Friday, April 23, 2010

McAfee false positive detection of w32/wecorl.a in DAT v.5958

โปรแกรม Antivirus ของ McAfee เข้าใจผิดว่าไฟล์ svchost.exe เป็นไวรัส w32/wecorl.a
บทความโดย: Thai Windows Administrator Blog

มีรายงานว่าผู้ใช้ซอฟต์แวร์รักษาความปลอดภัย Antivirus ของ McAfee บนเครื่องคอมพิวเตอร์ Windows XP Service Pack 3 ที่ทำการอัพเดทไฟล์ไวรัสเดฟินิชัน DAT v.5958 ที่ McAfee ออกเมื่อวันที่ 21 เมษายน 2553 จะประสบปัญหาวินโดวส์ขึ้นจอฟ้าหรือ Blue Screens of Death (BSoD) และชัทดาวน์โดยอัตโนมัติ

สำหรับสาเหตุของปัญหาครั้งนี้ เกิดจากความผิดพลาดในไฟล์ไวรัสเดฟินิชัน DAT v.5958 ซึ่งทำให้เกิด false positive detection ในการทำงานของซอฟต์แวร์ Antivirus ของ McAfee ส่งผลให้โปรแกรมเข้าใจผิดว่าโปรเซสที่รันภายใต้ svchost.exe (ซึ่งเป็นไฟล์ระบบของวินโดวส์) เป็นไวรัส w32/wecorl.a จึงทำการกักกันหรือลบโปรเซสของไฟล์ Svchost.exe ส่งผลให้เกิดปัญหาต่างๆ ดังนี้
• เครื่องคอมพิวเตอร์ขึ้นจอฟ้า (BSoD) และทำการชัทดาวน์โดยอัตโนมัติ เมื่อเกิดความผิดพลาดในการทำงานของ DCOM หรือ RPC
• เครื่องคอมพิวเตอร์ทำงานได้ตามปกติแต่ไม่สามารถเชื่อมต่อระบบเน็ตเวิร์กได้
• เครื่องคอมพิวเตอร์ทำการรัน Bugcheck

โดยทั้ง McAfee และ Microsoft ได้ออกมายืนยันอย่างเป็นทางการแล้วว่าปัญหานี้ส่งผลกระทบเฉพาะกับเครื่องคอมพิวเตอร์ที่ใช้ Windows XP SP3 เท่านั้น และปัจจบัน McAfee ได้ออกไฟล์ไวรัสเดฟินิชัน DAT v.5959 เพื่อแก้ไขปัญหา false positive detection ดังกล่าวนี้แล้ว และนอกจากนี้ McAfee ยังได้ออกไฟล์ EXTRA.DAT สำหรับช่วยเหลือผู้ใช้ที่ได้ทำการอัพเดทไฟล์ไวรัสเดฟินิชัน DAT v.5958 เป็นที่เรียบร้อยแล้ว

วิธีการแก้ไขปัญหา
สำหรับผู้ใช้ที่ทำการอัพเดทไวรัสเดฟินิชัน DAT file v.5958 แล้วเกิดปัญหาสามารถทำการแก้ไขปัญหาด้วยตนเองตามขั้นตอนดังนี้
1. ทำการรีสตาร์ทเครื่องคอมพิวเตอร์ใน Safe Mode โดยการกดปุ่ม F8 ก่อนที่จะปรากฏหน้าจอ Windows splash
2. ทำการล็อกออนเข้าระบบคอมพิวเตอร์ จากนั้นกดปุ่ม CTRL+ALT+DEL แล้วคลิก Start Windows Task Manager
3. คลิกเมนู File จากนั้นคลิก New Task (Run…)
4. ในหน้าต่างคอมมานด์พร็อมท์ ให้พิมพ์ cmd.exe เสร็จแล้วกดปุ่ม Enter
5. จากนั้นทำการรันคำสั่งตามด้านล่าง (พิมพ์คำสั่งตามด้วยกดปุ่ม Enter)
ren "%programfiles%\Common Files\McAfee\Engine\avvscan.dat" avvscan.old

หมายเหตุ: คำสั่งนี้เป็นการลบ McAfee virus definitions ดังนั้นเพื่อความปลอดภัย ให้ทำการอัพเดทไวรัสเดฟินิชันให้เป็นปัจจุบันเมื่อทำการแก้ปัญหาเสร็จเรียบร้อยแล้ว

6. จากนั้นทำการรันคำสั่งด้านล่าง (พิมพ์คำสั่งตามด้วยกดปุ่ม Enter)
copy %systemroot%\system32\dllcache\svchost.exe %systemroot%\system32\

7. ทำการรีสตาร์ทเครื่องคอมพิวเตอร์ในโหมดปกติ

แหล่งข้อมูลอ้างอิง
Microsoft (KB2025695)

© 2010 TWA Blog. All Rights Reserved.

0 Comment: