdag 21 april 2010 20:24

Acties:

0 Henk 'm!

DeMoN

Pastafari

The Executer schreef op woensdag 21 april 2010 @ 19:35:
Hier schijnt een fix te staan, kan zelf de pagina niet openen, waarschijnlijkivm veel verzoeken (niet zelf gecontroleerd!)

Pagina is erg traag, en na 2 minuten nog niets te zien hier.

^{Ik ben niet aansprakelijk voor enige schade als gevolg van installeren van software via bovengenoemde URL}

Dit staat er:

Corporate KnowledgeBase
False positive detection of w32/wecorl.a in 5958 DAT
Printer Friendly Version Printer Friendly Rate Content Rate this Page

Corporate KnowledgeBase ID: KB68780
Published: April 21, 2010

Environment

For details of all supported operating systems, see KB51109
Summary
McAfee is aware of a w32/wecorl.a false positive with the 5958 DAT file that was released on April 21, 2010.
Problem
Blue screen or DCOM error, followed by shutdown messages after updating to the 5958 DAT on April 21, 2010.
Solution

WARNING: If you have not done so already, do NOT download the 5958 DAT and disable all automatic pull and update tasks.

Please watch for updates on this issue, which will be sent on a timely basis through Support Notification Service (SNS) and Platinum Proactive notifications.

To subscribe to SNS, visit http://my.mcafee.com/content/SNS_Subscription_Center.

This article will be updated as additional information becomes available.

To receive email notification when this article is updated, click Subscribe at the top of the page. (You must be logged in at https://mysupport.mcafee.com to subscribe.)
Workaround 1
McAfee has developed an EXTRA.DAT to suppress this detection. The file is attached to this article. This EXTRA.DAT does not fix the issue, it only suppresses the detection.

Apply the EXTRA.DAT to all potentially affected systems as soon as possible.

For systems that have already encountered this issue, start the computer in Safe Mode and apply the EXTRA.DAT. After applying the EXTRA.DAT, restore the affected files from Quarantine.

To apply the EXTRA.DAT locally:

IMPORTANT: For VirusScan Enterprise 8.5i and later, an Access Protection feature must be temporarily disabled before proceeding. For instructions on how to temporarily disable Access Protection in the VirusScan Console, see KB52204.

To apply the EXTRA.DAT locally:

1. Download the EXTRA.ZIP file attached to this article and extract the EXTRA.DAT file.
2. Click Start, Run, type services.msc and click OK.
3. Right-click the McAfee McShield service and select Stop.
4. Copy the EXTRA.DAT file to the following location:

<installation drive>\Program Files\Common Files\McAfee\Engine

5. In the Services window, right-click McAfee McShield and select Start.

For instructions on how to deploy the EXTRA.DAT through ePolicy Orchestrator (ePO), see:

* ePO 4.0 - KB52977
* ePO 4.5 - KB67602

To restore files from Quarantine locally:

1. Open the VirusScan Console.
2. Double-click Quarantine Manager Policy.
3. Click the Manager tab.
4. Right-click the required item and select Restore.

For additional information, see the VirusScan Enterprise Product Guide for your version of VirusScan Enterprise.

For instructions on how to use an ePolicy Orchestrator Scheduled task to restore quarantined files, see the ePolicy Orchstrator Product Guide.
Related Information

Threat Center (McAfee Avert Labs) http://www.mcafee.com/us/threat_center/
Search the Threat Library http://vil.nai.com/
Submit a virus sample https://www.webimmune.net/default.asp
Security updates and DAT files http://www.mcafee.com/app...ion=us&segment=enterprise

For additional information about EXTRA.DAT files, see KB68759.
Attachment
EXTRA.zip
6K • < 1 minute @ 56k, < 1 minute @ broadband

Extra.zip

Ook ff een TR gedaan om dit topic te mergen met: McAffee false positive svchost.exe

Gamertag: Cosmicv0id
"Het woord Gods is voor mij niets meer dan een expressie en het product van menselijke zwakheid. De Bijbel is een verzamelwerk van legendes die achtenswaardig zijn maar ook primitief en kinderachtig.'' - Albert Einstein

woensdag 21 april 2010 20:32

Acties:

0 Henk 'm!

stappel_

mcafee is slashdotted.

de fix is
a) rollback naar 5957 op de ePO servers zodat client niet de foute 5958 krijgen.
b) er is een extra.dat gemaakt die je kan laden om de false positive tegen te gaan.

pc's die problemen hebben kan je een aantal dingen doen.
- je kan de reboot afbreken met shutdown -a
- copieer de oldengine files terug naar de engine folder maar dat kan alleen via een boot cd/recover
- copieer de extra.dat naar engine folder

Ubero: #2, Euler: #1, GOT: #1, Des: #1, Zeta: #1, Eon: #3, OGR-24: #3, OGR-25: #7,
LM: #7, AP: #5, DF: #19, D2OL: #37, SOB: #50, TSC: #63, RC5: #96

woensdag 21 april 2010 20:51

Acties:

0 Henk 'm!

renelis

Ben ik hier de enige die het raar vind dat McAfee hiervan geen test in het lab heeft gedraaid?

https://www.strava.com/athletes/4819403

woensdag 21 april 2010 20:53

Acties:

0 Henk 'm!

redfoxert

Ik ben nu voor onze corporate omgeving van zo'n 100k+ systemen een oplossing aan het verzinnen. Ik ben bang dat er niets anders op zit om alle geraakte systemen met het handje te moeten gaan fixen

We lopen 1 dag achter maar blijkbaar was dat niet genoeg om de shit te voorkomen. FUN!

renelis schreef op woensdag 21 april 2010 @ 20:51:
Ben ik hier de enige die het raar vind dat McAfee hiervan geen test in het lab heeft gedraaid?

Nee, absoluut niet de enige en reken maar dat McAfee hier flink de wind van voren gaat krijgen van onze contract managers.

[ Voor 36% gewijzigd door redfoxert op 21-04-2010 20:54 ]

https://discord.com/invite/tweakers

woensdag 21 april 2010 20:54

Acties:

0 Henk 'm!

BaszCore

renelis schreef op woensdag 21 april 2010 @ 20:51:
Ben ik hier de enige die het raar vind dat McAfee hiervan geen test in het lab heeft gedraaid?

Nee dat vind ik niet raar hoor, lijkt mij namelijk ook niet meer als normaal dat ze dat doen, nu ligt de gehele organisatie waar ik werk plat... Word een leuk dagje morgen, bedankt McAfee! Zal ze de rekening sturen....

woensdag 21 april 2010 21:01

Acties:

0 Henk 'm!

redfoxert

Anoniem: 47640 schreef op woensdag 21 april 2010 @ 20:56:
[...]

Lijkt me sterk, de betreffende dat file is van vanmiddag 14:00 GMT+1

Hmmmm misschien moet ik de beheerders van de ePO omgeving dan maar eens gaan schuppen want dat hoort wel zo te zijn in ieder geval ...

https://discord.com/invite/tweakers

woensdag 21 april 2010 21:07

Acties:

0 Henk 'm!

Anoniem: 47640

redfoxert schreef op woensdag 21 april 2010 @ 21:01:
[...]

Hmmmm misschien moet ik de beheerders van de ePO omgeving dan maar eens gaan schuppen want dat hoort wel zo te zijn in ieder geval ...

Als jij een epo omgeving hebt van 100k+ clients zou ik dat zeker doen, inclusief een procedure om elke dat file met het handje te testen

Je kan er ook voor kiezen om de mensen die over de aanschaf van de viruspakketten gaan te schuppen

[ Voor 11% gewijzigd door Anoniem: 47640 op 21-04-2010 21:12 ]

woensdag 21 april 2010 21:12

Acties:

0 Henk 'm!

gambieter

Just me & my cat

Voordat iedereen te hard gaat roepen om koppen te laten rollen, niet iedere XP PC heeft er blijkbaar last van. Wij draaien XP met McAfee 8.7i, hebben die DAT update, geen extraDAT vandaag, maar mijn PC had geen probleem.

Het kan dus best zijn dat er een bepaalde combinatie met andere software is waar het fout loopt, en mogelijk is die niet gereproduceerd in het McAfee testlab.

* gambieter heeft een hekel gekregen aan McAfee Enterprise door de updatemodule, en had niet verwacht het programma ooit te gaan verdedigen

I had a decent lunch, and I'm feeling quite amiable. That's why you're still alive.

woensdag 21 april 2010 21:15

Acties:

0 Henk 'm!

YellowOnline

BEATI PAVPERES SPIRITV

WIj hebben 22K clients, maar updates gebeuren om 4u30 's morgen. Bij ons is alles dus gelukkig OK na de autoupdate van de ePO uit te schakelen. Het probleem stelt zich enkel voor onze clients die rechtstreeks bij NAI updaten vrees ik (offsite clients).

woensdag 21 april 2010 21:16

Acties:

0 Henk 'm!

DataGhost

iPL dev

8.5i met nieuwste signatures hier, geen problemen. Misschien komt dat doordat ik niet veel updates meer na SP2 heb geinstalleerd. Het is wel de standaard-virusscanner van de TU/e dus er zullen wel een hoop mensen met problemen zijn.

Edit: wel wat vreemds gemerkt maar het kan toeval zijn... De update was om 17:29:01 klaar met installeren, 17:30:03 zette ik mijn laptop in standby omdat mijn college voorbij was. Toen ik thuiskwam en mijn laptop aanzette heeft 'ie nog zo'n 18 seconden entries in mijn event log gemaakt, met als laatste "The McAfee McShield service entered the running state". Toen ik mijn wachtwoord wilde intikken om te unlocken bleek hij echter vastgelopen... maar verder geen problemen gehad met booten ofzo.

[ Voor 51% gewijzigd door DataGhost op 21-04-2010 21:21 ]

woensdag 21 april 2010 21:17

Acties:

0 Henk 'm!

lostom

fijn, alle computers op ons bedrijf zijn getroffen

(gelukkig klein bedrijf met ongeveer 10 pc's en 2 servers)
er is al iemand bezig van het computerbedrijf vanaf 17:30 en hij is nog 'lang' niet klaar.

ik wens alle bedrijven met mcaffee succes morgen

dat wordt nog wat......

[ Voor 12% gewijzigd door lostom op 21-04-2010 21:20 ]

woensdag 21 april 2010 21:17

Acties:

0 Henk 'm!

ione

Ik gebruik de mcAfee die je van XS4all krijgt. Ik heb sinds begin van de avond ook problemen.
M'n wireless verbinding klapte er om de haverklap uit. Na een reboor kreeg ik de melding met DCOM, en dat de pc opnieuw ging starten.
Daarna helemaal geen netwerkverbindingen meer (en dus geen internet). Ook niet in safe-modus.
HELLUP!!!!!!

Ben nu een boot-cd van BartPE aan het downloaden welke een dat bestand terugzet van McAfee, maar is daarmee ook dit probleem opgelost? Of zit er een format aan te komen.........

woensdag 21 april 2010 21:23

Acties:

0 Henk 'm!

Anoniem: 29908

wat bij mij het beste werkt tot nu toe:

Cdtje maken met svchost.exe van andere XP-bak en de mcafee removal tool (mcpr.exe)
computer opstarten in safe mode
ctrl-alt-delete drukken en daar bestand-> nieuwe taak
cmd.exe starten
dan de removal tool uitvoeren
en als laatste je svchost.exe kopieren naar c:\windows\system32

Dan moet het allemaal weer goed zijn na een restart, en dan ben je ook gelijk van dat armzalige mcaffe verlost

woensdag 21 april 2010 21:25

Acties:

0 Henk 'm!

DataGhost

iPL dev

Anoniem: 29908 schreef op woensdag 21 april 2010 @ 21:23:
wat bij mij het beste werkt tot nu toe:

Cdtje maken met svchost.exe van andere XP-bak en de mcafee removal tool (mcpr.exe)
computer opstarten in safe mode
ctrl-alt-delete drukken en daar bestand-> nieuwe taak
cmd.exe starten
dan de removal tool uitvoeren
en als laatste je svchost.exe kopieren naar c:\windows\system32

Dan moet het allemaal weer goed zijn na een restart, en dan ben je ook gelijk van dat armzalige mcaffe verlost

Of je volgt gewoon de officiële instructies waarbij je mcafee niet hoeft te verwijderen, zoals al eerder gepost door Jelmer: https://kc.mcafee.com/cor...x?page=content&id=KB68780. Weet je tenminste zeker dat je geen problemen krijgt met mogelijk afwijkende versies of talen.

[ Voor 5% gewijzigd door DataGhost op 21-04-2010 21:26 ]

woensdag 21 april 2010 21:29

Acties:

0 Henk 'm!

ymmv

Ik kwam er om half zes achter. Eerst kwamen twee collega's melden dat hun PCs continu rebooten en daarna gingen bij ons in de kamer spontaan twee test-PCs met XP SP3 op tilt. Eerst dachten we aan een echte virusuitbraak maar toen ik ging googelen kwam ik erachter dat het een foute McAfee-DAT was. Het is maar een geluk dat om half zes 's middags bijna iedereen naar huis was. maar Nu hopen dat er niet al te veel PCs aan stonden op dat moment.

Ik heb gelukkig zelf Win 7 64 op mijn PC en kan morgenochtend gewoon doorwerken. Ik heb wel medelijden met de SD en lokale systeembeheerders die dan op onze lokaties moeten gaan puin ruimen. Gelukkig kunnen gebruikers via de PXE Boot met 1 druk op de knop Windows opnieuw installeren maar het moet ze wel verteld worden hoe het werkt en het kost tijd. Verder zul je altijd mensen hebben die ondanks alle raadgevingen belangrijke files lokaal hebben opgeslagen of zoveel specifieke programma's handmatig hebben geinstalleerd, dat ze uren bezig zijn om weer up and running te zijn. Die gebruikers willen geen inspoelactie maar een handmatige fix.

woensdag 21 april 2010 21:39

Acties:

0 Henk 'm!

Anoniem: 47640

Ben benieuwd morgen hoeveel systeembeheerders dit gemist hebben omdat ze star trek zitten te kijken

Heeft iemand al iets gehoord via de "McAfee SNS Notice?" er stond toch echt dat elke 90 minuten een update over dit issue verzonden zou worden.

woensdag 21 april 2010 21:48

Acties:

0 Henk 'm!

gambieter

Just me & my cat

Anoniem: 47640 schreef op woensdag 21 april 2010 @ 21:39:
Ben benieuwd morgen hoeveel systeembeheerders dit gemist hebben omdat ze star trek zitten te kijken

Ik heb onze ICT een berichtje gestuurd om er zeker van te zijn dat ze het weten

I had a decent lunch, and I'm feeling quite amiable. That's why you're still alive.

woensdag 21 april 2010 21:48

Acties:

0 Henk 'm!

Hakulaku

Meh

Kan je niet het herstart scherm niet weghalen door het volgende:

Open Uitvoeren
Typ in "CMD" en klik enter
Typ in CMD: "Shutdown.exe -a" (zonder " natuurlijk)

woensdag 21 april 2010 21:48

Acties:

0 Henk 'm!

BreadFan

Ik ben net klaar (vanaf 17:00 uur) met ons hoofdkantoor te herstellen.

Heb een usb stick gemaakt met svchost.exe en de extra.dat file, en het volgende batchscriptje:

code:

e:

copy EXTRA.DAT "c:\Program Files\Common Files\McAfee\Engine"

copy svchost.exe c:\windows\system32

pause

shutdown -r -t 0

Daarna even de quicklaunch herstellen indien gewenst, en het werkt weer.

morgen zal wel bestaan uit telefonisch mensen deze herstelprocedure doorpraten.

[ Voor 9% gewijzigd door BreadFan op 21-04-2010 21:51 ]

woensdag 21 april 2010 21:52

Acties:

0 Henk 'm!

NiMu83

AFCA

Ik heb svchost.exe niet beschikbaar! Ook in dllcache niet. Iemand daar een download locatie van?

XP Home SP3 Nederlands.

Voetbal is de belangrijkste bijzaak in het leven.

woensdag 21 april 2010 21:52

Acties:

0 Henk 'm!

renelis

dank BreadFan ...
even voor mijn wetenschap ... lost dit de problemen van de gecrashte machine op?

https://www.strava.com/athletes/4819403

woensdag 21 april 2010 21:53

Acties:

0 Henk 'm!

Anoniem: 47640

Hakulaku schreef op woensdag 21 april 2010 @ 21:48:
Kan je niet het herstart scherm niet weghalen door het volgende:

Open Uitvoeren
Typ in "CMD" en klik enter
Typ in CMD: "Shutdown.exe -a" (zonder " natuurlijk)

Ja dat kan

woensdag 21 april 2010 21:58

Acties:

0 Henk 'm!

DataGhost

iPL dev

Brainpower schreef op woensdag 21 april 2010 @ 21:52:
Ik heb svchost.exe niet beschikbaar! Ook in dllcache niet. Iemand daar een download locatie van?

XP Home SP3 Nederlands.

Quarantaine? Of denk ik nu te simpel... Ik zou trouwens oppassen met svchost.exe 'van internet', straks is het geen false positive

[ Voor 16% gewijzigd door DataGhost op 21-04-2010 21:59 ]

woensdag 21 april 2010 21:59

Acties:

0 Henk 'm!

NiMu83

AFCA

DataGhost schreef op woensdag 21 april 2010 @ 21:58:
[...]

Quarantaine? Of denk ik nu te simpel...

Ik heb die gerestored. Maar nog steeds staat svchost er niet. Ook niet na een reboot. En ik kan hem niet opnieuw restoren omdat hij uit de lijst is verdwenen

Voetbal is de belangrijkste bijzaak in het leven.

woensdag 21 april 2010 22:05

Acties:

0 Henk 'm!

Hakulaku

Meh

Systeemherstel?

woensdag 21 april 2010 22:06

Acties:

0 Henk 'm!

DataGhost

iPL dev

Brainpower schreef op woensdag 21 april 2010 @ 21:59:
[...]

Ik heb die gerestored. Maar nog steeds staat svchost er niet. Ook niet na een reboot. En ik kan hem niet opnieuw restoren omdat hij uit de lijst is verdwenen

Bij mij komt alles wat de quarantaine ingaat ook in "System Volume Information" (systeemherstel) terecht. Ik zou dan denken dat 'ie daar ergens in staat. Heb je EXTRA.DAT al erop gezet? Zo nee zou je de systeemherstel-map kunnen scannen en dan zie je vanzelf welke het is

Anders zou je even naar alle uitvoerbare bestanden moeten kijken daar, als er eentje de beschrijving "Generic Host Process for Win32 Services" heeft is dat hem.

woensdag 21 april 2010 22:07

Acties:

0 Henk 'm!

Anoniem: 231539

Ik hoop dat ik geluk heb gehad. Ik hou me niet echt bezig met de anti virus deployment op men werk, men collega heeft die allemaal ingesteld, maar toen ik het las heb ik remote connected naar werk en op de deployment server gekeken en daar leek het nog te staan op de xx57 DAT. Heb Global updating volledig gedesactiveerd, dus ik hoop dat er geen schade is morgen aan de 250-tal pcs.

woensdag 21 april 2010 22:11

Acties:

0 Henk 'm!

ione

Anoniem: 29908 schreef op woensdag 21 april 2010 @ 21:23:
wat bij mij het beste werkt tot nu toe:

Cdtje maken met svchost.exe van andere XP-bak en de mcafee removal tool (mcpr.exe)
computer opstarten in safe mode
ctrl-alt-delete drukken en daar bestand-> nieuwe taak
cmd.exe starten
dan de removal tool uitvoeren
en als laatste je svchost.exe kopieren naar c:\windows\system32

Dan moet het allemaal weer goed zijn na een restart, en dan ben je ook gelijk van dat armzalige mcaffe verlost

Zo heb ik het ook gedaan en lijkt te werken. Wat ik wel had was dat een copy-paste vanuit windows verkenner niet werkte. Ik moest SVCHOST.exe met een copy-commando in een dos-box uitvoeren.
Internet staat nu even uitgeschakeld op die pc. Ik ga nu even kijken wat ik voor anti-virus oplossing ga gebruiken.....

woensdag 21 april 2010 22:18

Acties:

0 Henk 'm!

BreadFan

Brainpower schreef op woensdag 21 april 2010 @ 21:52:
Ik heb svchost.exe niet beschikbaar! Ook in dllcache niet. Iemand daar een download locatie van?

XP Home SP3 Nederlands.

Ik heb hem hier even geupload: http://www.filefactory.com/file/b138aee/n/svchost.rar

Eerst uitpakken, en dan renamen naar .exe

renelis schreef op woensdag 21 april 2010 @ 21:52:
dank BreadFan ...
even voor mijn wetenschap ... lost dit de problemen van de gecrashte machine op?

