Signatur-Update von McAfee macht Windows-PCs unbenutzbar [Update]

Ein fehlerhaftes Signatur-Update (DAT 5958) des Antivirenherstellers McAfee hat am gestrigen Mittwoch dazu geführt, dass unter Windows XP SP3 die Systemdatei SVCHOST.EXE als Schädling W32/Wecorl.a erkannt wurde. Windows versucht anschließend, den PC neu zu starten (30 Sekunden Countdown). Anschließend gelangt der PC in eine Boot-Endlosschleife und versucht immer wieder einen Neustart.

Den McAfee-Anwender-Foren zufolge sind zahlreiche Unternehmen betroffen. Als Lösung empfiehlt der Hersteller, die aktualisierte Signatur (DAT 5959) mit einem anderen Rechner herunterzuladen, auf einen USB-Stick zu kopieren, den betroffenen Rechner mit Safe Mode (F8-Taste beim Booten drücken) mit Netzwerk zu starten und den USB-Stick anzuschließen. Anschließend genügt ein Doppelkiickauf die Datei 5959xdat.exe, um die neue Signatur zu installieren. In den meisten Fällen muss man anschließend aber noch die Datei SVCHOSTS.EXE restaurieren. McAfee gibt dazu eine Anleitung.

Alternativ soll die Datei extra.dat verhindern können, dass die fehlerhafte Signatur den Rechner lahmlegt. Diese kopiert man ebenfalls auf einen USB-Stick, kopiert sie auf den PC (im Safe Mode) in den Ordner c:\Programme\Gemeinsame Dateien\McAfee\Engine und startet den Rechner neu. Auch hier muss man die SVCHOST.EXE manuell restaurieren – oder aus der Quarantäne zurückholen.

Die Tipps bedeuten insbesondere für Unternehmensadmins einige Arbeit, weil sich das Problem nicht über das zentrale Management lösen lässt. In größeren Netzen dürfte dies vermutlich Nachtschichten bedeuten. McAfee [Update] hat mittlerweile eine Datei bereit gestellt, die den PC automatisch (vor Ort) repariert. [/Update]

McAfee hat zwar eine Funktion, um Fehlalarme bei wichtigen Windows-Dateien abzufangen, das gilt jedoch nur für Dateien auf der Festplatte. In diesem Fall hat laut McAfee aber der Memory Scan den Fehlalarm provoziert, der sich nicht abfangen ließ.

Interessanter Randaspekt: Bei einer Katastrophenübung einer Gemeinde in Iowa fielen aufgrund des McAfee-Fehlers die Computer und die Kommunikation der Notrufzentrale aus. Daraufhin mussten die Teams auf ihr altes Funksystem zurückgreifen, was der Übung ein wenig mehr Realität verlieh. (dab)