AV.Faux positif avec les DAT 5958

Contexte / Background

 

McAfee a publié un jeu de signatures corrompues (version DAT 5958) hier à 18h05, provoquant un faux positif sur le fichier système %WINDIR%\system32\svchost.exe (le fichier est prétendumment infecté par le virus W32/Wecorl.a).

 

Etant donné qu’il s’agit d’un fichier critique pour le bon fonctionnement du système d’exploitation, les machines concernées par le problème redémarrent intempestivement, présentent des erreurs DCOM, une perte de connectivité réseau ou un écran bleu (BSOD). Il est important de noter que seul Windows XP est affecté.

 

Nous avons été informés du problème à 19h00 et entrepris toutes les démarches pour bloquer la diffusion de ces signatures corrompues. A 22h00, McAfee a corrigé le tir avec un nouveau jeu de DAT, qui ont immédiatement été « poussées » sur tous les postes (du moins sur ceux qui étaient encore vivants….).

 

McAfee released a set antivirus signature files (DAT version 5958) yesterday at approx. 6pm, which are flawed by a false positive detection of W32/Wecorl.a in the system file %WINDIR%\system32\svchost.exe.

 

Since this file is a vital component of the OS, it could lead to DCOM errors, a loss of network connectivity, a crash (BSOD) or reboot of the machine. It's important to point out that this issue only affects Windows XP PCs.

 

We were informed of this problem at 7pm and took the appropriate steps to stop the deployment of the corrupted signature files. At 10pm, McAfee released a new set of DAT files, which were immediately pushed to all the managed machines (at least to the ones that were still alive…)

 

 

Procédure de récupération / Recovery Procedure

  1. Démarrez Windows en mode sans-échec, avec la couche réseau

  2. Téléchargez l'outil de réparation automatique sur http://download.nai.com/products/mcafee-avert/tools/SDAT5958_EM.exe et exécutez-le

  3. Redémarrez la machine

 

  1. Boot Windows XP in safe mode with the "network option" enabled

  2. Dowload the recovery tool at http://download.nai.com/products/mcafee-avert/tools/SDAT5958_EM.exe and run it

  3. Reboot the machine

Si cette procédure ne devait pas marcher, je vous invite à essayer la version avancée (PDF, 2.3Mo)
Should this procedure not work, please be so kind as to give the advanced version a try (2.3 Mb PDF file)

 

Contact

N'hésitez pas à me contacter par téléphone ou par email pour toute question relative à cette procédure. Je vous serais aussi reconnaissant de me confirmer que votre machine ait bien été remise sur pieds avec cette outil.

Please do not hesitate to contact me by phone or by email for any information regarding that issue. I'd also appreciate if you could confirm me that the recovery tool worked as intended.