False positive detection of w32/wecorl.a in 5958 DAT (Untuk pengguna Corporate/Business) – VirusScan Enterprise

Kesalahan Standar atau False positive detection of w32/wecorl.a in 5958 DAT (for Corporate/Business users) – VirusScan Enterprise

Indonesia

Tak ada yang sempurna, mungkin kata inilah yang cocok untuk topic kita kali ini, yah dibidang antivirus tentunya.  Pada tanggal 21 April 2010 bulan ini, bagi Komputer yang terinstallas antivirus Mcafee dengan kode update DAT 5958 dengan Sistem Operasi Windows XP service Pack 3 akan merasakan keluhan-keluhan aneh pada komputernya jika berhadapan dengan jenis virus w32/wecorl.a, yang dianggap oleh System Mcafee sendiri merupakan false positive detection (salah persepsi) dimana sebagian atau mungkin seluruhnya antivirus di dunia memakai algoritma ini.

Yuk kita bahas, apaan sih error nya??


Mcafee menyebutkan dalam situs mereka kc.mcafee.com bahwa akan tercipta “Blue screen or DCOM error, followed by shutdown messages after updating to the 5958 DAT on April 21, 2010.” Yang berarti tiba-tiba computer anda akan tiba-tiba berubah menjadi layar biru (dikenal blue screen dengan tulisan putih dan tertulis kode-kode di layar) saat dilakukan update manual ataupun update otomatis by system oleh antivirus mcafee itu sendiri.

“McAfee added detection for variants of the W32/Wecorl.a threat in DAT file 5958. This detection caused a false positive on the svchost.exe Windows system file. The threat parasitically patches the svchost.exe file by modifying data at the entry point or the entry point itself of the original file, to maintain control on the system. In some instances the patch has been found to be polymorphic in nature. McAfee had observed prior infected versions of svchost.exe files and had detection for this threat. This specific detection was added to target a cluster of infected svchost.exe files gathered through our malware collections, directly associated with samples from the W32/Wecorl.a families.”

Hal ini membuat para pengguna mcafee diseluruh dunia, terutama bagi pengguna kantoran dan industry banyak mengeluh akan terjadinya hal ini, bukan tidak sedikit loh pengguna antivirus ini di Indonesia, dipercayainya antivirus ini sebagai salah satu antivirus handal tidak lepas dari rasa pengalamannya dan kemungkinan sedikitnya terjadi error, mereka mengatakan hal ini baru pertama kali mereka rasakan setelah satu decade lamanya, sejak berdiri pada tahun 1994 lalu. Wah bisa teman-teman bayangkan dong berapa lama mereka eksis di dunia ini..??

Bagaimana cara memperbaikinya??

Nasi memang sudah menjadi bubur, namun bagaimana caranya lagi merubah tuh nasi jadi bubur yang lezat dan bukan dibuang dan ditinggal begitu aja. Nah bagi teman-teman yang udah terlanjut kena oleh false positive alert ini pada komputernya bisa teman-teman ikuti langkah-langkah berikut.

Solusi 1

  1. Download file ini

http://download.nai.com/products/mcafee-avert/tools/SDAT5958_EM.exe (v1.9 MD5=7493ec6600b98627222a4d09300d2173 ; SDAT5958_EM.exe:[0-6D9CF]) (size: 448,976 bytes = 448Kb)  Simpan dan pindahkan ke dalam flash disk teman-teman.

  1. Masuk ke dalam Windows Safe Mode, (sebelum  muncul  logo windows running, tekan F8 pada keyboard teman-teman dan  pilih safe mode.
  2. Jalankan file Recovery SuperDat tool yang telah teman-teman download  tadi dikomputer kamu.
  3. Restart dan  Jalankan Komputernya seperti biasa.
  4. Selesai dan lakukan update secara normal, pastikan teman-teman mengupdate file versi DAT 5959 pertanggal 21 April 2010 atau yang lebih baru.
  5. Normal lagi deh, cek tanggal computer kamu dan  selalu  cek Repository List link nya ke alamat-alamat berikut:
    1. http://udpate.nai.com/products/commonudpdater
    2. http://ftp.nai.com/CommonUpdater

*Note: Bagi computer-komputer kantor yang terhubung dengan auto update server terpusat, Repository Listnya bisa disesuaikan dengan alamat tempat teman-teman bekerja. J, untuk hal ini silahkan teman-teman konsultasikan dengan pakar IT atau FLS (First Level Support) tempat teman-teman bekerja, pasti mereka lebih banyak tahu, dan pasti tahu.

Solusi 2

  1. Download file berikut https://kc.mcafee.com/resources/sites/MCAFEE/content/live/CORP_KNOWLEDGEBASE/68000/KB68780/en_US/EXTRA.zip (6Kb)
  2. Hidupkan computer dengan Jaringan Mode :ON: dan  dalam  mode SAFE MODE :ON:
  3. Copy EXTRA.DAT yang sudah teman-teman download  tadi ke C:\Program Files\Common Files\McAfee\Engine. *disesuaikan dengan tempat teman-teman menginstall Mcafee pada mulanya.
  4. Buka C:\WINDOWS\system32,

Nah disini kita cek lagi, ada 2 kemungkinan

  1. Jika file svchost.exe masih ada dan tidak bernilai 0 byte silahkan lanjut ke langkah 7 (restart computer secara normal)
  2. Jika file svchost.exe hilang, atau bernilai 0 byte, maka yang perlu teman-teman lakukan adalah

  1. 1. Klik Start – Programs – Mcafee Virusscan Console
  2. 2. (*Note: jika proses no.1 ga bisa, teman-teman bisa lakukan melalui command line dengan cara Win+R ketik CMD

Masuk secara beruturan ke dalam file:

“C:\program files\mcafee\virusscan enterprise\mcconsol.exe”

Dan ketik /standalone

Sehingga menjadi

C:\program files\mcafee\virusscan enterprise\mcconsol.exe” /standalone

Untuk daftar perintah-perintah CMD (command) dalam DOS, teman-teman bisa ketik a-z pada menu Help (F3) di tab search nya. (ini ilmu baru kan – bagi newbie)

  1. Double click Quarantine Manager Policy, pilih manager Tab.
  2. Klik kanan dan pilih Restore.
  3. Restart Ulang dan selesai deh.

*)Note: Jika teman-teman agak kesulitan utk meRestore file svchost.exe, bisa juga dicopy file tersebut dari komputer yang sehat ke komputer yang sedang bermasalah tersebut dengan catatan file tersebut berasal dari 2(dua) system Operasi yang sama dan dengan versi yang sama.

Nah, cara copy  file svchost.exe ini dapat dilakukan dengan 3 cara: (pilih salah satu)

  1. 1. dicopy melalui Windows Explorer dari alamat folder berikut c:\windows\ServicePackFiles\i386\ (jikapun tidak ada, bisa juga dari C:\WINDOWS\system32\dllcache\) dan copykan ke c:\WINDOWS\system32
  2. 2. Melalui command prompt dari c:\windows\ServicePackFiles\i386\ ke c:\WINDOWS\system32 dengan perintah >>

copy c:\windows\ServicePackFiles\i386\svchost.exe c:\WINDOWS\system32

dan copy c:\windows\ServicePackFiles\i386\svchost.exe  c:\WINDOWS\system32\dllcache

melalui CD Recovery atau Restore from CD

  1. Jalankan Windows XP dari Recovery Console
  2. C:\Windows
  3. Pilih drive <drive_letter>: tekan ENTER (default C:\)
  4. Ketik cd \I386 dan tekan ENTER maka akan terlihat <drive_letter>:\I386
  5. Tulis perintah berikut dan tekan ENTER

Expand svchost.ex_ <drive_letter>:\windows\system32 dan tekan ENTER

Dimana <drive_letter>: adalah posisi dimana instalasi windows itu ditempatkan, (default C:\)

  1. Ok jadi deh, sekarang file svchost.exe sudah terpasang di folder C:\WINDOWS\system32 kamu.
  2. Restart lah untuk melihat hasilnya.

Oke deh, demikian lah artikel ini saya tulis ulang dari situs resminya mcafee dalam penanganan error yang timbul akibat False positive detection of w32/wecorl.a di dalam file update DAT  5958.  Untuk teman-teman yang ingin mengetahui lebih banyak dan ingin lebih jelas, teman-teman bisa membuka artikel ini di webnya langsung.

https://kc.mcafee.com/corporate/index?page=content&id=kb68780