McAfee就誤殺事件發(fā)表官方聲明與解決方案

Win7之家（ afsion.com.cn）：McAfee就誤殺事件發(fā)表官方聲明與解決方案

軟媒編輯評論：

對于殺毒軟件來說，誤報誤殺人人有，不過這回McAfee的反應(yīng)速度還算可以吧，并且給出了具體的解決方案，如果你是McAfee的用戶，并且深陷本次誤殺事件，看看以下的解決方案吧！

尊敬的媒體朋友：過去 24 小時，邁克菲識別到一個新的影響 Windows PC 的威脅。我們的研究人員勤奮工作以解決這一旨在攻擊重要 Windows 系統(tǒng)可執(zhí)行文件并將自身“藏匿”于計算機(jī)內(nèi)存中的威脅。針對這一威脅，我們的研究團(tuán) 隊(duì)已經(jīng)研究出了檢測和清除方法。補(bǔ)救措施已經(jīng)通過了我們的質(zhì)量測試，并在北京時間4月21日(星期三)21點(diǎn)以5958病毒定義文件的形式發(fā)布。

我們注意到一些客戶遇到了由于本次發(fā)布導(dǎo)致的誤報問題。初步調(diào)查顯示，這一錯誤會為運(yùn)行 Windows XP Service Pack 3 的系統(tǒng)招致中等甚至重大的問題。存在缺陷的更新已很快從所有邁克菲下載服務(wù)器中刪除，以防止對企業(yè)客戶產(chǎn)生進(jìn)一步的影響。此次事件僅波及全球范圍內(nèi)不到 0.5%的企業(yè)用戶和一小部分家庭用戶。

邁克菲團(tuán)隊(duì)正嚴(yán)陣以待為受影響的客戶提供支持，這是目前最緊迫的任務(wù)。我們還迅速行動在數(shù)小時內(nèi)即發(fā)布了更新的病毒定義文件 (5959)，并為我們的客戶提供詳細(xì)的指南以幫助其修補(bǔ)受影響的系統(tǒng)。我們正在調(diào)查本次誤報問題發(fā)生的原因，并將采取相應(yīng)的措施防止類似事件再次發(fā)生。

對于由此給我們的客戶帶來的不便，我們深表歉意！

我們已為受到誤報影響的客戶提供了進(jìn)行恢復(fù)的解決方案，詳情如下：

關(guān)于 5958 DAT 中 w32/wecorl.a 誤報的解決方案：

DAT 5958 簽名更新中的誤報是一個稱為 w32/wecorl.a 的 Downloader 威脅，該威脅會讀取來自外部站點(diǎn)的信息，影響系統(tǒng)的DCOM 服務(wù)。這一最近被發(fā)現(xiàn)的威脅會利用微軟漏洞 (MS08) 實(shí)施攻擊。當(dāng)掃描運(yùn)行進(jìn)程的內(nèi)存時會調(diào)用該進(jìn)程。

邁克菲針對此威脅的評估邏輯不夠嚴(yán)密，因此，導(dǎo)致一些客戶的系統(tǒng)出現(xiàn)了問題。

可使用 Extra DAT 進(jìn)行恢復(fù)，步驟如下：

1. 以安全模式啟動系統(tǒng)，啟用“Network Option”(網(wǎng)絡(luò)選項(xiàng))

2. 將 Extra DAT 復(fù)制到 c:\program files\commonfiles\mcafee\engine

3. 如果在 c:\windows\system32 下存在 svchost.exe 并且不是一個“0”字節(jié)文件，直接跳至步驟 5

4. 如果 svchost.exe 已被刪除，啟用 VSE 控制臺，打開“Quarantine manager”(隔離管理器)。單擊檢測，選擇“Restore”(還原)

   如果 VSE 控制臺無法調(diào)用：

C:\program files\mcafee\virusscan enterprise\mcconsol.exe /standalone

這將啟用 VSE 控制臺。單擊檢測，選擇“Restore”(還原) 

   如果步驟 4 和 4.1 不起作用或者 svchost.exe 是“0”字節(jié)文件：

a. 當(dāng)能夠從本地(C:\windows\ServicePackFiles\i386\svchost.exe)復(fù)制 svchost.exe 時，請從本地復(fù)制 svchost.exe 文件到 c:\windows\system32

b. 使用外部介質(zhì)(USB、CD 等)從未受影響的系統(tǒng)復(fù)制 svchost.exe 至 c:\windows\system32 目錄(相同的操作系統(tǒng))

如果“paste”(粘貼)功能為灰色，使用以下命令：

依次點(diǎn)擊 Start(開始)-> run(運(yùn)行)->輸入 cmd

運(yùn)行如下命令“從 [源\文件名] 復(fù)制到 [目的\文件夾]”

例如：copy from x:\svchost.exe to c:\windows\system32

5. 以正常模式重啟系統(tǒng)

也可使用 DAT 5959 進(jìn)行恢復(fù)，步驟如下：

1. 以安全模式啟動系統(tǒng)，啟用“Network Option”(網(wǎng)絡(luò)選項(xiàng))

2. 如果 svchost.exe 未被刪除(查看 c:\windows\system32\svchost.exe)并且不是“0”字節(jié)文件，且網(wǎng)絡(luò)可正常連接 — 下載 5959 DAT，跳至步驟 6

3. 如果 svchost.exe 已被刪除或者是“0”字節(jié)文件，則網(wǎng)絡(luò)可能無法正常連接

4. 如果已刪除 svchost.exe，啟用 VSE 控制臺，打開“Quarantine manager”(隔離管理器)。單擊檢測，選擇“Restore”(還原)

   如果 VSE 控制臺無法調(diào)用：

C:\program files\mcafee\virusscan enterprise\mcconsol.exe /standalone

這將啟用 VSE 控制臺

   如果步驟 4 和 4.1 不起作用或者 svchost.exe 是“0字節(jié)”文件：

a. 當(dāng)能夠從本地(C:\windows\ServicePackFiles\i386\svchost.exe)復(fù)制 svchost.exe 時，請從本地復(fù)制 svchost.exe 文件到c:\windows\system32
b. 使用外部介質(zhì)(USB、CD 等)從未受影響的系統(tǒng)復(fù)制 svchost.exe 至 c:\windows\system32 目錄(相同的操作系統(tǒng))

如果 “paste”(粘貼)功能為灰色，使用以下命令：

依次點(diǎn)擊 Start(開始)-> run(運(yùn)行)->輸入 cmd

運(yùn)行如下命令 從“ [源\文件名] 復(fù)制到 [目的\文件夾]”

例如：copy from x:\svchost.exe to c:\windows\system32

5. 下載 DAT 5959

6. 以正常模式重啟系統(tǒng)