Una actualización de McAfee ha detectado como falso positivo un archivo de Windows XP y los ordenadores afectados, se reinician continuamente.
En el sitio web de McAfee dicen lo siguiente:
| Announcements | ||
|---|---|---|
|
También tenemos información en este enlace de McAfee gracias a @aitorssm y Twitter.
Explican su actitud ante el problema en: McAfee Response to DAT Version 5958 False Positive Error.
He conseguido solucionar el problema en cuatro ordenadores ya, pero en cada caso puede ser diferente.
McAfee dice que sacará alguna utilidad para realizarlo automáticamente, pero de momento he tenido que salir al paso con lo que disponía.
A continuación explico cómo lo he realizado para quien le pueda ser de utilidad:
Conseguir el extra.dat de aquí y descomprimirlo en un pendrive.
Conseguir el Superdat (5959xdat.exe) de aquí y copiarlo al pendrive.
Conseguir un svchost.exe de una máquina similar a la que tenga el problema por si acaso no lo encontramos en la máquina original.
Puede ocurrir dos cosas que yo haya visto, por un lado, que la máquina se reinicie al de poco de arrancar, o que la máquina esté arrancada pero no vea la barra de tareas.
En el segundo caso, pulsar Ctrl+Alt+Supr para lanzar el Administrador de tareas y decirle apagar.
Arrancar con el pendrive metido.
En ambos casos, al arrancar la máquina, antes de aparecer el mensaje de Windows, pulsar muchas veces la tecla de función F8 para detener el arranque.
Arrancar en «Modo seguro con funciones de red».
Una vez arrancado, ir a «Mi PC», «Disco Duro C:», «Windows», «System32» y ejecutar el programa «CMD.EXE».
Nos abre una ventana con el estilo antiguo de DOS y responde: «c:\windows\system32>»
Comprobamos el estado del archivo SVCHOST.EXE con el comando:
dir svchost.exe
Si el tamaño del archivo es CERO, ha sido eliminado por el antivirus.
En la web de McAfee dicen que lo recuperes de los archivos de Cuarentena, pero yo no lo conseguido.
En su lugar tengo una de dos opciones, dependiendo de cómo haya sido instalada la máquina.
Ejecutamos cd c:\windows
Vamos a ver si tenemos guardados los archivos del ServicePack con el comando: dir servicepackfiles
Si nos responde con contenido, lo hemos encontrado, copiamos con el siguiente comando
copy c:\windows\servicepackfiles\i386\svchost.exe c:\windows\system32
Si os pide confirmar, le decimos que SÍ.
En caso de que no exista esa carpeta, probamos con esta otra:
copy c:\windows\system32\dllcache\svchost.exe c:\windows\system32
En caso de que tampoco exista, entonces recurrimos al que hemos obtenido de otra máquina y tenemos en el pendrive.
Ahora intentaremos saber qué letra de unidad ha asignado el sistema a nuestro pendrive:
Estamos en c:\ lo que sea
Probamos ejecutando dir e:
Si vemos los tres archivos, ya lo tenemos, si no, probamos el comando dir, cambiando la letra por la f:, g:, h: … así hasta que sepamos cuál es.
Supongamos que la letra de unidad del pendrive es la letra g:, entonces tendríamos que ejecutar:
cd c:\archivos de programa
cd archivos comunes
cd mcafee
cd engine
copy g:extra.dat c:
Para terminar, ejecutamos el Superdat con el comando:
g:\5959xdat.exe
Le damos a todo aceptar y cuando termine reiniciamos. Si todo ha ido correcto, funcionará.
Todo esto lo hemos hecho teniendo los archivos fuera de la máquina (en un pendrive) pero en algunos casos, al arrancar en «Modo Seguro con Acceso a Red», me ha permitido lanzar el navegador, con lo que directamente he bajado los archivos de internet en lugar de utilizar el pendrive.
Espero que le sirva a alguien.
Publicado el 22 de abril de 2010 a las 12:42.
Actualización 22/04/2010 a las 15:30: Recibo un correo de McAfee a las 14:33 firmado por «Dave DeWalt, President and CEO», en el comunica el incidente y realiza una «estimación» de que ha afectado a: (literal) «less than one half of one percent of our enterprise accounts globally and a fraction of that within the consumer base». En mi caso, ha afectado a TODOS los ordenadores con McAfee y Windows XP SP3 salvo tres que en ese momento estaban desconectados. Estos ordenadores al conectar hoy, se han actualizado correctamente no dando posteriores problemas. Por último, en el correo se excusan alegando diversos motivos que no voy a analizar y piden disculpas por las molestias ocasionadas.
Aprendiz de todo, maestro de nada 
Muchas gracias por tu ayuda
Para los que usen Epolicy Orchestrator (EPO) Tenéis que descargar los archivos DAT y Extra.DAT y crear una tarea de actualización urgente.
Vaya mañanita nos han dado en Mcafee
Cierto Boloo, el problema puede estar en que en algunas máquinas al arrancarlas, automáticamente se apagan transcurrido un minuto, e igual no dejan al antivirus recoger la directiva del EPO.