McAfee nach Rollout von Virenpattern DAT 5958 ist die svchost.exe gesperrt oder gelöscht

Mitglied: MegaTraveller

MegaTraveller (Level 1) - Jetzt verbinden

22.04.2010 um 05:44 Uhr, 14004 Aufrufe, 10 Kommentare, 4 Danke

Das habe ich gerade einige mal hinter mich gebracht. Da der morgen näher rückt und vielleicht noch andere betroffen sind, hier das was wir gemacht haben um das Problem zu lösen.

Die Fa. McAfee Gesten ein Update ihrer Virensignaturen herausgebracht hat auf die Version 5958. Leider ist diese Virensignatur defekt, weshalb McAfee innerhalb weniger Stunden ein Update auf die Version 5959 herausgebracht hat.

Leider hat das ganze Weltweit bei vielen Firmen dazu geführt, dass auf einigen Systemen, die Datei %windir%\svchosts.exe als Virus von McAfee identifiziert wurde und entweder gelöscht oder gesperrt wurde. Ende vom Lied, die Maschinen fuhren alle Zeitgleich herunter und nach dem Hochfahren der Clients war es nicht mehr möglich auf das Netzwerk zuzugreifen.

Das Problem tritt nicht bei allen McAfee Versionen. Einige Standorte hat es schwerer als andere erwischt, doch hier nun die Doku, wie ihr das Problem beheben könnt.

1.) Einen USB Stick besorgen am besten einen der keinen zusätzlichen Treiber benötigt und min. 70 MB groß ist. Ist der Stick über 256 MB werdet ihr vielleicht nochmals booten müssen um auf ihn zuzugreifen.

2.) Besorgt Euch die folgenden Datein im Netz und packt sie auf den Stick.

sdat5957.exe - das ist die vorhergehende Virensignatur

svchost.exe - Holt Euch nach möglichkeit eine von einem System welches die gleichen Patchlevel hat wie die defekte Maschine.

ES IST ÜBERAUS WICHTIG, DASS DIE UPDATES UND ARBEITEN VOM STICK AUS STATTFINDEN, BITTE NICHT DIE DATEN AUF DEN LOKALEN DATENTRÄGER ZU KOPIEREN UND DORT AUSZUFÜHREN!!!

3.) Nachdem ihr die Dateien habt, geht zu einem der nicht funktionierenden Rechner und meldet Euch lokal als Administrator an.

- ACHTUNG - ACHTUNG - ACHTUNG - ACHTUNG - ACHTUNG - ACHTUNG -
Sollten die nächsten Schritte nicht funktionieren, einfach die Maschine neu starten und wenn das BIOS vorbei ist immer wieder die F8 Taste drücken. Es erscheint dann ein Auswahlmenü, in dem der Punkt "Abgesicherter Modus mit Kommandozeile" ausgewählt werden sollte.
- ACHTUNG - ACHTUNG - ACHTUNG - ACHTUNG - ACHTUNG - ACHTUNG -

4.) Steckt den USB Stick in einen der dafür vorgesehenen Anschlüsse

5.) Öffnet (wenn nicht durch den Unterpunkt oben schon geklärt) die Eingabeaufforderung. Die könnt ihr am einfachsten erreichen über Start->Ausführen->cmd
Sollte das nicht vorhanden sein, einfach auf dem Desktop eine Verknüpfung zu cmd erstellen.

WICHTIG, die nachfolgenden Schritte bitte immer, IMMER, in der Eingabeaufforderung durchführen.

6.) Auf den USB Stick wechseln. z.B.: e:
Wenn der Buchstabe nicht klar ist, einfach im Explorer nachsehen.

Solltet ihr in dem abgesicherten Modus gestartet sein und wisst den Laufwerksbuchstaben nicht, greift einfach auf einen Trick zurück und tippt in die Eingabeaufforderung den Befehl notepad. Über öffnen könnt ihr dann die Laufwerksbezeichnung prüfen.
Bitte nicht als Befehl explorer benutzen, einige Maschinen schlagen daraufhin vor die letzte, funktionierende, bekannte Konfiguration zu öffnen und das sollte definitiv vermieden werden.

7.) Tippt dann den folgenden Befehl ein: sdat5957 /f
Im Internet wird oft vorgeschlagen den Befehl mit der Funktion SILENT also: sdat5957 /silent /f durchzuführen, davon rate ich aber ab. Denn manchmal braucht der Prozess sehr lange und dann brecht ihr ihn durch einen Reboot ab.

8.) Klickt Euch durch die Installation.

9.) Drückt die Tastenkombination Strg-Alt-Entf und startet den Task Manager.
Damit könnt ihr nachsehen, ob der Prozess wirklich zu Ende gelaufen ist oder nicht. Schaltet die Anzeige dafür auf die aktiven Prozesse um.

10.) auf manchen Maschinen bleibt es Euch vielleicht erspart, doch auf den meisten muss es gemacht werden. Die svchost.exe muss getauscht werden. Gebt dafür in der noch offenen Kommandozeile, den folgenden Befehl ein:

copy svchost.exe %windir%\system32 /y

Jetzt kann es passieren, dass Euch das System erklärt, dass a) die Datei erfolgreich kopiert wurde oder, dass b) die Datei in Benutzung ist und deshalb nicht ersetzt werden kann.

11.) Wenn ihr sicher seid, dass der Prozess sdat5957 nicht mehr aktiv ist, startet den Rechner neu.

12.) Nach dem Hochfahren öffnet einfach wieder eine Eingabeaufforderung, wie Oben beschrieben, und setzt den folgenden Befehl ab:

ping einen-host-der-in.deinem-netz-online-ist

Sollte Euch der Server antworten ist das Problem schon fast erledigt. Wenn ihr aber auf Nummer sicher gehen wollt, dann klickt, dass McAfee Icon in der Task Leiste an und öffnet die Informationstafel. Wenn bei der DAT Version 5957 steht, hat alles funktioniert. Sollte dort noch immer 5958 stehen, dann klickt das Taskleisten Symbol von McAfee nochmals an und lasst es ein automatisches Update durchführen. Dabei wird es auf die Version 5959 gehoben.

Den Schritt könnt ihr auch dann durchführen, wenn da 5957 steht.


AB HIER WENN ES IMMER NOCH NICHT GEHT
13.) Sollte es nach dem Neustart noch immer nicht klappen und ihr konntet die svchost.exe nicht erfolgreich ersetzen, wird es ein wenig trickreich.

Führt alle Schritte mit der Option des Abgesicherten Modus auf der Maschine, bis zum Punkt 10.

Ihr habt zu dem Zeitpunkt ja immer noch den Taskmanager offen. Der Vorschlag das im abgesicherten Modus zu machen liegt darin, dass ihr nur ein sehr kleines Zeitfenster habt. Sortiert die Liste der Prozesse alphabetisch.

Tippt in die Eingabeaufforderung schon mal den Kopierbefehl ein, setzt ihn jedoch noch nicht ab.

Im Task Manager beendet bitte Alls schosst Prozesse. Dabei wird sich irgendwann ein Fenster öffnen, dass Euch mitteilt, dass die Maschine in 60 Sekunden heruntergefahren wird. Wenn ihr hartnäckig alle schosst schließt (ja, er öffnet sie immer wieder) setzt ihr den Befehl ab. Wenn es klappt steht da, 1 Datei kopiert, und es startet kein neuer svchost Prozess mehr.

Jetzt müsst ihr Euch darum kümmern den Countdown zu beenden, damit der die sdat5957 Installation nicht plättet. Setzt dazu in der Eingabeaufforderung den folgenden Befehl ab:

shutdown /a

Danach wird wie bei 11 und 12 verfahren.

Das waren jetzt alle möglichen Schritte. In Kurzfassung heißt das:

- sdat5957.exe besorgen
- für das wiederherzustellende System, die passende svchosts.exe besorgen
- mit dem Befehl "sdat5957 /f" den Virenpattern downgreaden vom USB Stick aus
- die svchost.exe auf dem Zielsystem ersetzen durch den Befehl "copy csvhost.exe %windir%\system32 /y"
- Nach getaner Arbeit Maschine neu starten
- fertig

Viel Erfolg.

Hoffe, dass dies ein paar Leuten hier helfen kann. Ich denke mcAfee hat sich da echt gut was geleistet mit der Aktion.

Bitte Rechtschreibfehler zu übersehen, nach fast 20 Stunden Dauerarbeit ist meine Rechtschreibung nicht mehr ganz fit.
Mitglied: andre1988
22.04.2010 um 07:45 Uhr
Uns hat es auch voll erwischt. Gute 900 Rechner die betroffen sind.
Ich darf jetzt erstmal überall rumgehen und folgendes machen:

Ich weiß das dass viele vermutlich nicht so machen können aber wer weiß vllt. hilft es dem ein oder anderem.

So far...

Andre
Bitte warten ..
Mitglied: razZOrck
22.04.2010 um 08:03 Uhr
Hi,
bei uns hats ca 200 erwischt. Unter https://kc.mcafee.com/corporate/index?page=content&id=KB68780 gibts ein Fix (nicht getestet).
Eine Extra.dat für die 5959er gibts mittlerweile für die Verteilung.
Meine Erfahrung nach Bereitstellung der neuen Signatur:
Sofern die betroffen Kiste noch ansprechbar ist, kann über "Sicherheitsupdate" direkt aktualisiert werden, "Info über" zeigt bis zum Neustart noch die 5958er Version an. Neustart läuft nicht mehr regulär, ausschalten. Danach siehts normal aus. Wie sind die Erfahrungen bei Euch?

So long
razZOrck
Bitte warten ..
Mitglied: MegaTraveller
22.04.2010 um 10:07 Uhr
Bei uns sind die Kisten auch nach einem Neustart weiterhin nicht ansprechbar, da zum Teil die svchost.exe fehlt und ohne die ist ja bekanntlich mit der Kommunikation Essig.

Mittlerweile haben wir aber schon fast alles gesäubert. Alle Maschinen, die seit Mitternacht starten bekommen bei uns automatisch 5959. Es war bei uns mit an die 250 Rechnern Weltweit recht glimplig, weil wir quasi bereits eine Stunde nach dem Release von 5958 informiert, dass der Stress macht.

Bin jetzt aber auch schon gut 23 Stunden wach ;)
Bitte warten ..
Mitglied: n.o.b.o.d.y
22.04.2010 um 11:25 Uhr
Hallo,

uns hat es auch voll erwischt! Das Problem bei uns war, dass es bei uns gestern Abend noch große Umbauarbeiten an Switchen gegeben hat. Von daher wusste keiner so genau wo es herkam!
Was was am Morgen braucht wirklich keiner!
Bitte warten ..
Mitglied: MegaTraveller
22.04.2010 um 12:00 Uhr
Was was am Morgen braucht wirklich keiner!

True, true -_-
Bitte warten ..
Mitglied: Frank
23.04.2010 um 10:51 Uhr
Hi,

McAfee stellt nun mit dem Superdat Remediation Tool einen Patch zum Download bereit, um ein betroffenes System ohne manuellen Eingriff wieder zu reparieren.

Hier der Download-Link:
http://download.nai.com/products/mcafee-avert/tools/SDAT5958_EM.exe

Gruß
Frank
Bitte warten ..
Mitglied: jochik
23.04.2010 um 12:25 Uhr
Hallo,

ich habe das gleiche McAfee Problem, glaube ich jedenfalls, mit meinem Laptop.

Nach dem Hochfahren bekomme ich ein Fehlermeldung "Exception EOleSysError in module Skype.exe at 00095A71. Der RPC-Server ist nicht verfügbar".
Denke nicht das diese Meldung, alle meine Fehler ausgelöst hat.
Symtome sind folgende:
Internet und einige andere Anwendungen gehen nicht, und dazu kommt noch das alles aussieht wie Windows 98.
Die Datei svchost.exe existiert überhaupt nicht, oder ich finde sie nicht.
Windows Startleiste war auch weg, hab sie jetzt wieder hinbekommen.
Ich würde mein System komplett neu machen, aber da ich meine Sachen nicht auf meine Externe Festplatte ziehen kann, würde ich dies nur ungern in betracht ziehen.

Frank. Habe den Link ausprobiert. Geht leider bei mir nicht.

MegaTraveller. Würde den weg auch ni betracht ziehen, mir fehlt aber die nicht infizierte svchost.exe datei. Weis auch nicht wo meine Windows CD ist.
wurde das gehen wenn mir jemand die Datei zusenden würde? Habe einn alten Dell mit Windows XP/ Service Pack 3

Jede Hilfe und weiterbringung mit meinem Problem ist Wertgeschätzt

Gruß
jochik
Bitte warten ..
Mitglied: MegaTraveller
23.04.2010 um 12:42 Uhr
Ich sende Dir mal die Datei zu. Hast dann eine pn.
Bitte warten ..
Mitglied: jochik
23.04.2010 um 17:28 Uhr
Danke MegaTraveller,

hat soweit geklappt. Bin dabei meine Sachen momentan zu sichern.
Werde dann wahrscheinlich auf Windows 7 umsteigen.
Bleibe aber trotzdem bei McAfee.

Gruß
jochik
Bitte warten ..
Mitglied: frankyv
26.04.2010 um 15:34 Uhr
Ich habe jetzt auch endlich das System wieder am laufen. Ich konnte, wie warscheinlich vielen unter uns, nichts mehr machen: kein kopieren, ausschneiden,einfügen, installer anscheinend defekt, NT Authorität Problem (DCOM Server gestoppt), keine Wiederherstellung möglich, Win Rep ging nicht,....
Folgender Link war bei mir sehr hilfreich:http://blogs.technet.com/configurationmgr ...
Allerdings habe ich nicht alles ausgeführt was da beschrieben ist, sondern habe nur die Befehle der Command Line durchgeführt. Und siehe da, es geht wieder.

Gruß,

Frank
Bitte warten ..
Heiß diskutierte Inhalte
Router & Routing
Lancom Router Site to Site Problem mit Außenstellen
gelöst mossoxFrageRouter & Routing26 Kommentare

Guten Tag zusammen, in der Hauptgeschäftsstelle nutzen wir einen Lancom 1781VA Router und haben i.d.R. zwei gleichzeitige IPSec Site ...

Netzwerke
Sporadische Ausfälle im gesamten Heimnetz
gelöst bilbo-dvdFrageNetzwerke23 Kommentare

Guten Morgen, ich habe einen Kabelanschluss bei Vodafone und mein Tarif wurde im März auf CableMax 1000 umgestellt. Ich ...

Apache Server
Wer installiert mir Jitsi-meet mit Stun- Turn-Server und wartet dies?
gelöst default-userFrageApache Server20 Kommentare

Nachdem ich mit der Audio- und Videoqualität der meisten angebotenen Videokonferenz-Lösungen nicht zufrieden bin, möchte ich einen eigenen Jitsi-meet-Server ...

Sicherheit
Sicherheit oder bessere Benutzbarkeit?
gelöst StefanKittelFrageSicherheit19 Kommentare

Hallo, ich habe eine Webanwendung programmiert und sehe mich nun mit einer Frage zur Benutzbarkeit konfrontiert. Bei der Anmeldung ...

Router & Routing
RDP nur im internen Netz möglich nicht aber per vpn?
einfach112FrageRouter & Routing18 Kommentare

Hallo zusammen. Beim Kunden habe ich einen Server mit VMWARE laufen. Darauf ein Windows Server 2016 Essentials als VM ...

Internet
Über meinen WAN ist lidl.de nicht ereichbar
gelöst NetGodFrageInternet16 Kommentare

Hallo zusammen, mit meinem DTAG-Anschluß ist derzeit kein Durchkommen zu www.lidl.de möglich. Zu den selben Zeitpunkten ist es aber ...

Ähnliche Inhalte
Windows 10

Windows 10 V1809: Rollout ist gestartet - kommt per Windows Update

kgbornInformationWindows 102 Kommentare

Eine kurze Information für die Admins, die Windows 10 im Programm haben. Microsoft hat die letzte Baustelle (die Inkompatibilität ...

Neue Anleitungen
Administrator Magazin
11 | 2020 Virtualisierung ist aus der IT nicht mehr wegzudenken. In der November-Ausgabe des IT-Administrator Magazins dreht sich der Schwerpunkt um das Thema "Server- und Storage-Virtualisierung". Darin erfahren Sie, wie sich die Virtualisierungstechnologie entwickelt hat, welche Varianten es im Bereich Server und Speicher gibt und wie ...
Neue Fragen
Neue Jobangebote
Server- und Storage-VirtualisierungServer- und Storage-VirtualisierungBerechtigungs- und IdentitätsmanagementBerechtigungs- und IdentitätsmanagementWebdienste und -serverWebdienste und -serverDatenbankenDatenbankenMonitoring & SupportMonitoring & SupportHybrid CloudHybrid Cloud