科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航



ZDNet>网络频道>ZD评测>完全解决方案:诺顿将系统文件当病毒!

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

2007年5月18日早上,很多诺顿用户反映,他们的机器弹出了一个病毒报警框后,只要重新启动Windows操作系统,他们的电脑就再也进不去了。

来源:zdnet网络安全 2008年03月28日

关键字:杀毒软件 木马 反病毒 病毒防范 防病毒 病毒

2007年5月18日早上,很多诺顿用户反映,他们的机器弹出了一个病毒报警框后,只要重新启动Windows操作系统,他们的电脑就再也进不去了。

但诺顿这是怎么回事呢?我们来看看技术专家的分析:

具体是这样的,如果你的诺顿在昨天升级了,今天开机还弹出了以下图示的通知窗口,那可能就是被这个更新误导了,这时千万不要重启系统。

图1 弹出这个通知框不一定真的是中了病毒

上图这是一个典型的诺顿反病毒软件的自动防护通知框,里面说是发现了一个名为Backdoor.Haxdoor的威胁,从文件名来看是一个后门病毒,能够让黑客入侵或偷走你资料的病毒程序。

其所在路径在C:\Windows\system32下面,奇怪的是这个Dll(动态链接库)文件被发现有威胁之后,诺顿既清除不了,也隔离不了。这时候一些朋友就选择了重启,进入安全模式杀毒,但当你重启后就再也无法正常进入系统,会不断地循环重启。

这个事故的源头可能就是诺顿在2007年5月17日升级病毒数据库后惹的祸,诺顿错将系统文件当成了病毒,将它隔离了。

小知识:netapi32.dll是Windows网络应用程序接口,用于支持访问微软网络。

大厂商出这么非常低级错误非常罕见的,影响恶劣,波及的用户群很大,也造成非常大的损失。如果厂商在推出病毒库之前,做一些简单的测试,是完全可以避免的,而不是使“防毒软件”成为比病毒更为恶劣'系统杀手'。不过也不排除防毒软件企业竞争非常激烈,只顾最先推出新的杀毒能力,而不顾及自己作为系统的防护者的使命,成为系统破坏的元凶。”

对此,笔者也深表认同,而且国内几家杀毒软件厂商也在通报内或明示或暗示地表示,诺顿这次的失误是完全可以避免的。

这个事故影响的范围十分广泛,使用诺顿的朋友都有可能遇上,真是辛苦了今天当值的网管和技术员们了,向你们致敬!当你进不了系统后,一般用户可能需要技术员的协助才能重新登陆系统,不过我们的资深技术专家熊普江在这里提供了两套解决方案,能让大家迅速地解决问题。

1、还能正常使用系统的用户:

如果诺顿报了 隔离 c:\windows\system32\netapi32.dll的话,请打开诺顿-选择隔离区,把这个文件还原。如果还报了一个lsasrv.dll文件,也可按照这方法将它放出来。

然后在诺顿的界面上选择-配置-文件系统检测-排除-在里面把这个文件排除掉,就不会再误报了。

2、如果已经重启过xp,发现不能正常启动的用户:

除了联系专业技术人员,还可用以下操作恢复:

使用Windows PE光盘启动,进入 C:\program files\ ,把symantecantiviurs目录改名。

再进入 c:\windows\system32\dllcache ,把netapi.dll、netapi32.dll、lsasrv.dll恢复到上一级目录,即 c:\windows\system32。

重启后一般都能恢复。

如果你没有Windows PE光盘,应该怎么办?

接下来我们看看国内三大杀毒厂商对这件事的看法及他们的解决方案,首先是瑞星

瑞星科技解决方案:

瑞星安全专家表示,安装了MS06-070补丁的XP系统,如果将诺顿升级最新病毒库,则诺顿杀毒软件会把系统文件netapi32.dll、lsasrv.dll隔离清除,从而造成系统崩溃。由于国外品牌的笔记本和台式机多数预装了Windows XP系统和诺顿杀毒软件,这些用户极其容易遭到此次“误杀”攻击,因此中国大陆地区将有数百万台电脑面临崩溃的危险。由于该次误杀只发生在简体中文版的XP系统上,因此对国外用户几乎没有影响。

诺顿误杀系统文件时,显示的信息

瑞星客户服务中心的疫情监控工程师分析,赛门铁克在企业级市场上占有相当大的份额,特别在金融、电信等行业拥有一定的优势,因此此次误杀会导致许多企业网络完全瘫痪。根据初步预测,此次诺顿误杀将是近年来最严重的一次安全事故,给国内用户造成的整体经济损失甚至可能超过“熊猫烧香”病毒。

关于该安全事故的预防和解决方法

瑞星反病毒专家建议:还没有受到误杀影响的用户

1、拔掉网线再开启计算机。

2、启动计算机后,关闭诺顿杀毒软件的实时监控程序再插入网线上网。

3、等待赛门铁克公司解决该问题后,才可以继续启用诺顿实时监控程序。

4、关闭杀毒软件实时监控程序可能导致计算机感染其它的病毒、木马及恶意程序,用户可以暂时选用其它的杀毒软件。

对于系统已经瘫痪的用户:

1、使用windows 安装光盘启动系统,在提示菜单处按R进入恢复控制台。

2、在提示中按“1”然后回车,选择需要修复的系统,并输入管理员密码。

3、执行如下命令进行修复(X表示光盘盘符):

Expand x:\I386\netapi32.dl_ c:\windows\system32\ [回车]

Expand x:\I386\netapi32.dl_ c:\windows\system32\dllcache\ [回车]

Expand x:\I386\lsasrv.dl_ c:\windows\system32\ [回车]

Expand x:\I386\lsasrv.dl_ c:\windows\system32\dllcache\ [回车]

4、重新启动计算机,关闭诺顿的实时监控程序。

5、启动诺顿的隔离区,恢复netapi32.dll和lsasrv.dll。

6、等待赛门铁克公司解决该问题后,才可以继续启用诺顿实时监控程序。

7、关闭杀毒软件实时监控程序可能导致计算机感染其它的病毒、木马及恶意程序,用户可以暂时选用其它的杀毒软件。

接下来看看江民方面的解决方案,下面还有金山的解决方案,各有千秋,保证你都能成功恢复系统。

江民科技解决方案:

5月18日,江民反病毒中心接到多家企业求助电话,称遭到了病毒大规模攻击,电脑重启后报错,无法进入系统。江民科技迅速派出技术人员上门解决问题,最终发现系该企业所安装的诺顿网络版杀毒软件误报错杀导致。

经江民反病毒工程师分析,5月17日病毒库的诺顿杀毒软件会强制删除lsasrv.dll和netapi32.dll这两个文件,并把这两个文件报为backdoor.haxdoor的病毒,导致重新启动计算机后机器将会无法进入系统。经分析,lsasrv.dll和netapi32.dll系系统的正常文件,诺顿把这两个文件报为病毒并删除的操作系严重的误报误杀行为。

江民反病毒专家建议,遇到此类情况的用户可以采用以下几种方法处理:

一、已经出现情况但未重启电脑的用户,可以从杀毒软件病毒隔离区恢复上述两个文件。

二、使用安装盘恢复。

1、 已经出现情况并且电脑重启后并无法进入系统的用户,可以使用系统安装盘,并设置BIOS从光驱启动,选择从控制台恢复系统,拷贝上述两个文件到硬盘相应目录下。

(netapi32.dll和lsasrv.dll 文件在光盘X:\I386目录下)

2、按R使用选择“用恢复控制台修复WINDOWSXP安装”,把上述两个文件分别拷贝到以下两个路径:

X:\windows\system32\netapi32.dll

X:\windows\system32\lsasrv.dll (X为相应的系统盘符)

3、重启电脑,修改BIOS从硬盘启动电脑,系统即可进入。

(注意:如果使用拆下硬盘挂到其它电脑上恢复文件的话,需要注意系统版本的统一,否则无效)

三、使用挂从盘的方法恢复被删除的文件

1、 对于没有安装盘的用户,可以找一台能上网的电脑,从以下地址下载系统文件,把被破坏的系统硬盘摘下来挂在能够正常运行的计算机上。

(点击下载被误删除的文件:http://www.jiangmin.com/download/sys.rar)(系统文件第二高速下载点)

2、 设置此硬盘为从盘,将下载下来的文件复制到系统盘相应的目录下。,文件路径见第二种方案。

3、把硬盘安装回原来的电脑,重新启动即可。

下面是金山科技提供的解决方案,大家也可以参考一下。

金山毒霸反病毒工程师李铁军表示,事件的起因是国外某杀毒软件误报Backdoor.Haxdoor病毒而导致的。该杀毒软件将简体中文版Winxp sp2的 NetSpi32.dll 和 LsaSrv.dll系统文件误报为Backdoor.Haxdoor病毒,进行文件隔离,导致用户的电脑就会出现重启后蓝屏,安全模式下也无法进入等问题。

金山毒霸反病毒工程师建议广大用户:

1、 使用windows安装光盘启动系统至故障恢复控制台,尝试从正常的系统恢复这两个文件。或者把出问题的主机硬盘拆下挂从盘,恢复这两个文件到windows\system32目录下。注意恢复文件后,下次重启仍然要进安全模式,需将国外某杀毒软件暂时禁用。

2、 对企业网管,建议网管员使用winpe光盘引导系统,首先恢复这两个系统文件到windows\system32目录,然后暂时禁用国外某杀毒软件的实时监控功能,重启才可以恢复系统。

据了解,Haxdoor后门与灰鸽子非常类似,而该后门程序的隐藏技术还要强过灰鸽子木马,所以目前网络炒股的用户非常多,Haxdoor后门极有可能在此期间发作,用户需要高度警惕。

最新消息:诺顿官方也提供了这个将系统文件当病毒的解决办法,既然是官方的我们也试试吧~!

推广二维码
邮件订阅

如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

重磅专题