McAfee就誤殺事件發(fā)表官方聲明與解決方案

2010/4/23 9:41:28    編輯:Windows7之家 - Seth     字體:【

Win7之家afsion.com.cn):McAfee就誤殺事件發(fā)表官方聲明與解決方案

軟媒編輯評(píng)論:

對(duì)于殺毒軟件來說,誤報(bào)誤殺人人有,不過這回McAfee的反應(yīng)速度還算可以吧,并且給出了具體的解決方案,如果你是McAfee的用戶,并且深陷本次誤殺事件,看看以下的解決方案吧!

尊敬的媒體朋友:過去 24 小時(shí),邁克菲識(shí)別到一個(gè)新的影響 Windows PC 的威脅。我們的研究人員勤奮工作以解決這一旨在攻擊重要 Windows 系統(tǒng)可執(zhí)行文件并將自身“藏匿”于計(jì)算機(jī)內(nèi)存中的威脅。針對(duì)這一威脅,我們的研究團(tuán) 隊(duì)已經(jīng)研究出了檢測(cè)和清除方法。補(bǔ)救措施已經(jīng)通過了我們的質(zhì)量測(cè)試,并在北京時(shí)間4月21日(星期三)21點(diǎn)以5958病毒定義文件的形式發(fā)布。

我們注意到一些客戶遇到了由于本次發(fā)布導(dǎo)致的誤報(bào)問題。初步調(diào)查顯示,這一錯(cuò)誤會(huì)為運(yùn)行 Windows XP Service Pack 3 的系統(tǒng)招致中等甚至重大的問題。存在缺陷的更新已很快從所有邁克菲下載服務(wù)器中刪除,以防止對(duì)企業(yè)客戶產(chǎn)生進(jìn)一步的影響。此次事件僅波及全球范圍內(nèi)不到 0.5%的企業(yè)用戶和一小部分家庭用戶。

邁克菲團(tuán)隊(duì)正嚴(yán)陣以待為受影響的客戶提供支持,這是目前最緊迫的任務(wù)。我們還迅速行動(dòng)在數(shù)小時(shí)內(nèi)即發(fā)布了更新的病毒定義文件 (5959),并為我們的客戶提供詳細(xì)的指南以幫助其修補(bǔ)受影響的系統(tǒng)。我們正在調(diào)查本次誤報(bào)問題發(fā)生的原因,并將采取相應(yīng)的措施防止類似事件再次發(fā)生。

對(duì)于由此給我們的客戶帶來的不便,我們深表歉意!

我們已為受到誤報(bào)影響的客戶提供了進(jìn)行恢復(fù)的解決方案,詳情如下:

關(guān)于 5958 DAT 中 w32/wecorl.a 誤報(bào)的解決方案:

DAT 5958 簽名更新中的誤報(bào)是一個(gè)稱為 w32/wecorl.a 的 Downloader 威脅,該威脅會(huì)讀取來自外部站點(diǎn)的信息,影響系統(tǒng)的DCOM 服務(wù)。這一最近被發(fā)現(xiàn)的威脅會(huì)利用微軟漏洞 (MS08) 實(shí)施攻擊。當(dāng)掃描運(yùn)行進(jìn)程的內(nèi)存時(shí)會(huì)調(diào)用該進(jìn)程。

邁克菲針對(duì)此威脅的評(píng)估邏輯不夠嚴(yán)密,因此,導(dǎo)致一些客戶的系統(tǒng)出現(xiàn)了問題。

可使用 Extra DAT 進(jìn)行恢復(fù),步驟如下:

1. 以安全模式啟動(dòng)系統(tǒng),啟用“Network Option”(網(wǎng)絡(luò)選項(xiàng))

2. 將 Extra DAT 復(fù)制到 c:\program files\commonfiles\mcafee\engine

3. 如果在 c:\windows\system32 下存在 svchost.exe 并且不是一個(gè)“0”字節(jié)文件,直接跳至步驟 5

4. 如果 svchost.exe 已被刪除,啟用 VSE 控制臺(tái),打開“Quarantine manager”(隔離管理器)。單擊檢測(cè),選擇“Restore”(還原)

   如果 VSE 控制臺(tái)無法調(diào)用:

C:\program files\mcafee\virusscan enterprise\mcconsol.exe /standalone

這將啟用 VSE 控制臺(tái)。單擊檢測(cè),選擇“Restore”(還原) 

   如果步驟 4 和 4.1 不起作用或者 svchost.exe 是“0”字節(jié)文件:

a. 當(dāng)能夠從本地(C:\windows\ServicePackFiles\i386\svchost.exe)復(fù)制 svchost.exe 時(shí),請(qǐng)從本地復(fù)制 svchost.exe 文件到 c:\windows\system32

b. 使用外部介質(zhì)(USB、CD 等)從未受影響的系統(tǒng)復(fù)制 svchost.exe 至 c:\windows\system32 目錄(相同的操作系統(tǒng))

如果“paste”(粘貼)功能為灰色,使用以下命令:

依次點(diǎn)擊 Start(開始)-> run(運(yùn)行)->輸入 cmd

運(yùn)行如下命令“從 [源\文件名] 復(fù)制到 [目的\文件夾]”

例如:copy from x:\svchost.exe to c:\windows\system32

5. 以正常模式重啟系統(tǒng)

也可使用 DAT 5959 進(jìn)行恢復(fù),步驟如下:

1. 以安全模式啟動(dòng)系統(tǒng),啟用“Network Option”(網(wǎng)絡(luò)選項(xiàng))

2. 如果 svchost.exe 未被刪除(查看 c:\windows\system32\svchost.exe)并且不是“0”字節(jié)文件,且網(wǎng)絡(luò)可正常連接 — 下載 5959 DAT,跳至步驟 6

3. 如果 svchost.exe 已被刪除或者是“0”字節(jié)文件,則網(wǎng)絡(luò)可能無法正常連接

4. 如果已刪除 svchost.exe,啟用 VSE 控制臺(tái),打開“Quarantine manager”(隔離管理器)。單擊檢測(cè),選擇“Restore”(還原)

   如果 VSE 控制臺(tái)無法調(diào)用:

C:\program files\mcafee\virusscan enterprise\mcconsol.exe /standalone

這將啟用 VSE 控制臺(tái)

   如果步驟 4 和 4.1 不起作用或者 svchost.exe 是“0字節(jié)”文件:

a. 當(dāng)能夠從本地(C:\windows\ServicePackFiles\i386\svchost.exe)復(fù)制 svchost.exe 時(shí),請(qǐng)從本地復(fù)制 svchost.exe 文件到c:\windows\system32
b. 使用外部介質(zhì)(USB、CD 等)從未受影響的系統(tǒng)復(fù)制 svchost.exe 至 c:\windows\system32 目錄(相同的操作系統(tǒng))

如果 “paste”(粘貼)功能為灰色,使用以下命令:

依次點(diǎn)擊 Start(開始)-> run(運(yùn)行)->輸入 cmd

運(yùn)行如下命令 從“ [源\文件名] 復(fù)制到 [目的\文件夾]”

例如:copy from x:\svchost.exe to c:\windows\system32

5. 下載 DAT 5959

6. 以正常模式重啟系統(tǒng)