诺顿误报系统文件 杀毒后造成系统崩溃的紧急解决办法

Flyeagle

[紧急提醒]诺顿误报系统文件 杀毒后造成系统崩溃


今天早上，有不少网友反应，使用诺顿杀毒软件的系统中会查出一个名为Backdoor.Haxdoor的病毒。清除掉该病毒后，重新启动系统会出现蓝屏、无法进入系统的现象。

据C.I.S.R.T.分析，这是诺顿杀毒软件对微软KB924270补丁中的netapi32.dll和lsasrv.dll文件误报所致。安装了该补丁的操作系统会被诺顿查出存在病毒。

目前，已发现诺顿（NIS2007），诺顿360（Norton360）以及赛门铁克企业版杀毒软件（SAV）存在此问题，默认配置下NIS2007和Norton360会直接删除这两个系统文件而不需要用户确认。用户的计算机会立即出现“Windows 文件保护”对话框，提示系统文件被修改。


打开诺顿的主界面可以看到诺顿报告的文件路径和病毒名称。


C.I.S.R.T.建议用户，暂时关闭诺顿杀毒软件的实时监控程序，等待其升级解决该问题，或更换其它品牌的杀毒软件。系统已经受到该误报影响而无法启动的用户，可以使用系统启动盘启动计算机，修复安装操作系统，或从其它的计算机拷贝这两个文件。

紧急安全公告：XP系统中代码为“c000021a”蓝屏、无法重新进入系统的紧急解决办法
今天，360安全中心接到大量用户举报，在升级微软KB924270补丁程序后，诺顿会弹出病毒提示，按照其提示操作后系统出现蓝屏崩溃，重启电脑后无法进入系统。经查，原因如下：

诺顿反病毒软件升级到5月17日版本后，会导致打过微软KB924270补丁的XP系统崩溃，其原因是诺顿将KB924270更新过的netapi32.dll和lsasrv.dll文件误报为Backdoor.Haxdoor后门病毒，并且把他们隔离掉。经过调查，lsasrv.dll和netapi32.dll是正常的系统文件，隔离它们会造成重起机器后无法进入系统，安全模式也无法进入，蓝屏。

目前的紧急对策：

1、从系统中心---右击服务器---所有任务---Symantec  antivirus---病毒定义管理器---点击右上角的“配置”----出现对话框后店击“病毒定义文件”---然后选择之前的病毒定义。使得服务器不要下发今天的病毒定义。
2、对于已经更新病毒定义的客户端， 诺顿显示Backdoor.Haxdoor病毒后请大家千万不要重启电脑
3、关掉symantec antivirus 服务，如果netapi32.dll和lsasrc.dll文件存在，且修改日期不是今天，说明没有被完全隔离（应该是部分） ；从隔离区里面恢复这两个文件，或者从没有问题的电脑copy这两个文件到C:\windows\system32。
4、然后把C:\program files\common files\symantec shared\virusdefs下把20070517这个文件夹删掉。

注：Symantec（赛门铁克公司）正在加急开发更新的病毒定义，新的病毒定义出来后，请诺顿反病毒软件的用户更新到到最新版本，即能彻底解决此问题。

已经无法进入系统的解决方法:
1、使用标准的windowsXP 安装光盘启动计算机，在提示菜单处按R进入恢复控制台。
2、程序会提示找到一个已经存的操作系统 ，一般也只有一个，就按提示中按“1”，然后回车，选择需要修复的系统，并输入管理员密码。
3、执行如下命令进行修复（G表示光盘盘符）：
Expand G:\I386\netapi32.dl_ c:\windows\system32 [按回车]
Expand G:\I386\netapi32.dl_ c:\windows\system32\dllcache [按回车]
Expand G:\I386\lsasrv.dl_ c:\windows\system32 [按回车]
Expand G:\I386\lsasrv.dl_ c:\windows\system32\dllcache [按回车]
4、重新启动计算机，关闭诺顿的实时监控程序。
5、启动诺顿的隔离区，恢复netapi32.dll和lsasrv.dll。
6、等待赛门铁克公司解决该问题后，才可以继续启用诺顿实时监控程序。
7、关闭杀毒软件实时监控程序可能导致计算机感染其它的病毒、木马及恶意程序，用户可以暂时选用其它的杀毒软件。

Flyeagle

赛门铁克就“误杀系统文件”导致系统蓝屏、瘫痪解决办法

以下为赛门铁克公司就此问题的声明及解决方法。

尊敬的合作伙伴:

      2007年5月18日北京时间凌晨 1:00 左右,有两个简体中文版本的 Microsoft Windows 系统文件通过 LiveUpdate 或网站下载文件更新方式被错误添加到赛门铁克的防病毒软件定义中.客户的系统如果检测到这些文件(例如,通过系统扫描或自动防护功能)之后没有重新启动,并更新到5月18日下午2:30后的病毒定义代码,则系统将不会受到影响.系统如重新启动,则会受到此问题的影响.用户可以通过使用 Windows 恢复控制台,将系统回复到以前的状态.
到目前为止,赛门铁克进行的测试表明,只有在Windows XP SP2简体中文版打上补丁KB924270以后,并且当防病毒软件在5月18日凌晨1:00到下午2:30之间进行过病毒定义代码更新以后才会受到影响. 针对此问题的更新定义已于 2007年5月18日下午 2:30 左右公布.


       错误检测到的内容是通过一个自动进程添加的,此进程已经使用了一段时间,旨在应对我们全球观测到的与日俱增的威胁.由于在此自动进程中使用的一个第三方组件最近发生变化造成的意外影响,导致错误检测到两个系统文件.此问题现在已经解决,并可避免未来出现同一问题.对于由此给用户带来的不便,我们深表歉意.

解决方法:

1) 如果没有重新启动过电脑:使用LiveUpdate更新到最新的病毒定义代码就可以解决

2) 如果已经重新启动电脑并发生蓝屏现象:

要将计算机逐步恢复到工作状态,用户需要先加载恢复控制台,然后恢复 %system%/netapi32.dll 和 %system%/lsasrv.dll.重新启动计算机及安装病毒定义 20070517. 071或后续定义代码.具体步骤如下:

1) 找到Windows安装 CD,将其插入驱动(驱动下载)器,然后重新启动计算机.

2) 在启动时,选择从从 CD 启动的选项.

3) 当 Windows 设置过程中驱动程序加载完毕后,选择“R”启动恢复控制台.

4) 选择受影响的 Windows 安装程序,然后输入您的管理员密码.

5) 依次输入下列命令(如果出现提示则选择覆盖):

a. cd /windows/system32

b. expand(cd 驱动器盘符):/i386/netapi32.dl_

c. expand(cd 驱动器盘符):/i386/lsasrv.dl_

d. cd dllcache

e. expand(cd 驱动器盘符):/i386/netapi32.dl_

f. expand(cd 驱动器盘符):/i386/lsasrv.dl_

6) 输入“exit”,重新启动计算机

7) 下载并更新到最新的病毒定义

8) 重新安装Windows补丁程序 - KB924270.

以上步骤用户可以自行完成.如您需要了解更多信息,或在实施以上步骤时需要任何协助,请致电赛门铁克用户服务热线800-810-3992.我们愿随时为您提供协助.

