Saturday, April 24, 2010

McAfee false positive detection solution

วิธีการแก้ไขปัญหาเครื่องคอมพิวเตอร์ที่ได้รับผลกระทบจาก false positive detection จากโปรแกรม Antivirus ของ McAfee
บทความโดย: Thai Windows Administrator Blog

สืบเนื่องจากความผิดพลาดในไฟล์ไวรัสเดฟินิชัน DAT v.5958 ที่ McAfee ออกเมื่อวันที่ 21 เมษายน 2553 ส่งผลให้เกิด false positive detection ในการทำงานของ Antivirus ของ McAfee โดยโปรแกรมจะเข้าใจผิดว่าโปรเซสที่รันภายใต้ svchost.exe (ซึ่งเป็นไฟล์ระบบของวินโดวส์) เป็นไวรัส w32/wecorl.a จึงทำการกักกันหรือลบโปรเซสของไฟล์ Svchost.exe ทำให้เกิดปัญหาวินโดวส์ขึ้นจอฟ้าหรือ Blue Screens of Death (BSoD) และชัทดาวน์โดยอัตโนมัติ ซึ่ง McAfee ได้ออกวิธีการแก้ไขสำหรับสำหรับผู้ใช้ที่เครื่องคอมพิวเตอร์ที่ได้รับผลกระทบ 2 วิธีดังนี้

หมายเหตุ: วิธีการทั้ง 2 วิธีการนี้มีขั้นตอนที่ซับซ้อนและมีหลายขั้นตอน จึงเหมาะสำหรับผู้ใช้คอมพิวเตอร์ที่มีทักษะเท่านั้น

วิธีที่ 1 การแก้ไขครื่องคอมพิวเตอร์ที่ได้รับผลกระทบโดยใช้เครื่องมือ SuperDAT
แก้ไขโดยใช้เครื่องมือ SuperDAT ทำการรีสโตร์ไฟล์ svchost.exe บนเครื่องคอมพิวเตอร์ที่ได้รับผลกระทบ โดยเครื่องมือ SuperDAT นั้นจะทำการยับยั้งไม่ให้เกิดปัญหา false positive detection ด้วยการแอพพลายไฟล์ Extra.dat ในโฟลเดอร์ c:\program files\commonfiles\mcafee\engine จากนั้นจะทำการรีสโตร์ไฟล์ svchost.exe จากตำแหน่ง %SYSTEM_DIR%\dllcache\svchost.exe เป็นที่แรก หากไม่มีไฟล์ svchost.exe ในตำแหน่งดังกล่าวก็จะทำการรีสโตร์ไฟล์จาก %WINDOWS%\servicepackfiles\i386\svchost.exe และ Quarantine ตามลำดับ

ทั้งนี้ หลังจากทำการรันเครื่องมือ SuperDAT เสร็จเรียบร้อยแล้ว จะต้องทำการรีสตาร์ทเครื่องคอมพิวเตอร์เพื่อให้การเปลี่ยนแปลงมีผล

ขั้นตอนการใช้งานเครื่องมือ SuperDAT
1. บนเครื่องคอมพิวเตอร์ซึ่งสามารถใช้งานได้ตามปกติและสามารถใช้งานอินเทอร์เน็ตได้ ให้ทำการดาวน์โหลด Download SuperDAT (v1.6 MD5=17ebe5d78e1c5a1bc20e61f7b8e93a8c) โดยให้เก็บไว้ในสื่อเก็บข้อมูลแบบพกพาแบบ USB หรือ CD-ROM เพื่อความสะดวกในการใช้งาน
2. ทำการต่อสื่อเก็บข้อมูลแบบพกพา (จากขั้นตอนที่ 1) เข้ากับเครื่องคอมพิวเตอร์ที่ได้รับผลกระทบเพื่อทำการรัน SuperDAT

หมายเหตุ: ในกรณีที่ไม่สามารถบูทวินโดวส์เข้าโหมดปกติ (Normal Mode) ให้ทำการรีสตาร์ทเครื่องคอมพิวเตอร์เข้า Safe Mode โดยการกดปุ่ม F8 ก่อนที่จะปรากฏหน้าจอ Windows splash

3. ทำการรันเครื่องมือ SuperDAT แล้วรอจนการทำงานแล้วเสร็จ
4. เครื่องคอมพิวเตอร์เข้าโหมดปกติ (Normal Mode)
5. ทำการล็อกออนเข้าระบบวินโดวส์จากนั้นให้ทำการอัพเดทไวรัสเดฟินิชันเป็น DAT 5959 หรือใหม่กว่าโดยใช้ product update

วิธีที่ 2 การป้องกันปัญหาบนเครื่องคอมพิวเตอร์ที่มีความเสี่ยงโดยใช้ EXTRA.DAT
วิธีการป้องกันปัญหาบนเครื่องคอมพิวเตอร์ที่มีความเสี่ยงโดยใช้ EXTRA.DAT ทำการยับยั้งการเกิด false positive detection สำหรับการใช้ EXTRA.DAT ทำการแก้ไขเครื่องคอมพิวเตอร์ที่ประสบปัญหานั้นจะต้องทำใน Safe Mode และจะต้องทำการรีสโตร์ไฟล์ svchost.exe จากโฟลเดอร์ Quarantine แบบแมนนวล

หมายเหตุ: ก่อนการแอพพลาย EXTRA.DAT บนเครื่องคอมพิวเตอร์ที่ประสบปัญหา จะต้องปิดการทำงาน Access Protection ตามขั้นตอนดังนี้
1: คลิก Start คลิก Programs คลิก McAfee จากนั้นคลิก VirusScan Console
2: ในหน้า VirusScan Console ให้คลิกขวา "Access Protection"
3: จากนั้นเลือก "Disable" จากเมนูคอนเท็กซ์

ขั้นตอนการใช้งาน EXTRA.DAT
1. ทำการดาวน์โหลดไฟล์ Download EXTRA.ZIP หลังจากดาวน์โหลดเสร็จเรียบร้อยให้ทำการแตกไฟล์ซึ่งจะได้ไฟล์ EXTRA.DAT โดยการดาวน์โหลดนั้นอาจจะต้องทำบนเครื่องคอมพิวเตอร์ซึ่งสามารถใช้งานได้ตามปกติและสามารถใช้งานอินเทอร์เน็ตได้ และให้เก็บไว้ในสื่อเก็บข้อมูลแบบ USB หรือ CD-ROM
2. ทำการรีสตาร์ทเครื่องคอมพิวเตอร์ใน Safe Mode โดยการกดปุ่ม F8 ก่อนที่จะปรากฏหน้าจอ Windows splash
3. ทำการก็อปปี้ไฟล์ EXTRA.DAT ไปยังโฟลเดอร์ "\Program Files\Common Files\McAfee\Engine"
4. เปิด Windows Explorer แล้วเนวิเกตไปยังโฟลเดอร์ C:\WINDOWS\system32 จากนั้นดำเนินการตามข้อใดขอหนึ่งดังนี้
a. ถ้ามีไฟล์ svchost.exe ในโฟลเดอร์นี้โดยที่ขนาดของไฟล์ไม่เป็น 0 ไบต์ ให้ข้ามไปยังขั้นตอนที่ 7
b. ถ้าไม่มีไฟล์ svchost.exe ในโฟลเดอร์นี้ หรือมีแต่ขนาดของไฟล์เป็น 0 ไบต์ ให้ทำการเปิด VirusScan Console โดยคลิก Start คลิก Programs คลิก McAfee จากนั้นคลิก VirusScan Console ในกรณีที่ไม่สามารถเปิดได้ให้คลิก Start คลิก Run จากนั้นพิมพ์คำสั่งด้านล่าง (รวมเครื่องหมายคำพูด) เสร็จแล้ว OK
"C:\program files\mcafee\virusscan enterprise\mcconsol.exe" /standalone

5. ในหน้า VirusScan Console ให้ดับเบิลคลิก Quarantine Manager Policy จากนั้นคลิกแท็บ Manager
6. คลิกขวาที่ detection และเลือก Restore จากเมนูคอนเท็กซ์
7. เครื่องคอมพิวเตอร์เข้าโหมดปกติ (Normal Mode)

