FAIL:
McAfee die je svchost.exe file verwijderdBSOD: Blue Screen Of Death (ook wel ‘Blue Screen Error’ genoemd), het scherm dat je ziet nadat McAfee je systeem heeft laten crashen
False Positive: een bestand dat gedetecteerd is als een bedreiging, maar in werkelijk een onschadelijk bestand is (zoals de svchost.exe file in de McAfee’s case)
Threat: bedreiging voor de PC; deze bedreigingen bestonden altijd uit spyware, virussen en Trojans, maar sinds vandaag hoort McAfee ook in dit rijtje thuis
Virus Definitions: het bestand dat de namen/identificaties bevat van de virussen/malware; dit bestand wordt automatisch geupdate door je virusscanner; het gewraakte bestand heet 5958.dat
BSOD? Internet werkt niet meer! Wat gebeurt er!?
Volgens McAfee is het volgende gebeurd:
“McAfee is aware that a number of customers have incurred a false positive error due to incorrect malware alerts on Wednesday, April 21. The problem occurs with the 5958 virus definition file (DAT) that was released on April 21 at 2.00 PM GMT+1 (6am Pacific Time).”
Ze proberen je te helpen met een ‘fix’ genaamd KB68780, waarover ze het volgende zeggen:
“McAfee has developed a SuperDAT remediation Tool to restore the svchost.exe file on affected systems.”
Als het werkt heb je geluk, maar die kans is klein. Ik zal uitleggen waarom… Deze fix werkt namelijk alleen als je computer nog niet opnieuw opgestart is. De computer crasht echter niet direct, maar pas bij de eerstvolgende keer dat je opnieuw opstart. Je had dus direct moeten Googlen naar ‘detection for w32/wecorl.a’ toen McAfee je de melding over dit ‘virus’ gaf. Dan had je de volgende waarschuwing van McAfee kunnen vinden:
“WARNING: If you receive a detection for w32/wecorl.a, Do not restart your computer until you have performed the remediation steps in this article.”
Net als alle andere ‘normale’ mensen in deze wereld, heb jij dit niet gedaan. Jij hebt je PC gewoon opnieuw opgestart. Bedankt McAfee! De oplossing die ze vervolgens aanbieden is de volgende:
“If svchost.exe is located in c:\WINDOWS\system32\dllcache, type the following command and press ENTER: copy c:\windows\ServicePackFiles\i386\svchost.exe c:\WINDOWS\system32\dllcache”
Dit meesterwerkje van IT-kennis overschrijft de enige werkende kopie van svchost.exe die je mogelijk nog op je PC hebt staan. Nogmaals dank! De volgende stap is dat je naar de winkel gaat en een nieuwe PC koopt. Ironisch genoeg is de kans vrij groot dat op deze nieuwe PC, naast andere voorgeïnstalleerde troep, ook de McAfee proefversie staat… Heb ik het probleem (genaamd McAfee) duidelijk genoeg geschetst?
SvcHostFix: Het minste dat we kunnen doen
Omdat jij nu nogal in de problemen zit, en wij de oplossing weten, hebben we een programmaatje geschreven dat je svchost.exe repareert. Uiteraard moet je wel dit programma kunnen uitvoeren. Als je computer opnieuw blijft opstarten, dan vind je hier de oplossing. Als hij eenmaal opgestart is (desnoods in Safe Mode) kun je ons programma uitvoeren. Wij geven geen garantie dat het werkt (hoewel het werkte op alle PC’s die we getest hebben). Maar als je op het punt staat je computer uit het raam te gooien is het allicht het proberen waard ;-). Als je een verbetering hebt dan kun je die zelf toepassen (de broncode van het bestand is bijgeleverd, zie ‘Download’).
Wat het programma doet:
IF the file size of c:\windows\system32\svchost.exe is 0 bytes or the file doesn’t exist
THEN IF the file size of c:\windows\ServicePackFiles\i386\svchost.exe is 0 bytes or the file doesn’t exist
THEN copy that file to c:\windows\system32\svchost.exe
ELSE IF the file size of c:\windows\system32\dllcache\svchost.exe is 0 bytes or the file doesn’t exist
THEN copy that file to c:\windows\system32\svchost.exe
ELSE copy (embedded) Windows XP SP3’s svchost.exe file to c:\windows\system32\svchost.exe
PS: Misschien dat je ook wel besluit om over te stappen op een andere virusscanner. Wanneer je PC eenmaal werkt kun je eenvoudig overstappen op het gratis pakket van Microsoft, genaamd ‘Security Essentials virus scanner’. Het grote voordeel: Microsoft weet in ieder geval welke files bij het besturingssysteem horen!!! 😉
Download
De SvcHostFix is te downloaden op de website met het originele (Engelse) artikel over dit probleem. LET OP: Draai dit programma alleen onder Windows XP SP3 32-bit!
Klik hier voor de download (.zip, .exe en broncode) en het originele artikel
Originele auteurs: Mark van Driel & Maurits van der Schee
Vrij vertaald door: Joost van der Schee