Ja. Zorg er wel voor dat je niet weer de 5958 binnenhaalt natuurlijk.

woensdag 21 april 2010 22:19

Acties:

0 Henk 'm!

renelis

BreadFan schreef op woensdag 21 april 2010 @ 22:18:
[...]

Ik heb hem hier even geupload: http://www.filefactory.com/file/b138aee/n/svchost.rar

Eerst uitpakken, en dan renamen naar .exe

[...]

Ja. Zorg er wel voor dat je niet weer de 5958 binnenhaalt natuurlijk.

Thnx! $_/-\o_$

https://www.strava.com/athletes/4819403

woensdag 21 april 2010 22:20

Acties:

0 Henk 'm!

jamesbond007uk

Gadget specialist / Freak

Ik kreeg om 17:10 bericht van een leverancier uit Haarlem met de melding om deze DAT niet te installeren door EPO server.
Rond 18:00 uur kreeg ik een e-mail van McAfee met dezelfde melding.

Onze EPO server heb ik express om 's nachts om 01:00am de master repository update uit te voeren. Dus we hadden genoeg tijd om even te e-werken en de automatisch update uit te schakelen.

TIP voor epo gebruikers:
Zet de auto update 's morgens vroeg! De nieuwe DAT files komen altijd in de middag uit! Dus je heb alle tijd.....

Gelukkig hoeven wij geen 600 pc's te repareren................

Succes allen die het probleem hebben.

Mvg,
GT

Jamesbond007uk

woensdag 21 april 2010 22:24

Acties:

0 Henk 'm!

Anoniem: 231539

zou je soms snel kunnen zeggen wat je net gedaan hebt met je EPO server om het te voorkomen? Ik ben er niet echt een expert in en denk dat ik het opgelost heb, maar zou zeker willen zijn. Onze server update ook om 1 uur snachts en de repository stond nog op xx57 + men pc waarop ik ben ingelogged via remote was ook nog niet geupdate naar een nieuwere, dus doet me vermoeden dat de EPO server de nieuwe nog niet had binnen gehaald.

woensdag 21 april 2010 22:26

Acties:

0 Henk 'm!

BreadFan

Even voor de duidelijkheid: Met het scriptje dat ik postte is Safe Mode niet nodig! De Extra.dat onderdrukt de detectie van svchost.exe, die je pas na het plaatsen van de dat file kopieert. svchost.exe is pas weer actief na een reboot.

Het is wel zo dat je USB stick niet automatisch geinstalleerd wordt, je zult dus even de driver installatie door moeten klikken. Of je zet het op een CD-tje.

woensdag 21 april 2010 22:28

Acties:

0 Henk 'm!

YellowOnline

BEATI PAVPERES SPIRITV

Anoniem: 231539 schreef op woensdag 21 april 2010 @ 22:24:
zou je soms snel kunnen zeggen wat je net gedaan hebt met je EPO server om het te voorkomen? Ik ben er niet echt een expert in en denk dat ik het opgelost heb, maar zou zeker willen zijn. Onze server update ook om 1 uur snachts en de repository stond nog op xx57 + men pc waarop ik ben ingelogged via remote was ook nog niet geupdate naar een nieuwere, dus doet me vermoeden dat de EPO server de nieuwe nog niet had binnen gehaald.

Als de repo nog op xx57 stond is er geen probleem :-) Gewoon de autoupdate van de ePO-server(s) uitschakelen zou voldoende moeten zijn.

woensdag 21 april 2010 22:30

Acties:

0 Henk 'm!

Anoniem: 231539

Configuration -> server settings -> Global updating : Disabled, zou ik dus safe moeten zitten

woensdag 21 april 2010 22:33

Acties:

0 Henk 'm!

Anoniem: 47640

Vers van de pers:

Emergency DAT 5959 has been posted and is available at http://www.mcafee.com/app.../security_updates/dat.asp. This file is available in English and is replicating in other languages. For MORE information, go to the 5958 DAT Report on http://vil.nai.com/vil/5958_false.htm.

woensdag 21 april 2010 22:38

Acties:

0 Henk 'm!

ewal

Hier het probleem ook, ik heb op die site gekeken en extra.dat gedownload maar ik snap niet precies wat ik moet doen, mijn engels is ook slecht. Zou iemand stap voor stap een uileg kunnen geven van wat je nou precies moet doen ?

woensdag 21 april 2010 22:44

Acties:

0 Henk 'm!

h00ligan83

Zojuist DAT 5959 met EPO gepusht naar alle clients bij mij op de zaak en het probleem is opgelost. Er moeten nog een paar worden voorzien van de DAT maar de meeste zijn al voorzien.

Beetje jammer dat dit gebeurt, maarja... had ik maar een andere baan moeten zoeken

woensdag 21 april 2010 22:44

Acties:

0 Henk 'm!

NiMu83

AFCA

BreadFan schreef op woensdag 21 april 2010 @ 22:18:
[...]

Ik heb hem hier even geupload: http://www.filefactory.com/file/b138aee/n/svchost.rar

Eerst uitpakken, en dan renamen naar .exe

[...]

Ja. Zorg er wel voor dat je niet weer de 5958 binnenhaalt natuurlijk.

Thanks het werkt weer! Gelukkig is 5959 nu ook uit

Voetbal is de belangrijkste bijzaak in het leven.

woensdag 21 april 2010 22:54

Acties:

0 Henk 'm!

ewal

Brainpower schreef op woensdag 21 april 2010 @ 22:44:
[...]

Thanks het werkt weer! Gelukkig is 5959 nu ook uit

Als je die 5959 exe van hun site uitvoert, hoef je dan verder niks meer te doen ?

woensdag 21 april 2010 22:58

Acties:

0 Henk 'm!

renelis

ewal schreef op woensdag 21 april 2010 @ 22:54:
[...]

Als je die 5959 exe van hun site uitvoert, hoef je dan verder niks meer te doen ?

Als je hiervoor update 5958 niet geinstalleerd hebt en je systeem daardoor nog gewoon draait hoef je niets te doen.
Als je wel geinfecteerd bent door het McAfee virus zou ik de instructie van BreadFan even volgen.. Heeft mij in ieder geval enorm geholpen.

https://www.strava.com/athletes/4819403

woensdag 21 april 2010 23:01

Acties:

0 Henk 'm!

Anoniem: 238498

Voor de pc's die in de loop komen en de dat file niet krijgen:
Maak een nieuwe container in EPO
On acces boot uitzetten.
De loop vervalt hiermee.
Laat Epo de 57 of de 59 patch pushen.
Hierna de pc verplaatsen naar de oude container waar de on acces scan aanstaat.

Geen handmatige acties nodig op de pc zelf.
Alleen monitoren en slepen

woensdag 21 april 2010 23:28

Acties:

0 Henk 'm!

windwarrior

ʍıupʍɐɹɹıoɹ

ik zit nu met meerdere vage dingen

1: mijn McAfee map met daarin zijn engine map staat niet in common maar gewoon in program files, dat is neem ik aan niet erg

2: ik heb de 2 bestanden op een USB stick gezet, maar de bestanden willen zichzelf niet laten kopieren onder veilige modus, ook vanaf een CD geprobeerd maar niets wil gekopieerd worden? Iemand enig idee?

woensdag 21 april 2010 23:30

Acties:

0 Henk 'm!

Anoniem: 238498

windwarrior schreef op woensdag 21 april 2010 @ 23:28:
ik zit nu met meerdere vage dingen

1: mijn McAfee map met daarin zijn engine map staat niet in common maar gewoon in program files, dat is neem ik aan niet erg

2: ik heb de 2 bestanden op een USB stick gezet, maar de bestanden willen zichzelf niet laten kopieren onder veilige modus, ook vanaf een CD geprobeerd maar niets wil gekopieerd worden? Iemand enig idee?

http://www.medusoft.eu/nl/Support/viewtopic/f6/t565.html
Hier staan enkele oplossingen aangedragen voor handmatige acties.
Voor netwerken zie mijn opmerking hier boven

woensdag 21 april 2010 23:42

Acties:

0 Henk 'm!

windwarrior

ʍıupʍɐɹɹıoɹ

ja die workaround had ik inderdaad al gevonden, maar ik zit met het probleem dat dingen bij mij anders zitten, ten eerste staat er helemaal geen engine map in de map McAfee in common, dus dat is al raar, en ten tweede mag ik helemaal niets kopieren

woensdag 21 april 2010 23:44

Acties:

0 Henk 'm!

hans_1990

ik zit met hetzelfde, geen engine map en weinig plak mogelijkheden

woensdag 21 april 2010 23:46

Acties:

0 Henk 'm!

windwarrior

ʍıupʍɐɹɹıoɹ

gebruik jij ook McAfee security center ofzo, het totaalpakket? daar zou het miss aan kunnen liggen?

edit: ik heb wat geprobeerd, maar toch is het niet gelukt, het leek of svchost.exe weer draaide totdat McAfee begon met opstarten, toen kreeg ik die rare error weer. Het lijkt dus alsof de supression niet gelukt is. Nu zit ik dus nog wel met de vraag: waar moet ik dat bestand neerzetten, als ik geen engine map in de mcafee map in common files heb staan?

@hierboven, total commander laat je wel kopieren enzo.

[ Voor 69% gewijzigd door windwarrior op 22-04-2010 00:10 ]

donderdag 22 april 2010 00:31

Acties:

0 Henk 'm!

Joeri

hier hetzelfde probleem met het niet kunnen plakken etc. en geen common files, XP SP3 met Security Center.

donderdag 22 april 2010 00:41

Acties:

0 Henk 'm!

hans_1990

ik heb het inmiddels kunnen fixen ondanks het ontbreken van de Engine map in C:\Program Files\Common Files\McAfee. Door de eerder geposte svchost.exe uit dit topic in de map C:\Windows\system32 te zetten, en vervolgens het extra.dat bestand op de volgende locaties met winrar uit te pakken (andere manier om het niet kunnen plakken mee te omzeilen):
C:\Program Files\McAfee\VirusScan\DAT
C:\Program Files\McAfee\VirusScan\DAT\5958.0
C:\Program Files\McAfee\VirusScan\Engine
C:\Program Files\McAfee\VirusScan\Engine\5400.1158

waarom vier keer? Omdat ik geen idee had wat de juiste plaats voor dit bestand was vanwege het missen van de Engine map in C:\Program Files\Common Files\McAfee, en ik geen zin had om deze procedure nog vaak te herhalen. En het werkt weer, dus maakt het mij geen drol uit dat het er vier keer staat.

edit: ik gebruik idd ook SecurityCenter met XP SP3

donderdag 22 april 2010 00:56

Acties:

0 Henk 'm!

Joeri

YES! ik heb het weer werkend! (Security Center)
Dank aan BreadFan voor het uppen van het svchost.exe bestand! want ik had hier geen XP machine staan, behalve degene die naar de klote was, waar ik een goede file van kon halen.

Ik heb even gedraaid op een Linux-Live CD'tje, hierdoor kon ik de bestanden wel kopieëren, en heel toevallig had ik dezelfde gedachte als Hans_1990, alleen heb ik het EXTRA.dat bestand gewoon in alle McAfee mappen gedumpt die ik kon vinden, om dezelfde reden, ik had geen zin in een try and error principe ;-)

Nu nog maar even proberen McAfee weer op te starten om te kijken wat er gebeurd. Ik had namelijk in de zoektocht naar een oplossing alle opstart en services uitgezet in de msconfig.

donderdag 22 april 2010 03:41

Acties:

0 Henk 'm!

xyanide1986

Thanks hans, ik had inderdaad al een vermoeden dat het in die mappen moest zitten. Ik heb daarentegen het probleem dat mcafee altijd de toegang blokkeerd op de eigen mappen en ik er niets naar mag kopieren.
svchost.exe was verwijderd maar sinds ik hem heb teruggezet via de upload van breadfan (bedankt) is ie ook niet meer verdwenen, even zien wat het doet na een reboot.
Vreemd genoeg heb ik nog wel internet toegang (????) Ik heb in msconfig de services wel uit kunnen zetten maar in services.msc zie ik nog altijd Mcshield draaien en kan het niet uit zetten.

Misschien een idee om de removal tool ergens vandaan te halen, mcafee opnieuw installeren en van het hele gezeur af zijn? Weet iemand waar ik die tool kan vinden, mcafee heeft het niet meer op de site staan en gezien mijn PC nu tamelijk kwetsbaar is neem ik liever geen risico's met vage executables van 3rd party mirrors.

(XP SP3 met nieuwste VirusScan plus)

*EDIT* officiele verklaring van McAfee

[ Voor 8% gewijzigd door xyanide1986 op 22-04-2010 03:45 ]

donderdag 22 april 2010 06:45

Acties:

0 Henk 'm!

Rolfie

Was een lange dag/nacht/vroege ochtend. Met dank aan mcafee.
gelukkig draaien sommige klanten nog SP2

.

donderdag 22 april 2010 06:52

Acties:

0 Henk 'm!

BreadFan

Mensen die niet kunnen knippen & plakken: dat klopt, dat werkt niet. Je zal het dus via een DOS prompt moeten doen.

donderdag 22 april 2010 07:29

Acties:

0 Henk 'm!

Anoniem: 276531

In de media wordt nu door McAfee al links en rechts bericht dat de corrupte DAT snel is teruggetrokken. Gisterenavond, ruim 3 uur na de eerste meldingen, stond de handel nog online op ftp.nai.com/pub.
Via een chatsessie een EXTRA.DAT (reparatie) cadeau gekregen (nog vooraf aan de publicatie van 5959) en de clients draaiden weer.
Geluk bij een ongeluk: veel 9 tot 5 medewerkers zaten al aan de avondpot en hadden hun werkstation afgesloten.

donderdag 22 april 2010 07:35

Acties:

0 Henk 'm!

Anoniem: 347971

Ik heb alle klachten die de TS ook heeft, enkel reboot hij (gelukkig) niet meer. Ik heb alleen 3 andere problemen:
- de engine folder staat niet op de plek waar mcafee zegt dat hij zou moeten staan.
- Ik heb de extra.dat opgehaald, maar kan hem op geen enkele manier waar dan ook op de HDD zetten. Ik kan wel ctrl+C gebruiken, maar het concept plakken kent hij op geen enkele manier meer, in geen enkele folder (dus óók niet op het bureaublad)
- mcafee start wel op, maar is niet toegankelijk via menu, rechtsonder of icoon, dus update uitzetten is niet mogelijk, hoewel dit misschien geen probleem hoeft te zijn, want:
- Ik heb geen enkele netwerkverbinding meer.
- systeemherstel werkt niet meer.

Alle bovenstaande problemen heb ik onder elke user..

Ik weet het eigenlijk even ook niet meer...

Edit: zie dat jullie neit stil hebben gezeten, nadat ik van ellende om 24:00 naar bed ben gegaan.
Ik ga eens even een aanvalsplan maken uit alle verschillende reply's

[ Voor 9% gewijzigd door Anoniem: 347971 op 22-04-2010 07:38 ]

donderdag 22 april 2010 07:52

Acties:

0 Henk 'm!

BreadFan

De EXTRA.DAT is trouwens hier te downloaden: https://www.medusoft.eu/nl/Downloads/Patches/EXTRA.zip.html

En de nieuwe (en goedbevonden!) sdat staat (5859) hier: http://dl.dropbox.com/u/6344442/sdat5959.exe

donderdag 22 april 2010 08:15

Acties:

0 Henk 'm!

Anoniem: 301146

same here

donderdag 22 april 2010 09:15

Acties:

0 Henk 'm!

BlakHawk

Wij draaien hier nog SP2 en geen SP3, dat lijkt ons te hebben gered!

Youtube: DashcamNL

donderdag 22 april 2010 09:31

Acties:

0 Henk 'm!

beascob

BreadFan schreef op donderdag 22 april 2010 @ 06:52:
Mensen die niet kunnen knippen & plakken: dat klopt, dat werkt niet. Je zal het dus via een DOS prompt moeten doen.

Inderdaad er waren bijna 20 services uitgeschakeld doordat svchost weg was.

Explorer deed het dus niet maar wel totalcommander

gewaarwordingshorizon

donderdag 22 april 2010 09:39

Acties:

0 Henk 'm!

Anoniem: 256082

Bij mij lukte het kopieëren van svchost.exe naar de system32 map niet (in dos)... maar nadat ik het ingepakt op een ander pctje en vervolgens met winrar (via usbstikje) had uitgepakt naar die map ging het wel.Vooraf dat extra.dat al uitgepakt naar die 4 mappen van mcafee.
En: alles werkt weer!

Bedankt voor de tips!!

donderdag 22 april 2010 10:06

Acties:

0 Henk 'm!

Anoniem: 356484

Voor de dummies onder ons (ik dus):

Ik heb 2 computer die met elkaar verbonden zijn door een netwerk. De hoofdcomputer doet het niet, geen internet niks, en voor zover ik heb uitgevonden mist dus het svchost.exe bestand dankzij mcafee.
Ik zit nu op een andere computer. Is er een manier waarop ik dit svchost.exe bestand kan downloaden en op de hoofdcomputer zetten? Heb maar een heel klein beetje verstand van de computer dus zou het in dummietaal uitgelegd kunnen worden?

Alvast heel erg bedankt!!

donderdag 22 april 2010 10:16

Acties:

0 Henk 'm!

GrandPuba

McAfee brengt REMEDIATION TOOL uit om svchost.exe files te restoren op probleemsystemen.
Zie hieronder het bericht van McAfee:

McAfee has developed a SuperDAT remediation Tool to restore the svchost.exe file on affected systems.

Q: What does the SuperDAT Remediation Tool Do?
A: The tool suppresses the driver causing the false positive by applying an Extra.dat file in c:\program files\commonfiles\mcafee\engine folder. It then restores the svchost.exe by looking first in %SYSTEM_DIR%\dllcache\svchost.exe, if not present it will attempt a restore from %WINDOWS%\servicepackfiles\i386\svchost.exe, if not present it will attempt a restore from quarantine. After the tool is run, the machine needs to be rebooted.

Recommended Recovery SuperDAT Procedure
1. From a machine that has Internet access, locate and download the Recovery SuperDAT at http://download.nai.com/p...ert/tools/SDAT5958_EM.exe and save it to portable media.
2. Take the portable media to each affected machine and run the tool. If you are not able to run the tool on the affected machine, boot in safe mode
3. Execute the Recovery SuperDAT tool
4. Reboot in normal mode
5. Use the product update to update to 5959

For additional FAQs and information, go to https://kc.mcafee.com/cor...4&page=content&id=KB68780 which will remain up to date.

Eerdere update van McAfee:

McAfee has published recovery procedures for the following two scenarios:
• Recommended Manual Recovery Procedure using the Extra DAT where DAT 5958 is currently installed
• Alternate Manual Recovery Procedure using DAT 5959 where DAT 5958 is currently installed
This information has been posted on http://vil.nai.com/vil/5958_false.htm and will be continuously updated as more information and procedures become available.

GoT F1 PlayStation Racing League Discord

donderdag 22 april 2010 10:26

Acties:

0 Henk 'm!

Anoniem: 356484

Dus ik download dat bestand, zet het op een stick en terwijl de "kapotte" computer aanstaat doe sluit ik de stick aan, ga naar mijn computer en dan moet ik het bestand wat op de stick staat gewoon dubbel aanklikken en dan voert hij het automatisch uit? (en daarna opnieuw opstarten)

Sorry ben echt niet de snuggerste

donderdag 22 april 2010 10:46

Acties:

0 Henk 'm!

Obiter dictum

Zwart, geen suiker.

De laptop van mn vriendin is ook getroffen, en ik krijg hem niet aan de praat. De volgende situatie;
- Géén internet, ook niet in safe mode met networking enabled
- Géén kopieermogelijkheden vanaf USB drive
- Géén rebootprompts meer
- Windows 95 look

Vreemd is, dat nadat er één keer een reboot scherm verscheen, deze sindsdien niet meer is verschenen. Ze kan dus werken op de laptop, maar svchost is niet te vinden in system32, en de startbalk en mappen zijn grijs, op zn Windows 95 (zo dus).

Hier mijn problemen met de KB;

Solution 2
1. Download the 5959 DAT file (5959xdat.exe) on a working computer and copy it to a removable media device such as a CD or USB stick. Geen probleem vanaf mijn desktop

2. Start the affected computer in Safe Mode with networking enabled.
Levert ook geen problemen op.

3. Copy 5959xdat.exe to the computer, then double-click it to update the VSE DAT files. Geen kopieermogelijkheid op de laptop, geen mogelijkheid de .exe via internet op te slaan op de computer. Als ik het bestand draai vanaf USB stick, strand de installatie / extractie rond 75%

4. Launch Windows Explorer and navigate to C:\WINDOWS\system32. Geen probleem

5. If svchost.exe exists in this folder and is not a 0 byte file, continue to Step 8.

6. If svchost.exe has been deleted (or is a 0 byte file), launch the VirusScan Console (Click Start, Programs, McAfee, VirusScan Console). svchost.exe is verwijderd, er is géén sprake van 0 byte file, hij is er gewoon niet. De virusscan console starten zoals hier omschreven gaat niet, dus volgende stap;

If you are unable to launch the VirusScan Console, click Start, Run, type the command below (including quotes) and click OK: "C:\program files\mcafee\virusscan enterprise\mcconsol.exe" /standalone
Ook dit werkt niet; de map "virusscan enterprise" bestaat niet. De map "virusscan" staat daar wel in die plaats, maar als ik dat in de CMD invul, kan hij alsnog niets draaien.

7. Double-click Quarantine Manager Policy, then click the Manager tab.
8. Right-click the detection and select Restore.
9. Restart the computer normally.
Deze drie stappen kom ik dus niet aan toe, omdat mcaffee niet wil openen.

If you are unable to restore svchost.exe from Quarantine or if svchost.exe is 0 bytes:

* On the affected system, copy svchost.exe from C:\windows\ServicePackFiles\i386\svchost.exe or if not present C:\WINDOWS\system32\dllcache\svchost.exe to c:\WINDOWS\system32.

If you are unable to use the copy and paste functions in Windows, click Start, Run, type CMD, then click OK. At the command prompt, type the command below and press ENTER:

copy from C:\windows\ServicePackFiles\i386\svchost.exe to c:\WINDOWS\system32

NOTE: Change the from path to match the location where svchost.exe exists on your system.
Hier wordt dus verteld hoe ik svchost.exe moet restoren, óók zonder kopieermogelijkheid, maar als ik letterlijk (3x gecheckt) het commando uitvoer, na te hebben geverifieerd dat svchost.exe in de bronmap bestaat, gebeurt er niets.

* Copy svchost.exe from C:\WINDOWS\system32 on an unaffected system to C:\WINDOWS\system32 on the affected computer. You can copy the file to a removable media device such as a CD or USB stick.
Geen kopieermogelijkheid, dus werkt niet.

Ik heb geprobeerd het overzichtelijk te maken, bij welke stappen het mis gaat. Iemand enig idee hoe nu verder?

Mijn meest recente productreview.
GoT; een haast oneindige bron van technologische kennis. Experts die elkaar helpen, en ik ben trots, hieraan een bijdrage -nsfw- te mogen leveren!

donderdag 22 april 2010 10:49

Acties:

0 Henk 'm!

stimm

Obiter dictum schreef op donderdag 22 april 2010 @ 10:46:

Wij hebben in de vlugheid dit document in elkaar getikt. Werkt voor al onze klanten

http://www.tosch.nl/downloads/mcafee_herstel_tosch.pdf

Succes!

donderdag 22 april 2010 10:56

Acties:

0 Henk 'm!

wmeester

GrandPuba schreef op donderdag 22 april 2010 @ 10:16:
McAfee brengt REMEDIATION TOOL uit om svchost.exe files te restoren op probleemsystemen.
Zie hieronder het bericht van McAfee:

McAfee has developed a SuperDAT remediation Tool to restore the svchost.exe file on affected systems.

Q: What does the SuperDAT Remediation Tool Do?
A: The tool suppresses the driver causing the false positive by applying an Extra.dat file in c:\program files\commonfiles\mcafee\engine folder. It then restores the svchost.exe by looking first in %SYSTEM_DIR%\dllcache\svchost.exe, if not present it will attempt a restore from %WINDOWS%\servicepackfiles\i386\svchost.exe, if not present it will attempt a restore from quarantine. After the tool is run, the machine needs to be rebooted.

Recommended Recovery SuperDAT Procedure
1. From a machine that has Internet access, locate and download the Recovery SuperDAT at http://download.nai.com/p...ert/tools/SDAT5958_EM.exe and save it to portable media.
2. Take the portable media to each affected machine and run the tool. If you are not able to run the tool on the affected machine, boot in safe mode
3. Execute the Recovery SuperDAT tool
4. Reboot in normal mode
5. Use the product update to update to 5959

For additional FAQs and information, go to https://kc.mcafee.com/cor...4&page=content&id=KB68780 which will remain up to date.

Eerdere update van McAfee:

McAfee has published recovery procedures for the following two scenarios:
• Recommended Manual Recovery Procedure using the Extra DAT where DAT 5958 is currently installed
• Alternate Manual Recovery Procedure using DAT 5959 where DAT 5958 is currently installed
This information has been posted on http://vil.nai.com/vil/5958_false.htm and will be continuously updated as more information and procedures become available.

Ah, thx!
werkt hier!

donderdag 22 april 2010 11:06

Acties:

0 Henk 'm!

Anoniem: 356484

@ zanniebal

het 5959xdat.exe bestand uitvoeren terwijl het nog op de stick staat of eerst naar de computer slepen?

donderdag 22 april 2010 11:08

Acties:

0 Henk 'm!

BreadFan

Zanniebal schreef op donderdag 22 april 2010 @ 10:49:
[...]

Wij hebben in de vlugheid dit document in elkaar getikt. Werkt voor al onze klanten
http://www.tosch.nl/downloads/mcafee_herstel_tosch.pdf

Succes!

download 5958? Is dat niet verwarrend? Dat is juist de update die problemen veroorzaakt. En "de computer die besmet is"... er is niks besmet he.

donderdag 22 april 2010 11:12

Acties:

0 Henk 'm!

NielsHarley

Heeft iemand dit probleem al gehad op een windows 2003 SP2 machine? Tot nu kom ik alleen nog SP3 desktops tegen

donderdag 22 april 2010 11:13

Acties:

0 Henk 'm!

stimm

Anoniem: 356484 schreef op donderdag 22 april 2010 @ 11:06:
@ zanniebal

het 5959xdat.exe bestand uitvoeren terwijl het nog op de stick staat of eerst naar de computer slepen?

Maakt niet uit!

BreadFan schreef op donderdag 22 april 2010 @ 11:08:
[...]

download 5958? Is dat niet verwarrend? Dat is juist de update die problemen veroorzaakt. En "de computer die besmet is"... er is niks besmet he.

Het is geschreven voor onze klanten even snel in de nood, hence de spellingsvouten

Voor een klant is zijn pc 'besmet' zelfde als 'het internet' doet het niet, zo zien zij dat

[ Voor 47% gewijzigd door stimm op 22-04-2010 11:16 ]

donderdag 22 april 2010 11:18

Acties:

0 Henk 'm!

Anoniem: 356484

BreadFan schreef op donderdag 22 april 2010 @ 11:08:
[...]

download 5958? Is dat niet verwarrend? Dat is juist de update die problemen veroorzaakt. En "de computer die besmet is"... er is niks besmet he.

Dus is het dan niet goed om dat te downloaden of....? Wil het ding niet nog meer overhoop hebben als nu

:edit: tegelijk gepost, ik vat het al. Maar goed gedaan, dat is echte dummietaal voor mij, " het internet doet het niet" *lol*

[ Voor 14% gewijzigd door Anoniem: 356484 op 22-04-2010 11:20 ]

donderdag 22 april 2010 11:45

Acties:

0 Henk 'm!

xyanide1986

Obiter dictum schreef op donderdag 22 april 2010 @ 10:46:
De laptop van mn vriendin is ook getroffen, en ik krijg hem niet aan de praat. De volgende situatie;
- Géén rebootprompts meer
-Geen kopieermogelijkheid op de laptop, geen mogelijkheid de .exe via internet op te slaan op de computer.
-Deze drie stappen kom ik dus niet aan toe, omdat mcaffee niet wil openen.

Anoniem: 347971 schreef op donderdag 22 april 2010 @ 07:35:
Ik heb alle klachten die de TS ook heeft, enkel reboot hij (gelukkig) niet meer. Ik heb alleen 3 andere problemen:
- mcafee start wel op, maar is niet toegankelijk via menu, rechtsonder of icoon, dus update uitzetten is niet mogelijk, hoewel dit misschien geen probleem hoeft te zijn, want:
- Ik heb geen enkele netwerkverbinding meer.

xyanide1986 schreef op donderdag 22 april 2010 @ 03:41:
Ik heb daarentegen het probleem dat mcafee altijd de toegang blokkeerd op de eigen mappen en ik er niets naar mag kopieren.
svchost.exe was verwijderd maar sinds ik hem heb teruggezet via de upload van breadfan (bedankt) is ie ook niet meer verdwenen, even zien wat het doet na een reboot.
Vreemd genoeg heb ik nog wel internet toegang (????) Ik heb in msconfig de services wel uit kunnen zetten maar in services.msc zie ik nog altijd Mcshield draaien en kan het niet uit zetten.

(XP SP3 met nieuwste VirusScan plus)

Alles werkte weer en heb mcafee eraf gehaald. Wat ik heb gedaan voor een tamelijk simpele oplossing voor VirusScan plus die wel een nieuwe installatie vereist:
-msconfig uitvoeren
-alle mcafee opstart services uitgezet en reboot, het enige wat nu nog blijft draaien is de beveiliging van de mcafee folders zelf
-door middel van WINRAR (executable hiervan op USB drive moet ook werken) een nieuwe svchost.exe in de map windows\system32
-reboot
-Mcafee uninstall gebruik van de removal tool, is in dit geval wel zo handig denk ik
-reboot
optioneel
-Mcafee reinstall

[ Voor 42% gewijzigd door xyanide1986 op 23-04-2010 13:36 ]

donderdag 22 april 2010 12:16

Acties:

0 Henk 'm!

brucejje

Heey, zouden jullie graag svchost.exe kunnen uploaden voor : Windows xp Proffesional Service pack 3!?

De svchost.exe van home blijkt niet te werken..

Alvast bedankt!

Btw,

alle oplossingen van Mcafee al geprobeert!

[ Voor 13% gewijzigd door brucejje op 22-04-2010 12:17 ]

donderdag 22 april 2010 12:23

Acties:

0 Henk 'm!

stimm

brucejje schreef op donderdag 22 april 2010 @ 12:16:
Heey, zouden jullie graag svchost.exe kunnen uploaden voor : Windows xp Proffesional Service pack 3!?

De svchost.exe van home blijkt niet te werken..

Alvast bedankt!

Btw,

alle oplossingen van Mcafee al geprobeert!

http://www.tosch.nl/downloads/svchost.exe

donderdag 22 april 2010 12:28

Acties:

0 Henk 'm!

Anoniem: 52969

Lekker jongens daar bij dat Mcafee....testen voordat het online wordt gezet is zeker teveel werk.

Zit hier met XPhome NL SP3 Heb svchost.exe deze op cd gebrand echter kan deze niet kopiëren, zowel niet van cd-romnaar map als middels DOS. Iemand nog een idee, of maar wachten op de totaaloplossing van die prutsers.

donderdag 22 april 2010 12:36

Acties:

0 Henk 'm!

Anoniem: 356531

Op www.secutec.be vind je ook enkele mogelijke oplossingen.

donderdag 22 april 2010 12:41

Acties:

0 Henk 'm!

BreadFan

Anoniem: 52969 schreef op donderdag 22 april 2010 @ 12:28:
Lekker jongens daar bij dat Mcafee....testen voordat het online wordt gezet is zeker teveel werk.

Zit hier met XPhome NL SP3 Heb svchost.exe deze op cd gebrand echter kan deze niet kopiëren, zowel niet van cd-romnaar map als middels DOS. Iemand nog een idee, of maar wachten op de totaaloplossing van die prutsers.

Wat is er mis met de eerder aangeboden oplossingen in dit topic?

donderdag 22 april 2010 12:47

Acties:

0 Henk 'm!

miss_bleu

Wij hadden er vanmorgen op de afdeling ook flink last van. Gisterenmiddag om 16.00 ging alles hier uit

Na het opstarten in savemode met netwerk ondersteuning en het daarna downloaden van de update en apart installeren gaat het hier nu goed. En nog geen 10minuten werk

donderdag 22 april 2010 13:13

Acties:

0 Henk 'm!

Anoniem: 52969

@ Breadfan

Ik heb werkelijk alle opties geprobeerd, echter geen enkele lost het probleem op.

Op laptop draait XP home NL SP3. Heb geen netwerkverbinding, kan op geen mogelijke manier kopiëren. Dus overal waar copy staat vervalt.

Ik heb 5958 en vervolgens 5959 erop gezet. Krijg na laatste installatie vervolgens foutmelding: kan de in aanmerking komende mcafee producten niet vinden?!

Zou niet weten hoe dat laatste nu kan, maar ik zit in een aardige loop.

donderdag 22 april 2010 13:20

Acties:

0 Henk 'm!

xyanide1986

Anoniem: 52969 schreef op donderdag 22 april 2010 @ 13:13:
Ik heb 5958 en vervolgens 5959 erop gezet. Krijg na laatste installatie vervolgens foutmelding: kan de in aanmerking komende mcafee producten niet vinden?!
Zou niet weten hoe dat laatste nu kan, maar ik zit in een aardige loop.

Zie mijn oplossing, ik had hetzelfde probleem.

donderdag 22 april 2010 13:22

Acties:

0 Henk 'm!

Anoniem: 356541

kom net bij een klant vandaan, zelfde probleem op meerdere pc's.

Daar startte de pc's wel 'gewoon' op, maar miste van alles,
taak beheer liet geen gebruikers zien bij processen en noem maar op.

work-around om op pc zelf toch nog inet te krijgen:

- open mcconsol.exe in program files
- Scanner bij toegang
- Alle processen -> Detectie
- uitsluitingen

Voeg daar svchost.exe toe met volle win32 path,
sluit dat scherm, ga naar quarantaine beheer

- Manager
- selecteer eerste 2, en druk herstel.

Log pc uit en in, en je zou in ieder geval weer gewoon internet moeten hebben en alles werkend.
Download de update(s) voor bijvoorbeeld usb stick, loop de rest van je netwerk na

Vergeet alleen niet svchost weer even uit je 'uitsluitingen' te halen als je klaar bent.

mvg Nick

Onderwerpen