Jean-Sébastien DUCHENE Blog's

Actualité, Tips, Articles sur l'ensemble des Technologies Microsoft (Microsoft Intune, ConfigMgr, Microsoft Defender, Microsoft Purview, Microsoft Azure, Windows...)

 

Si vous suivez l’actualité informatique, vous avez dû entendre parler du problème engendré par une mise à jour de définition (5958 DAT) publiée dans la nuit de mardi à mercredi engendrant un faux positif. Ce faux positif entraine la mise en quarantaine ou suppression du fichier svchost.exe du répertoire c:\Windows\System32 sur les machines Windows XP SP3. La suppression de ce fichier primordial au fonctionnement du système engendre le redémarrage en boucle du système et des BSOD.

McAfee identifie le fichier svchost.exe comme le virus w32/wecorl.a (voir : https://kc.mcafee.com/corporate/index?page=content&id=KB68780)

Imaginez les problèmes que ça a engendrés auprès des particuliers mais aussi des entreprises … Résoudre le problème à l’échelle d’un poste c’est quelque chose mais à celle d’un parc informatique de 1000 machines, c’est tout autre chose !

Pour résoudre ce problème de manière relativement rapide à grande échelle, vous pouvez utiliser la puissance des séquences de tâches. Pour cela, il suffit de démarrer la machine sur le réseau et de copier le fichier svchost.exe dans le répertoire voulu.

Pour cela, suivez les opérations suivantes (merci à Frank Rojas, Ingénieur d’escalade chez Microsoft) :

·         Créez une séquence de tâches :

1.       Téléchargez et décompressez le fichier EXTRA.zip à partir du lien McAfee. Le fichier contient un fichier appelé EXTRA.DAT et permettant d’empêcher le problème de se reproduire.

2.       Dans la console d’administration SCCM, Naviguez vers "Computer Management" --> "Software Distribution" --> "Packages".

3.       Dans le nœud  "Packages", créez un package contenant le fichier EXTRA.DAT. Il n’est pas nécessaire de créer un programme pour ce package.

4.       Dans la console d’administration SCCM, Naviguez vers "Computer Management" --> "Operating System Deployment" --> "Task Sequences".

5.       Cliquez droit sur le nœud "Task Sequences" et choisissez "New" --> "Task Sequence"

6.       Dans l’assistant de création d’une séquence de tâches, sélectionnez "Create a new custom task sequence" et cliquez sur le bouton "Next >".

7.       Dans le champ "Task Sequence name:", donnez le nom que vous souhaitez.

8.       Passez à "Boot image:", cliquez sur "Browse..." et choisissez l’image de boot x86.

9.       Cliquez sur "Next >" et sur le bouton "Close".

10.   Cliquez droit sur la nouvelle séquence de tâches et sélectionnez Edit.

11.   Cliquez sur le menu "Add" et choisissez "General" --> "Run Command Line".

12.   Dans la tâche "Run Command Line" renseignez les champs comme suit :

Name:  Copy svchost.exe

Command line:  xcopy "C:\Windows\System32\dllcache\svchost.exe" "C:\Windows\System32\*.*" /Y

13.   Cliquez sur l’onglet « options »

14.   Sélectionnez « Add Condition » et « Task Sequence Variable »

15.   Dans la fenêtre "Task Sequence Variable", entrez les informations suivantes :

Variable: _SMSTSInWinPE

Condition:  equals

Value: true

16.   Cliquez sur le bouton OK

17.   Cliquez sur le menu "Add" et choisissez "General" --> "Run Command Line".

18.   Dans la tâche "Run Command Line" renseignez les champs comme suit :

Name:  Copy McAfee Extra.dat file

Command line: xcopy ".\EXTRA.DAT" "C:\Program Files\Common Files\McAfee\Engine\*.*" /Y

19.   Cliquez sur le bouton "Browse..." de l’option Package et sélectionnez le package créé lors de l’étape 3. Puis cliquez sur le bouton OK.

20.   Cliquez sur le bouton "OK" pour sauver la séquence de tâches.

21.   Appliquez la séquence de tâches à une collection contenant les ordinateurs affectés. Quand vous créez l’advertisement, assurez-vous de cocher l’option "Make this task sequence available to boot media and PXE".

 

Facebook Like