McAfee indica come nocivo un file di sistema di Windows XP

Dopo l’incidente occorso a BitDefender all’incirca un mese fa, anche McAfee “scivola” su un pericoloso “falso positivo”. Praticamente tutti i software antivirus ed antimalware possono incorrere, prima o poi, nel problema dei cosiddetti “falsi positivi”: si tratta di errori commessi durante la scansione che indicano come nocivi file che in realtà non sono affatto dannosi. La questione diventa però particolarmente insidiosa quando ad essere indicati come nocivi sono file di sistema, strettamente collegati con il funzionamento di Windows o di altre applicazioni benigne.

L’aggiornamento DAT 5958 rilasciato nelle scorse ore da McAfee sta causando non pochi problemi sui sistemi Windows XP SP3. I software antivirus di McAfee segnalano infatti la presenza di una minaccia (virus W32/Wecorl.a) all’interno del file di sistema svchost.exe. Il problema è particolarmente sentito anche in ambito aziendale: un’apposita policy (ePolicyOrchestrator) consente infatti di distribuire gli aggiornamenti all’interno di tutta l’infrastruttura e quindi di applicare gli update sulle varie workstation collegate in rete locale.

McAfee ha subito sanato la lacuna rilasciando un aggiornamento (EXTRA.DAT) che consente di “neutralizzare” il falso positivo. Chi però avesse problemi nel riavviare il personal computer dopo aver sfortunatamente già eliminato il file svchost.exe, indicato per errore come nocivo, può seguire diverse procedure per tornare a vedere il desktop di Windows.

Vediamo da vicino gli interventi che è possibile mettere in pratica.
Innanzi tutto, se Windows si spegne automaticamente, è necessario – prima di compiere qualunque altra operazione – aprire il prompt dei comandi (Start, Esegui, cmd) e digitare il comando shutdown -a. In questo modo si interromperà la procedura di arresto del sistema operativo.

A questo punto, come suggerito dalla stessa McAfee, è bene – dall’interfaccia dell’antivirus – disattivare la protezione in tempo reale e lo scanner “on demand”.
Nel caso in cui si disponga della connessione Internet, è poi necessario prelevare questo file (EXTRA.ZIP).

Adesso si dovrà arrestare il servizio “McAfee McShield” (Start, Esegui, services.msc) e copiare il file EXTRA.DAT (contenuto dell’archivio Zip prelevato in precedenza) all’interno della cartella ProgrammiFile comuniMcAfeeEngine. Effettuata l’operazione, si potrà riavviare il servizio “McAfee McShield” e riattivare la protezione in tempo reale dall’interfaccia del prodotto McAfee.
Come ultimo passo, si potrà ripristinare il file di sistema erroneamente posto in quarantena: l’operazione dovrà essere effettuata sempre dall’interfaccia dell’antivirus di McAfee.

Nel caso in cui non si disponga più dell’accesso Internet, si dovrà scaricare il file EXTRA.ZIP da un altro computer e portarlo sul sistema affetto dal problema utilizzando una chiavetta USB od un supporto CD ROM.