Windows XP не се стартира след обновяване на McAfee

Posted on | April 21, 2010 | No Comments

Днес стана ясно, че след обновяване на DAT 5958 файл на антивусната програма McAfee разпознава svhost.exe на Windows XP SP3 като вирус w32/wecorl.a. Тревогата е фалшива, но файлът се изтрива или поставя под карантина и създава проблеми при стартиране на операционната система.  Последствията са син екран с безкрайно рестартиране, изключване  след поява на RPC или DCOM грешка. Проблемното обновяване е оправено за по-малко от 4 часа, но е засегнало хиляди компютри по света, включително и такива в болници.

Решението на проблема е преименуване или изтриване на файла с антивирусните дефиници и копиране на svhost.exe.  Примерни стъпки:

1. Стартиране на Windows в Safe Mode (натиска се F8 преди да се покаже анимацията за зареждане на Windows XP).
2. В C:\Program Files\McAfee\VirusScan се изтрива директорията (папката) DAT.
3. Копира се svhost.exe от dllcache в system32. За да се получи през Windows Explorer (или My computer) е нужно в настройките да се укаже да се показват скритите и системни директории. Друга възможност е стратиране на cmd.exe. Най-вероятно това ще е възможно само през Task Manager-a, който се стартира с клавишната комбинация CTR+ALT+DEL или CTR+SHIFT+ESC. След това от менюто се избира File -> New Task (Run).  Въвежда се cmd, след като се стартира се пише следната команда:

copy %systemroot%\system32\dllcache\svchost.exe %systemroot%\system32\

Ако в dllcache не съществува копие на svhost.exe е възможно да е създадено такова от System Restore. Директорията се казва SystemVolume Information и е скрита. Също така за да е достъпна не е достатъчен администраторски, а е нужен системен акаунт. Това може да реши по два начина. Единият е да се ползва ERD Commander (вече е част от пакета Misrosoft Desktop Optimization Pack – накратко MDOP). Другият е да се стартира cmd.exe или explorer.exe със системни привилигии с използването на tool като PSExec от SystemInternals. Друго възможно място, където е вероятно да има копие на C:\WINDOWS\servicepackfiles\i386\.

Стъпка 3 може да се пропусне или ако е неуспешна да се направи проверка интегритета на системнте файлове с командата:

sfc /scannow

Изпълнява се отново в командния интерпретатор (cmd). При липса на файлове в C:\Windows\system32\dllcache e възможно да поиска инсталационен диск с Windows XP SP3.

За корпоративните си клиенти McAfee са създали улеснение: SuperDAT. Стартира се също oт Safe Mode или се следват предписанията на Microsoft за стартиране чрез зареждане през мрежа или от преносим носител. За повече информация – сайта на McAfee.

Related posts:

1. Как се стартира Windows

Comments