ในกรณีที่ไม่สามารถทำการรีสโตร์ไฟล์ svchost.exe จาก Quarantine หรือขนาดของไฟล์เป็น 0 ไบต์ ให้ดำเนินการตามขอใดขอหนึ่งตามความเหมาะสมดังนี้
1. ทำการก็อปปี้ไฟล์ svchost.exe จากเครื่องคอมพิวเตอร์ที่ไม่ได้รับผลกระทบ
บนเครื่องคอมพิวเตอร์ที่ไม่ได้รับผลกระทบ ให้ทำการก็อปปี้ไฟล์ svchost.exe ซึ่งจะอยู่ในโฟลเดอร์ c:\Windows\System32 ใส่สื่อเก็บข้อมูลแบบพกพาแบบ USB หรือ CD-ROM จากนั้นนำสื่อดังกล่าวไปต่อเข้ากับเครื่องคอมพิวเตอร์ที่ได้รับผลกระทบแล้วทำการก็อปปี้ไฟล์ svchost.exe ไปยังโฟลเดอร์ c:\Windows\System32 ทั้งนี้ คอมพิวเตอร์ทั้ง 2 เครื่องต้องใช้วินโดวส์เวอร์ชันเดียวกัน

2. ถ้ามีเครื่องคอมพิวเตอร์เพียงเครื่องเดียว หรือเครื่องคอมพิวเตอร์ทั้งหมดได้รับผลกระทบ
ทำการก็อปปี้ไฟล์ svchost.exe ไฟยังโฟลเดอร์ c:\WINDOWS\system32 ตามวิธีการข้อใดขอหนึ่งดังนี้
• จากหน้าต่าง Windows Explorer ให้เนวิเกตไปยังโฟลเดอร์ c:\windows\ServicePackFiles\i386\ หรือC:\WINDOWS\system32\dllcache\ จากนั้นทำการก็อปปี้ไฟล์โดยการคลิกขวาไฟล์ svchost.exe แล้วเลือก Copy แล้วให้ไปยังโฟลเดอร์ c:\WINDOWS\system32 และทำการคลิกขวาแล้วเลือก Paste

• ถ้าไฟล์ svchost.exe อยู่ในโฟลเดอร์ c:\windows\ServicePackFiles\i386\ ให้เปิดหน้าต่างคอมมานด์พร็อมท์แล้วพิมพ์คำสั่งด้านล่างเสร็จแล้วกดปุ่ม Enter
copy c:\windows\ServicePackFiles\i386\svchost.exe c:\WINDOWS\system32

• ถ้าไฟล์ svchost.exe อยู่ในโฟลเดอร์ c:\WINDOWS\system32\dllcache ให้เปิดหน้าต่างคอมมานด์พร็อมท์แล้วพิมพ์คำสั่งด้านล่างเสร็จแล้วกดปุ่ม Enter
copy c:\windows\ServicePackFiles\i386\svchost.exe c:\WINDOWS\system32\dllcache

ถ้าไม่สามารถทำการรีสโตร์ไฟล์ svchost.exe จากเครื่องคอมพิวเตอร์ตาม 2 วิธีการด้านบนได้ จะต้องทำการรีสโตร์จากแผ่นซีดีติดตั้ง Windows XP ตามขั้นตอนดังนี้
1. ทำการสตาร์ทเครื่องคอมพิวเตอร์จากแผ่นซีดีติดตั้ง Windows XP จากนั้นเลือกโหมด Recovery console
2. ดำเนินการตามคำสั่งบนหน้าจอและทำการล็อกอินด้วย Administrator เสร็จแล้วจะได้คอมมานด์พร็อมท์ ตัวอย่างเช่น C:\WINDOWS>
3. ที่คอมมานด์พร็อมท์ให้พิมพ์ [drive_letter]: แล้วกดปุ่ม Enter
เมื่อ [drive_letter] เป็นไดรฟ์ของแผ่นซีดีติดตั้ง Windows XP เช่น D:

4. พิมพ์ cd \I386 แล้วกดปุ่ม Enter คอมมานด์พร็อมท์จะเปลี่ยนเป็น [drive_letter]:\I386>
5. พิมพ์คำสั่งด้านล่างเสร็จแล้วกดปุ่ม Enter
expand svchost.ex_ [drive_letter]:\windows\system32

เมื่อ [drive_letter] เป็นไดรฟ์ที่ Windows XP ติดตั้งอยู่ โดยทั่วไปเป็น C:

6. พิมพ์ exit แล้วกดปุ่ม Enter เพื่อทำการรีสตาร์ทเครื่องคอมพิวเตอร์

เรื่องที่เกี่ยวข้อง
McAfee false positive detection of w32/wecorl.a in DAT v.5958

แหล่งข้อมูลอ้างอิง
McAfee Corporate KnowledgeBase

© 2010 TWA Blog. All Rights Reserved.

0 Comment: