Saturday, April 24, 2010

How to fix McAfee false positives crashed computer

วิธีการแก้ไขปัญหาเครื่องคอมพิวเตอร์ที่ได้รับผลกระทบจาก false positive detection จากโปรแกรม Antivirus ของ McAfee โดยใช้ EXTRA.DAT
บทความโดย: Thai Windows Administrator Blog

สืบเนื่องจากความผิดพลาดในไฟล์ไวรัสเดฟินิชัน DAT v.5958 ที่ McAfee ออกเมื่อวันที่ 21 เมษายน 2553 ส่งผลให้เกิด false positive detection ในการทำงานของ Antivirus ของ McAfee โดยโปรแกรมจะเข้าใจผิดว่าโปรเซสที่รันภายใต้ svchost.exe (ซึ่งเป็นไฟล์ระบบของวินโดวส์) เป็นไวรัส w32/wecorl.a จึงทำการกักกันหรือลบโปรเซสของไฟล์ Svchost.exe ทำให้เกิดปัญหาวินโดวส์ขึ้นจอฟ้าหรือ Blue Screens of Death (BSoD) และชัทดาวน์โดยอัตโนมัติ ซึ่งก่อนหน้านี้ผมได้โพสต์วิธีการแก้ไขจาก McAfee ไปแล้วในเอนทรี่ McAfee false positive detection solution สำหรับเอนทรี่นี้จะเป็นวิธีการแก้ไขจากเว็บไซต์ Cnet

หมายเหตุ: วิธีการนี้มีขั้นตอนที่ซับซ้อนและมีหลายขั้นตอน จึงเหมาะสำหรับผู้ใช้คอมพิวเตอร์ที่มีทักษะเท่านั้น

โดย Cnet ได้แนะนำวิธีการแก้ไขปัญหาเครื่องคอมพิวเตอร์ที่ได้รับผลกระทบจาก McAfee false positive detection รายละเอียดดังนี้

ในกรณีที่เครื่องคอมพิวเตอร์ทำการชัทดาวน์ตัวเองโดยอัตโนมัติ ก่อนดำเนินการแก้ไขจะต้องป้องกันเครื่องคอมพิวเตอร์ไม่ให้ทำการชัทดาวน์ตัวเองตามขั้นตอนดังนี้
1. เปิดหน้าต่างคอมมานด์พร็อมท์โดยคลิก Start คลิก Run จากนั้นพิมพ์ cmd.exe เสร็จแล้วกดปุ่ม Enter
2. ในหน้าต่างคอมมานด์พร็อมท์ให้พิมพ์คำสั่ง shutdown -a เสร็จแล้วกดปุ่ม Enter

ขั้นตอนที่ 1. ปิดการทำงาน Access Protection และ On-Access Scanner
ขั้นตอนแรกให้ทำการปิดการทำงาน Access Protection และ On-Access Scanner ตามขั้นตอนดังนี้
1. คลิก Start คลิก Programs คลิก McAfee จากนั้นคลิก VirusScan Console
2. ในหน้า VirusScan Console ให้คลิกขวา "Access Protection"
3. จากนั้นเลือก "Disable" จากเมนูคอนเท็กซ์

ขั้นตอนที่ 2. ทำการรีสโตร์ไฟล์ svchost.exe
ทำการดาวน์โหลดไฟล์ EXTRA.ZIP หลังจากดาวน์โหลดเสร็จเรียบร้อยให้ทำการแตกไฟล์ซึ่งจะได้ไฟล์ EXTRA.DAT โดยการดาวน์โหลดนั้นอาจจะต้องทำบนเครื่องคอมพิวเตอร์ซึ่งสามารถใช้งานได้ตามปกติและสามารถใช้งานอินเทอร์เน็ตได้ และแนะนำให้เก็บไว้ในสื่อเก็บข้อมูลแบบ USB หรือ CD-ROM เพื่อความสะดวกในการใช้งาน

หลังจากทำการแตกไฟล์ EXTRA.DAT เสร็จเรียบร้อยแล้วให้ดำเนินการตามขั้นตอนดังนี้
1. คลิก Start คลิก Run พิมพ์ services.msc แล้วคลิก OK
2. คลิกขวาบนเซอร์วิส McAfee McShield แล้วเลือก Stop จากเมนูคอนเท็กซ์
3. ทำการก็อปปี้ไฟล์ EXTRA.DAT ไปยังโฟลเดอร์ "\Program Files\Common Files\McAfee\Engine"
4. จากนั้นทำการรีสตาร์ทเซอร์วิส McAfee McShield โดยการคลิกขวาบนเซอร์วิส McAfee McShield แล้วเลือก Start จากเมนูคอนเท็กซ์
5. ทำการเปิดใช้งาน access protection โดยคลิก Start คลิก Programs คลิก McAfee จากนั้นคลิก VirusScan Console
6. ในหน้า VirusScan Console ให้คลิกขวา "Access Protection"
7. จากนั้นเลือก Enable" จากเมนูคอนเท็กซ์
8. ในหน้า VirusScan Console ให้ไปยังหัวข้อ Quarantine Manager Policy
9. จากนั้นคลิกแท็บ Manager
10. คลิกขวาไฟล์ svchost.exe ใน Quarantine และเลือก Restore
11. ทำการรีสตาร์ทเครื่องคอมพิวเตอร์เพื่อให้การเปลี่ยนแปลงมีผล

ในกรณีที่ไม่สามารถทำการรีสโตร์ไฟล์ svchost.exe จาก Quarantine ตามขั้นตอนที่ 2 ได้ ให้อ่านวิธีการอื่นในการรีสโตร์ไฟล์ svchost.exe จากเอนทรี่ McAfee false positive detection solution

อนึ่ง ถ้าหากครื่องคอมพิวเตอร์ที่ได้รับผลกระทบไม่สามารถสตาร์ทเข้าโหมดปกติ (Normal Mode) ได้จะต้องทำการรีสตาร์ทเครื่องคอมพิวเตอร์ใน Safe Mode โดยการกดปุ่ม F8 ก่อนที่จะปรากฏหน้าจอ Windows splash จากนั้นจึงดำเนินการขั้นตอนที่ 2

เรื่องที่เกี่ยวข้อง
McAfee false positive detection of w32/wecorl.a in DAT v.5958

แหล่งข้อมูลอ้างอิง
Cnet

© 2010 TWA Blog. All Rights Reserved.

0 Comment: