ウイルス定義 (DAT) ファイル5958での W32/Wecorl.a 誤認について
製品 ウイルス定義ファイル(DATファイル) Version ALL
OS ALL 問題番号 DT10042201

DAT 5958 の定義ファイルにおいて、Windows の主要ファイルである svchost.exe を誤認することが確認されました。
本障害は、Microsoft Windows XP SP3 をご利用の環境で発生します。その他の OS では発生しません。

  1. VirusScan Enterprise (以下 VSE) 8.7i をご利用で、[有効なプロセス] オプションを有効にしている場合
  2. VSE 8.5i、VSE 8.7i をご利用で、[実行中のプロセス] を対象とし、オンデマンドスキャンを行った場合
回避策

本修正のための DAT 5959 をリリースさせていただきました。弊社ダウンロードサイトより、最新の DAT をダウンロードし、適用してください。

svshost.exe が隔離、削除された場合の復旧手順:

  1. 障害が発生しているPCをセーフモードで起動します。
  2. ログイン後、Windows キー + E などで Explorer を起動します。
    svchost.exe が起動していないため、タスクバーが表示されない場合があります。
  3. C:\Windows\System32 配下の svchost.exe を確認します。
    svchost.exe がない、またはサイズが 0 バイトの場合は、下記に記載の [隔離マネージャからの復旧] または [手動復旧] の手順を実行します。
    svchost.exe があり、サイズが正しい場合は、DAT を 5959 以降に更新してください。

●ツールによる復旧

  1. 以下の URL からツールをダウンロードします。
    http://download.nai.com/products/mcafee-avert/tools/SDAT5958_EM.exe
    ツールは、障害の発生していない端末でダウンロードし、CD などのメディアにコピーします。
    ※USBデバイスは使用できない可能性があります。
  2. 問題となっている端末に、4で作成した CD などを挿入します。
  3. Windows キー + R でファイル名を指定して実行を表示させるか、2 で起動した Explorer から cmd.exe を実行します。
    (svchost.exe が起動していないため、スタート メニューを表示できない場合があります。)
  4. 以下のコマンドを実行し、ハードディスクにコピーします。
    例) copy d:\SDAT5958_EM.exe c:\
    ※本ツールは、読み取り専用のドライブからは実行できません
  5. 2で起動した Explorer から7でコピーしたフォルダを開きます (上記の例では C:\) 。
  6. SDAT5958_EM.exe をダブルクリックし実行します。
  7. [次へ] をクリックし先に進みます。
  8. 処理が開始されます。完了したら、[Finish] ボタンをクリックして画面を終了します。
  9. 再起動後 DAT を更新し 5959 以降にします。
    DAT の更新は、特に指定はありません。いつも行っている更新方法で行ってください。

●隔離マネージャからの復旧

  1. 2で起動した Explorer から以下のファイルを実行します。
    c:\program files\mcafee\virusscan enterprise\mcconsol.exe
    (svchost.exe が起動していないため、スタート メニューを表示できない場合があります。)
  2. 有効なプロセスのスキャンをオフにします。
    ※本手順は VSE 8.7i をご利用の方のみ行います。
    1. [オンアクセススキャン] をダブルクリックします。
    2. [一般] タブにある [有効なプロセス] のチェックをオフにします。。
    3. [OK] ボタンをクリックして設定を反映させます。。
  3. VirusScan コンソールから、[Quarantine Manager のポリシー]を起動します。
  4. [マネージャ]タブをクリックします。
  5. 脅威の名称が W32/Wecorl.a の行を右クリックします。
  6. 表示されたメニューから [復元] をクリックします。
  7. 確認メッセージが表示されます。 [はい] をクリックします。
    復元完了メッセージが表示されます。失敗した場合は手動復旧の手順を実行してください。
  8. 再起動後 DAT を更新し 5959 以降にします。
    DAT の更新は、特に指定はありません。いつも行っている更新方法で行ってください。

●手動復旧

  1. 有効なプロセスのスキャンをオフにします。
    ※本手順は VSE 8.7i をご利用の方のみ行います。
    1. 2で起動した Explorer から以下のファイルを実行します。
      c:\program files\mcafee\virusscan enterprise\mcconsol.exe
    2. [オンアクセススキャン] をダブルクリックします。
    3. [一般] タブにある [有効なプロセス] のチェックをオフにします。
    4. [OK] ボタンをクリックして設定を反映させます。
  2. Windows キー + R でファイル名を指定して実行を表示させるか、2 で起動した Explorer から cmd.exe を実行します。
    (svchost.exe が起動していないため、スタート メニューを表示できない場合があります。)
  3. コマンドプロンプトが起動します。以下のコマンドを実行します。
    copy c:\windows\ServicePackFiles\i386\svchost.exe c:\windows\system32
    または
    copy c:\windows\system32\dllcache\svchost.exe c:\windows\system32
    (svchost.exe が起動していないため、コピー & ペースト ができない場合があります。)
  4. DAT を5959 以降にします。
    DAT の更新は、特に指定はありません。いつも行っている更新方法で行ってください。

上記手順でも復旧できない場合:

上記手順で復旧できない場合は、正常に稼働している端末から svchost.exe をコピーし問題となる端末にコピーする必要があります。

  1. 正常に稼働している端末から以下のフォルダにある svchost.exe を CD などのメディアにコピーします。
    ※USBデバイスは使用できない可能性があります。
  2. 障害が発生しているPCをセーフモードで起動します。
  3. 有効なプロセスのスキャンをオフにします。
    ※本手順は VSE 8.7i をご利用の方のみ行います。
    1. Windows キー + E などで Explorer を起動し、以下のファイルを実行します。
      c:\program files\mcafee\virusscan enterprise\mcconsol.exe
    2. [オンアクセススキャン] をダブルクリックします。
    3. [一般] タブにある [有効なプロセス] のチェックをオフにします。
    4. [OK] ボタンをクリックして設定を反映させます。
  4. Windows キー + R でファイル名を指定して実行を表示させるか、3-i で起動した Explorer から cmd.exe を実行します。
  5. コマンドプロンプトが起動します。以下のコマンドを実行します。
    copy d:\svchost.exe c:\windows\system32
    ※ d:\svchost.exe の箇所はお客様のコピーしたメディアのフォルダ、ドライブ構成に応じて変更してください。
  6. DAT を5959 以降にします。
    DAT の更新は、特に指定はありません。いつも行っている更新方法で行ってください。

掲載日 2010/04/22

製品・エンジンのサポート期間
プレインストール版製品・エンジンのサポート期間