McAfee就誤殺事件發(fā)表官方聲明與解決方案

Win7之家（ airtaxifl.com）：McAfee就誤殺事件發(fā)表官方聲明與解決方案

軟媒編輯評(píng)論：

對(duì)于殺毒軟件來(lái)說(shuō)，誤報(bào)誤殺人人有，不過(guò)這回McAfee的反應(yīng)速度還算可以吧，并且給出了具體的解決方案，如果你是McAfee的用戶(hù)，并且深陷本次誤殺事件，看看以下的解決方案吧！

尊敬的媒體朋友：過(guò)去 24 小時(shí)，邁克菲識(shí)別到一個(gè)新的影響 Windows PC 的威脅。我們的研究人員勤奮工作以解決這一旨在攻擊重要 Windows 系統(tǒng)可執(zhí)行文件并將自身“藏匿”于計(jì)算機(jī)內(nèi)存中的威脅。針對(duì)這一威脅，我們的研究團(tuán) 隊(duì)已經(jīng)研究出了檢測(cè)和清除方法。補(bǔ)救措施已經(jīng)通過(guò)了我們的質(zhì)量測(cè)試，并在北京時(shí)間4月21日(星期三)21點(diǎn)以5958病毒定義文件的形式發(fā)布。

我們注意到一些客戶(hù)遇到了由于本次發(fā)布導(dǎo)致的誤報(bào)問(wèn)題。初步調(diào)查顯示，這一錯(cuò)誤會(huì)為運(yùn)行 Windows XP Service Pack 3 的系統(tǒng)招致中等甚至重大的問(wèn)題。存在缺陷的更新已很快從所有邁克菲下載服務(wù)器中刪除，以防止對(duì)企業(yè)客戶(hù)產(chǎn)生進(jìn)一步的影響。此次事件僅波及全球范圍內(nèi)不到 0.5%的企業(yè)用戶(hù)和一小部分家庭用戶(hù)。

邁克菲團(tuán)隊(duì)正嚴(yán)陣以待為受影響的客戶(hù)提供支持，這是目前最緊迫的任務(wù)。我們還迅速行動(dòng)在數(shù)小時(shí)內(nèi)即發(fā)布了更新的病毒定義文件 (5959)，并為我們的客戶(hù)提供詳細(xì)的指南以幫助其修補(bǔ)受影響的系統(tǒng)。我們正在調(diào)查本次誤報(bào)問(wèn)題發(fā)生的原因，并將采取相應(yīng)的措施防止類(lèi)似事件再次發(fā)生。

對(duì)于由此給我們的客戶(hù)帶來(lái)的不便，我們深表歉意！

我們已為受到誤報(bào)影響的客戶(hù)提供了進(jìn)行恢復(fù)的解決方案，詳情如下：

關(guān)于 5958 DAT 中 w32/wecorl.a 誤報(bào)的解決方案：

DAT 5958 簽名更新中的誤報(bào)是一個(gè)稱(chēng)為 w32/wecorl.a 的 Downloader 威脅，該威脅會(huì)讀取來(lái)自外部站點(diǎn)的信息，影響系統(tǒng)的DCOM 服務(wù)。這一最近被發(fā)現(xiàn)的威脅會(huì)利用微軟漏洞 (MS08) 實(shí)施攻擊。當(dāng)掃描運(yùn)行進(jìn)程的內(nèi)存時(shí)會(huì)調(diào)用該進(jìn)程。

邁克菲針對(duì)此威脅的評(píng)估邏輯不夠嚴(yán)密，因此，導(dǎo)致一些客戶(hù)的系統(tǒng)出現(xiàn)了問(wèn)題。

可使用 Extra DAT 進(jìn)行恢復(fù)，步驟如下：

1. 以安全模式啟動(dòng)系統(tǒng)，啟用“Network Option”(網(wǎng)絡(luò)選項(xiàng))

2. 將 Extra DAT 復(fù)制到 c:\program files\commonfiles\mcafee\engine

3. 如果在 c:\windows\system32 下存在 svchost.exe 并且不是一個(gè)“0”字節(jié)文件，直接跳至步驟 5

4. 如果 svchost.exe 已被刪除，啟用 VSE 控制臺(tái)，打開(kāi)“Quarantine manager”(隔離管理器)。單擊檢測(cè)，選擇“Restore”(還原)

   如果 VSE 控制臺(tái)無(wú)法調(diào)用：

C:\program files\mcafee\virusscan enterprise\mcconsol.exe /standalone

這將啟用 VSE 控制臺(tái)。單擊檢測(cè)，選擇“Restore”(還原) 

   如果步驟 4 和 4.1 不起作用或者 svchost.exe 是“0”字節(jié)文件：

a. 當(dāng)能夠從本地(C:\windows\ServicePackFiles\i386\svchost.exe)復(fù)制 svchost.exe 時(shí)，請(qǐng)從本地復(fù)制 svchost.exe 文件到 c:\windows\system32

b. 使用外部介質(zhì)(USB、CD 等)從未受影響的系統(tǒng)復(fù)制 svchost.exe 至 c:\windows\system32 目錄(相同的操作系統(tǒng))

如果“paste”(粘貼)功能為灰色，使用以下命令：

依次點(diǎn)擊 Start(開(kāi)始)-> run(運(yùn)行)->輸入 cmd

運(yùn)行如下命令“從 [源\文件名] 復(fù)制到 [目的\文件夾]”

例如：copy from x:\svchost.exe to c:\windows\system32

5. 以正常模式重啟系統(tǒng)

也可使用 DAT 5959 進(jìn)行恢復(fù)，步驟如下：

1. 以安全模式啟動(dòng)系統(tǒng)，啟用“Network Option”(網(wǎng)絡(luò)選項(xiàng))

2. 如果 svchost.exe 未被刪除(查看 c:\windows\system32\svchost.exe)并且不是“0”字節(jié)文件，且網(wǎng)絡(luò)可正常連接 — 下載 5959 DAT，跳至步驟 6

3. 如果 svchost.exe 已被刪除或者是“0”字節(jié)文件，則網(wǎng)絡(luò)可能無(wú)法正常連接

4. 如果已刪除 svchost.exe，啟用 VSE 控制臺(tái)，打開(kāi)“Quarantine manager”(隔離管理器)。單擊檢測(cè)，選擇“Restore”(還原)

   如果 VSE 控制臺(tái)無(wú)法調(diào)用：

C:\program files\mcafee\virusscan enterprise\mcconsol.exe /standalone

這將啟用 VSE 控制臺(tái)

   如果步驟 4 和 4.1 不起作用或者 svchost.exe 是“0字節(jié)”文件：

a. 當(dāng)能夠從本地(C:\windows\ServicePackFiles\i386\svchost.exe)復(fù)制 svchost.exe 時(shí)，請(qǐng)從本地復(fù)制 svchost.exe 文件到c:\windows\system32
b. 使用外部介質(zhì)(USB、CD 等)從未受影響的系統(tǒng)復(fù)制 svchost.exe 至 c:\windows\system32 目錄(相同的操作系統(tǒng))

如果 “paste”(粘貼)功能為灰色，使用以下命令：

依次點(diǎn)擊 Start(開(kāi)始)-> run(運(yùn)行)->輸入 cmd

運(yùn)行如下命令 從“ [源\文件名] 復(fù)制到 [目的\文件夾]”

例如：copy from x:\svchost.exe to c:\windows\system32

5. 下載 DAT 5959

6. 以正常模式重啟系統(tǒng)