此致

赛门铁克软件(北京)有限公司

2007年5月18日

Flyeagle

金山修复工具
　　针对因诺顿杀毒软件误报引起的系统无法启动的问题，请下载金山毒霸制作的系统修复工具：
[url=http://down.www.kingsoft.com/db/download/othertools/FixSys_Duba.exe]点击下载[/url]
　　为了让大量企业用户能够避免遭遇此次“灾难”，金山毒霸反病毒专家针对企业用户推出了全面解决方案：
　　1．诺顿企业版用户，但未受影响者
　　（1）如果企业刚好采用NORTON企业版杀毒软件，可以立即通知全网禁止NORTON的实时监控功能。
　　（2）配置升级回滚，撤销本次引发误报的5.17-5.18版病毒库，恢复到5.16版病毒库。
　　（3）通知所有客户机不要重启电脑，然后从NORTON隔离区还原相应文件至系统目录，避免灾难性的后果。
　　2．诺顿企业版用户，已经遭遇本次误报影响
　　对已经崩溃的系统，只能采取应急修复，除了前面提到的故障恢复控制台操作外，为简化修复步骤，可以使用winpe光盘引导系统，再COPY这两个系统文件到windowssystem32目录，然后禁用NORTON杀毒软件的实时监控功能，重启恢复系统。
　　遭遇本次误报影响的用户修复方法：
　　系统已经崩溃时建议用故障恢复控制台恢复被误杀的系统文件，操作步骤如下：
　　1．使用windows 安装光盘启动系统，在提示安装时，按R选择修复，再选择启动到故障恢复控制台。

　　2．在提示中选择当前运行的操作系统，多数情况下是按"1"，然后回车，需要输入管理员口令。

　　3．执行如下命令进行修复(X表示光盘盘符)：
　　Expand x:I386netapi32.dl_ c:windowssystem32
　　Expand x:I386netapi32.dl_ c:windowssystem32dllcache（并非必须）
　　Expand x:I386lsasrv.dl_ c:windowssystem32
　　Expand x:I386lsasrv.dl_ c:windowssystem32dllcache （并非必须）
　　4．在故障恢复控制台，运行listsvc，查看当前计算机服务属性，找到NORTON杀毒软件相关的服务名，NORTON 360的服务名包括"cltnetcnservice"．"eectrl"．"ccevtmgr"．"ccsetmgr"，其它版本的NORTON杀毒软件，服务名有所不同，可用listsvc命令详细查看。运行disable "服务名"，禁用NORTON杀毒软件相关服务。键入exit重新启动计算机。

Flyeagle

瑞星解决方案
关于该安全事故的预防和解决方法
　　瑞星反病毒专家建议：还没有受到误杀影响的用户
       1、拔掉网线再开启计算机。
       2、启动计算机后，关闭诺顿杀毒软件的实时监控程序再插入网线上网。
       3、等待赛门铁克公司解决该问题后，才可以继续启用诺顿实时监控程序。
       4、关闭杀毒软件实时监控程序可能导致计算机感染其它的病毒、木马及恶意程序，用户可以暂时选用其它的杀毒软件。
　　对于系统已经瘫痪的用户：
       1、使用windows 安装光盘启动系统，在提示菜单处按R进入恢复控制台。
       2、在提示中按“1”然后回车，选择需要修复的系统，并输入管理员密码。
       3、执行如下命令进行修复（X表示光盘盘符）：
　　　　       Expand x:\I386\netapi32.dl_ c:\windows\system32\  [回车]
　　　　       Expand x:\I386\netapi32.dl_ c:\windows\system32\dllcache\ [回车]
　　　　       Expand x:\I386\lsasrv.dl_ c:\windows\system32\  [回车]
　　　　       Expand x:\I386\lsasrv.dl_ c:\windows\system32\dllcache\  [回车]
       4、重新启动计算机，关闭诺顿的实时监控程序。
       5、启动诺顿的隔离区，恢复netapi32.dll和lsasrv.dll。
       6、等待赛门铁克公司解决该问题后，才可以继续启用诺顿实时监控程序。
       7、关闭杀毒软件实时监控程序可能导致计算机感染其它的病毒、木马及恶意程序，用户可以暂时选用其它的杀毒软件。
       注：瑞星红色安全警报为最严重级别的安全警报，本次红色警报为2007年度第一次发布。