防毒亦 McAfee VirusScan Enterprise 杀毒也……

WEI.ER

就一句话：麦咖啡的味道非凡人能品鉴的。

yiren

你有开始搞咖啡了   下次再搞啥呢？

Lemony

这篇东西写的很实在中肯，难得看到咖啡区有如此经典的体验文章。

w99308702

jone_jys 发表于 2013-4-1 00:16
这个我还真不知道，只记得铁壳误杀过一次。。。

2010年的事

北京时间4月22日消息，McAfee今日晚间就误报事件发表了正式声明。公司承认发布的病毒库文件会导致Windows XP SP3系统性能出现下降，并表示已在下载服务器删除该文件，同时发布了该病毒定义文件的更新版本。
　　McAfee在声明中向用户致歉，并称仍在调查此次误报发生的原因。

　　McAfee在声明中透露，此次事件影响全球范围0.5%的企业用户和部分家庭用户。

　　以下为McAfee声明原文：
　　尊敬的媒体朋友：

　　过去24小时，迈克菲识别到一个新的影响Windows PC的威胁。我们的研究人员勤奋工作以解决这一旨在攻击重要Windows系统可执行文件并将自身“藏匿”于计算机内存中的威胁。

　　针对这一威胁，我们的研究团队已经研究出了检测和清除方法。补救措施已经通过了我们的质量测试，并在北京时间4月21日(星期三)21点以5958病毒定义文件的形式发布。

　　我们注意到一些客户遇到了由于本次发布导致的误报问题。初步调查显示，这一错误会为运行Windows XP Service Pack 3 的系统招致中等甚至重大的问题。存在缺陷的更新已很快从所有迈克菲下载服务器中删除，以防止对企业客户产生进一步的影响。此次事件仅波及全球范围内不到0.5%的企业用户和一小部分家庭用户。

　　迈克菲团队正严阵以待为受影响的客户提供支持，这是目前最紧迫的任务。我们还迅速行动在数小时内即发布了更新的病毒定义文件(5959)，并为我们的客户提供详细的指南以帮助其修补受影响的系统。我们正在调查本次误报问题发生的原因，并将采取相应的措施防止类似事件再次发生。

　　对于由此给我们的客户带来的不便，我们深表歉意！

　　我们已为受到误报影响的客户提供了进行恢复的解决方案，详情如下：

　　关于 5958 DAT 中 w32/wecorl.a 误报的解决方案：
　　DAT 5958签名更新中的误报是一个称为w32/wecorl.a的 Downloader威胁，该威胁会读取来自外部站点的信息，影响系统的DCOM服务。这一最近被发现的威胁会利用微软漏洞(MS08)实施攻击。当扫描运行进程的内存时会调用该进程。

　　迈克菲针对此威胁的评估逻辑不够严密，因此，导致一些客户的系统出现了问题。

　　可使用 Extra DAT 进行恢复，步骤如下：
　　1.以安全模式启动系统，启用“Network Option”(网络选项)

　　2.将 Extra DAT复制到c:\program files\commonfiles\mcafee\engine

　　3.如果在c:\windows\system32下存在svchost.exe并且不是一个“0”字节文件，直接跳至步骤5

　　4.如果svchost.exe已被删除，启用VSE控制台，打开“Quarantine manager”(隔离管理器)。单击检测，选择“Restore”(还原)

　　o如果VSE控制台无法调用：

　　C:\program files\mcafee\virusscan enterprise\mcconsol.exe /standalone

　　这将启用VSE控制台。单击检测，选择“Restore”(还原)

　　o如果步骤4 和4.1不起作用或者svchost.exe是“0”字节文件：

　　a.当能够从本地(C:\windows\ServicePackFiles\i386\svchost.exe)复制svchost.exe时，请从本地复制svchost.exe文件到c:\windows\system32

　　b.使用外部介质(USB、CD等)从未受影响的系统复制svchost.exe至 c:\windows\system32目录(相同的操作系统)

　　如果“paste”(粘贴)功能为灰色，使用以下命令：

　　依次点击Start(开始)-> run(运行)->输入cmd

　　运行如下命令“从[源\文件名]复制到[目的\文件夹]”

　　例如：copy from x:\svchost.exe to c:\windows\system32

　　5.以正常模式重启系统

　　也可使用DAT 5959进行恢复，步骤如下：

　　1.以安全模式启动系统，启用“Network Option”(网络选项)

　　2.如果svchost.exe未被删除(查看c:\windows\system32\svchost.exe)并且不是“0”字节文件，且网络可正常连接— 下载5959 DAT，跳至步骤6

　　3.如果svchost.exe已被删除或者是“0”字节文件，则网络可能无法正常连接

　　4.如果已删除svchost.exe，启用VSE控制台，打开“Quarantine manager”(隔离管理器)。单击检测，选择“Restore”(还原)

　　o如果VSE控制台无法调用：

　　C:\program files\mcafee\virusscan enterprise\mcconsol.exe /standalone

　　这将启用VSE控制台

　　o如果步骤4 和4.1不起作用或者svchost.exe是“0字节”文件：

　　a.当能够从本地(C:\windows\ServicePackFiles\i386\svchost.exe)复制svchost.exe时，请从本地复制svchost.exe文件到c:\windows\system32

　　b.使用外部介质(USB、CD等)从未受影响的系统复制svchost.exe至 c:\windows\system32目录(相同的操作系统)

　　如果“paste”(粘贴)功能为灰色，使用以下命令：

　　依次点击Start(开始)-> run(运行)->输入cmd

　　运行如下命令从“ [源\文件名]复制到[目的\文件夹]”

　　例如：copy from x:\svchost.exe to c:\windows\system32

　　5.下载DAT 5959

　　6.以正常模式重启系统