megatraveller
Goto Top

McAfee nach Rollout von Virenpattern DAT 5958 ist die svchost.exe gesperrt oder gelöscht

Das habe ich gerade einige mal hinter mich gebracht. Da der morgen näher rückt und vielleicht noch andere betroffen sind, hier das was wir gemacht haben um das Problem zu lösen.

Die Fa. McAfee Gesten ein Update ihrer Virensignaturen herausgebracht hat auf die Version 5958. Leider ist diese Virensignatur defekt, weshalb McAfee innerhalb weniger Stunden ein Update auf die Version 5959 herausgebracht hat.

Leider hat das ganze Weltweit bei vielen Firmen dazu geführt, dass auf einigen Systemen, die Datei %windir%\svchosts.exe als Virus von McAfee identifiziert wurde und entweder gelöscht oder gesperrt wurde. Ende vom Lied, die Maschinen fuhren alle Zeitgleich herunter und nach dem Hochfahren der Clients war es nicht mehr möglich auf das Netzwerk zuzugreifen.

Das Problem tritt nicht bei allen McAfee Versionen. Einige Standorte hat es schwerer als andere erwischt, doch hier nun die Doku, wie ihr das Problem beheben könnt.

1.) Einen USB Stick besorgen am besten einen der keinen zusätzlichen Treiber benötigt und min. 70 MB groß ist. Ist der Stick über 256 MB werdet ihr vielleicht nochmals booten müssen um auf ihn zuzugreifen.

2.) Besorgt Euch die folgenden Datein im Netz und packt sie auf den Stick.

sdat5957.exe - das ist die vorhergehende Virensignatur

svchost.exe - Holt Euch nach möglichkeit eine von einem System welches die gleichen Patchlevel hat wie die defekte Maschine.

ES IST ÜBERAUS WICHTIG, DASS DIE UPDATES UND ARBEITEN VOM STICK AUS STATTFINDEN, BITTE NICHT DIE DATEN AUF DEN LOKALEN DATENTRÄGER ZU KOPIEREN UND DORT AUSZUFÜHREN!!!

3.) Nachdem ihr die Dateien habt, geht zu einem der nicht funktionierenden Rechner und meldet Euch lokal als Administrator an.

- ACHTUNG - ACHTUNG - ACHTUNG - ACHTUNG - ACHTUNG - ACHTUNG -
Sollten die nächsten Schritte nicht funktionieren, einfach die Maschine neu starten und wenn das BIOS vorbei ist immer wieder die F8 Taste drücken. Es erscheint dann ein Auswahlmenü, in dem der Punkt "Abgesicherter Modus mit Kommandozeile" ausgewählt werden sollte.
- ACHTUNG - ACHTUNG - ACHTUNG - ACHTUNG - ACHTUNG - ACHTUNG -

4.) Steckt den USB Stick in einen der dafür vorgesehenen Anschlüsse

5.) Öffnet (wenn nicht durch den Unterpunkt oben schon geklärt) die Eingabeaufforderung. Die könnt ihr am einfachsten erreichen über Start->Ausführen->cmd
Sollte das nicht vorhanden sein, einfach auf dem Desktop eine Verknüpfung zu cmd erstellen.

WICHTIG, die nachfolgenden Schritte bitte immer, IMMER, in der Eingabeaufforderung durchführen.

6.) Auf den USB Stick wechseln. z.B.: e:
Wenn der Buchstabe nicht klar ist, einfach im Explorer nachsehen.

Solltet ihr in dem abgesicherten Modus gestartet sein und wisst den Laufwerksbuchstaben nicht, greift einfach auf einen Trick zurück und tippt in die Eingabeaufforderung den Befehl notepad. Über öffnen könnt ihr dann die Laufwerksbezeichnung prüfen.
Bitte nicht als Befehl explorer benutzen, einige Maschinen schlagen daraufhin vor die letzte, funktionierende, bekannte Konfiguration zu öffnen und das sollte definitiv vermieden werden.

7.) Tippt dann den folgenden Befehl ein: sdat5957 /f
Im Internet wird oft vorgeschlagen den Befehl mit der Funktion SILENT also: sdat5957 /silent /f durchzuführen, davon rate ich aber ab. Denn manchmal braucht der Prozess sehr lange und dann brecht ihr ihn durch einen Reboot ab.

8.) Klickt Euch durch die Installation.

9.) Drückt die Tastenkombination Strg-Alt-Entf und startet den Task Manager.
Damit könnt ihr nachsehen, ob der Prozess wirklich zu Ende gelaufen ist oder nicht. Schaltet die Anzeige dafür auf die aktiven Prozesse um.

10.) auf manchen Maschinen bleibt es Euch vielleicht erspart, doch auf den meisten muss es gemacht werden. Die svchost.exe muss getauscht werden. Gebt dafür in der noch offenen Kommandozeile, den folgenden Befehl ein:

copy svchost.exe %windir%\system32 /y

Jetzt kann es passieren, dass Euch das System erklärt, dass a) die Datei erfolgreich kopiert wurde oder, dass b) die Datei in Benutzung ist und deshalb nicht ersetzt werden kann.

11.) Wenn ihr sicher seid, dass der Prozess sdat5957 nicht mehr aktiv ist, startet den Rechner neu.

12.) Nach dem Hochfahren öffnet einfach wieder eine Eingabeaufforderung, wie Oben beschrieben, und setzt den folgenden Befehl ab:

ping einen-host-der-in.deinem-netz-online-ist

Sollte Euch der Server antworten ist das Problem schon fast erledigt. Wenn ihr aber auf Nummer sicher gehen wollt, dann klickt, dass McAfee Icon in der Task Leiste an und öffnet die Informationstafel. Wenn bei der DAT Version 5957 steht, hat alles funktioniert. Sollte dort noch immer 5958 stehen, dann klickt das Taskleisten Symbol von McAfee nochmals an und lasst es ein automatisches Update durchführen. Dabei wird es auf die Version 5959 gehoben.

Den Schritt könnt ihr auch dann durchführen, wenn da 5957 steht.


AB HIER WENN ES IMMER NOCH NICHT GEHT
13.) Sollte es nach dem Neustart noch immer nicht klappen und ihr konntet die svchost.exe nicht erfolgreich ersetzen, wird es ein wenig trickreich.

Führt alle Schritte mit der Option des Abgesicherten Modus auf der Maschine, bis zum Punkt 10.

Ihr habt zu dem Zeitpunkt ja immer noch den Taskmanager offen. Der Vorschlag das im abgesicherten Modus zu machen liegt darin, dass ihr nur ein sehr kleines Zeitfenster habt. Sortiert die Liste der Prozesse alphabetisch.

Tippt in die Eingabeaufforderung schon mal den Kopierbefehl ein, setzt ihn jedoch noch nicht ab.

Im Task Manager beendet bitte Alls schosst Prozesse. Dabei wird sich irgendwann ein Fenster öffnen, dass Euch mitteilt, dass die Maschine in 60 Sekunden heruntergefahren wird. Wenn ihr hartnäckig alle schosst schließt (ja, er öffnet sie immer wieder) setzt ihr den Befehl ab. Wenn es klappt steht da, 1 Datei kopiert, und es startet kein neuer svchost Prozess mehr.

Jetzt müsst ihr Euch darum kümmern den Countdown zu beenden, damit der die sdat5957 Installation nicht plättet. Setzt dazu in der Eingabeaufforderung den folgenden Befehl ab:

shutdown /a

Danach wird wie bei 11 und 12 verfahren.

Das waren jetzt alle möglichen Schritte. In Kurzfassung heißt das:

- sdat5957.exe besorgen
- für das wiederherzustellende System, die passende svchosts.exe besorgen
- mit dem Befehl "sdat5957 /f" den Virenpattern downgreaden vom USB Stick aus
- die svchost.exe auf dem Zielsystem ersetzen durch den Befehl "copy csvhost.exe %windir%\system32 /y"
- Nach getaner Arbeit Maschine neu starten
- fertig

Viel Erfolg.

Hoffe, dass dies ein paar Leuten hier helfen kann. Ich denke mcAfee hat sich da echt gut was geleistet mit der Aktion.

Bitte Rechtschreibfehler zu übersehen, nach fast 20 Stunden Dauerarbeit ist meine Rechtschreibung nicht mehr ganz fit.

Content-Key: 141205

Url: https://administrator.de/contentid/141205

Ausgedruckt am: 29.03.2024 um 06:03 Uhr

Mitglied: andre1988
andre1988 22.04.2010 um 07:45:27 Uhr
Goto Top
Uns hat es auch voll erwischt. Gute 900 Rechner die betroffen sind.
Ich darf jetzt erstmal überall rumgehen und folgendes machen:

Starten Sie das System vom Netzwerk wie bei einer WDS-Installation.

Im Windows Preinstallation Environment wählen Sie als Locale: German (Germany), Keyboard or input method wird automatisch auf German eingestellt. Sollten Sie eine davon abweichende Tastaturbelegung am Rechner haben, z.B. ein amerikanisches Keyboard, so passen Sie diese Einstellungen ggf. an.

Betätigen Sie nach Auswahl der Sprache und des Tastaturlayouts die Tastenkombination Shift + F10. 

Sie erhalten eine MS-DOS-Eingabeaufforderung mit der Sie nach C:\ wechseln können:

c:

cd \Program Files\Common Files\McAfee\Engine

Löschen Sie dann die installierten Virenbeschreibungen:

del avv*.dat 

und falls vorhanden, auch die avv*.dat Datein in dem Ordner OldEngine

schliessen Sie die MS-DOS-Eingabeaufforderung:

exit

Starten Sie dann den Rechner durch schliessen aller Fenster neu.

ePO-Server muss die neue 5959 Dat verteilen so das die Rechner diese dann nach einem Neustart bekommen.

Sollte nach dieser Prozedur immer noch ein Problem bestehen, müssen Sie auf die gleiche Art wie oben beschrieben ggf. die Datei c:\windows\system32\svchost.exe durch eine Version von USB-Stick oder CD ersetzen.

Ich weiß das dass viele vermutlich nicht so machen können aber wer weiß vllt. hilft es dem ein oder anderem.

So far...

Andre
Mitglied: razZOrck
razZOrck 22.04.2010 um 08:03:45 Uhr
Goto Top
Hi,
bei uns hats ca 200 erwischt. Unter https://kc.mcafee.com/corporate/index?page=content&id=KB68780 gibts ein Fix (nicht getestet).
Eine Extra.dat für die 5959er gibts mittlerweile für die Verteilung.
Meine Erfahrung nach Bereitstellung der neuen Signatur:
Sofern die betroffen Kiste noch ansprechbar ist, kann über "Sicherheitsupdate" direkt aktualisiert werden, "Info über" zeigt bis zum Neustart noch die 5958er Version an. Neustart läuft nicht mehr regulär, ausschalten. Danach siehts normal aus. Wie sind die Erfahrungen bei Euch?

So long
razZOrck
Mitglied: MegaTraveller
MegaTraveller 22.04.2010 um 10:07:10 Uhr
Goto Top
Bei uns sind die Kisten auch nach einem Neustart weiterhin nicht ansprechbar, da zum Teil die svchost.exe fehlt und ohne die ist ja bekanntlich mit der Kommunikation Essig.

Mittlerweile haben wir aber schon fast alles gesäubert. Alle Maschinen, die seit Mitternacht starten bekommen bei uns automatisch 5959. Es war bei uns mit an die 250 Rechnern Weltweit recht glimplig, weil wir quasi bereits eine Stunde nach dem Release von 5958 informiert, dass der Stress macht.

Bin jetzt aber auch schon gut 23 Stunden wach ;)
Mitglied: n.o.b.o.d.y
n.o.b.o.d.y 22.04.2010 um 11:25:48 Uhr
Goto Top
Hallo,

uns hat es auch voll erwischt! Das Problem bei uns war, dass es bei uns gestern Abend noch große Umbauarbeiten an Switchen gegeben hat. Von daher wusste keiner so genau wo es herkam!
Was was am Morgen braucht wirklich keiner!
Mitglied: MegaTraveller
MegaTraveller 22.04.2010 um 12:00:24 Uhr
Goto Top
Was was am Morgen braucht wirklich keiner!

True, true -_-
Mitglied: Frank
Frank 23.04.2010 um 10:51:21 Uhr
Goto Top
Hi,

McAfee stellt nun mit dem Superdat Remediation Tool einen Patch zum Download bereit, um ein betroffenes System ohne manuellen Eingriff wieder zu reparieren.

Hier der Download-Link:
http://download.nai.com/products/mcafee-avert/tools/SDAT5958_EM.exe

Gruß
Frank
Mitglied: jochik
jochik 23.04.2010 um 12:25:26 Uhr
Goto Top
Hallo,

ich habe das gleiche McAfee Problem, glaube ich jedenfalls, mit meinem Laptop.

Nach dem Hochfahren bekomme ich ein Fehlermeldung "Exception EOleSysError in module Skype.exe at 00095A71. Der RPC-Server ist nicht verfügbar".
Denke nicht das diese Meldung, alle meine Fehler ausgelöst hat.
Symtome sind folgende:
Internet und einige andere Anwendungen gehen nicht, und dazu kommt noch das alles aussieht wie Windows 98.
Die Datei svchost.exe existiert überhaupt nicht, oder ich finde sie nicht.
Windows Startleiste war auch weg, hab sie jetzt wieder hinbekommen.
Ich würde mein System komplett neu machen, aber da ich meine Sachen nicht auf meine Externe Festplatte ziehen kann, würde ich dies nur ungern in betracht ziehen.

Frank. Habe den Link ausprobiert. Geht leider bei mir nicht.

MegaTraveller. Würde den weg auch ni betracht ziehen, mir fehlt aber die nicht infizierte svchost.exe datei. Weis auch nicht wo meine Windows CD ist.
wurde das gehen wenn mir jemand die Datei zusenden würde? Habe einn alten Dell mit Windows XP/ Service Pack 3

Jede Hilfe und weiterbringung mit meinem Problem ist Wertgeschätzt

Gruß
jochik
Mitglied: MegaTraveller
MegaTraveller 23.04.2010 um 12:42:40 Uhr
Goto Top
Ich sende Dir mal die Datei zu. Hast dann eine pn.
Mitglied: jochik
jochik 23.04.2010 um 17:28:31 Uhr
Goto Top
Danke MegaTraveller,

hat soweit geklappt. Bin dabei meine Sachen momentan zu sichern.
Werde dann wahrscheinlich auf Windows 7 umsteigen.
Bleibe aber trotzdem bei McAfee.

Gruß
jochik
Mitglied: frankyv
frankyv 26.04.2010 um 15:34:53 Uhr
Goto Top
Ich habe jetzt auch endlich das System wieder am laufen. Ich konnte, wie warscheinlich vielen unter uns, nichts mehr machen: kein kopieren, ausschneiden,einfügen, installer anscheinend defekt, NT Authorität Problem (DCOM Server gestoppt), keine Wiederherstellung möglich, Win Rep ging nicht,....
Folgender Link war bei mir sehr hilfreich:http://blogs.technet.com/configurationmgr ...
Allerdings habe ich nicht alles ausgeführt was da beschrieben ist, sondern habe nur die Befehle der Command Line durchgeführt. Und siehe da, es geht wieder.

Gruß,

Frank