诺顿犯重大低级错误 近5年国内影响最大误报

CNET科技资讯网5月18日北京报道 5月18日，国内大量用户的电脑集体出现问题：开机后自动重启、蓝屏，屏幕上显示unknown hard error的字样，安全模式下也无法正常进入系统等等。用户的第一反应就是感染了病毒，经过反病毒专家分析，发现问题的症结所在：赛门铁克诺顿杀毒软件的误报所致。

金山毒霸反病毒专家李铁军表示，诺顿杀毒软件将简体中文版Winxp sp2的
NetSpi32.dll 和 LsaSrv.dll误报为病毒，并进行了隔离，从而导致用户在重启后将无
法进入系统等种种严重的后果。此次电脑病毒误报事件被反病毒专家称为是近5年来国
内影响面最大的误报事件。

金山毒霸反病毒工程师建议用户系统已经崩溃时建议用故障恢复控制台恢复被误杀的系统文件，操作步骤如下：

1、使用windows安装光盘启动系统，在提示安装时，按R选择修复，再选择启动到故
障恢复控制台。

2、在提示中选择当前运行的操作系统，多数情况下是按“1”，然后回车，需要输入管
理员口令。

3、执行如下命令进行修复(X表示光盘盘符)：

Expand x:I386 etapi32.dl_ c:windowssystem32
Expand x:I386 etapi32.dl_ c:windowssystem32dllcache（并非必须）
Expand x:I386lsasrv.dl_ c:windowssystem32
Expand x:I386lsasrv.dl_ c:windowssystem32dllcache （并非必须）

4、在故障恢复控制台，运行listsvc，查看当前计算机服务属性，找到NORTON杀毒软件
相关的服务名，再运行disable "服务名"，禁用NORTON杀毒软件相关服务。再重新启动
计算机。

5、配置禁用norton杀毒软件的实时监控，联系symantec获得补丁。

对企业网管来讲，这次误报是个噩梦，网管员首先应该立即禁止全网更新，如果使用
NORTON企业版更新过，需要配置升级回滚，撤销本次引发误报的病毒库升级。立即通知
所有客户机不要重启电脑，从NORTON隔离区还原相应文件至系统目录。

为简化修复步骤，可以使用winpe光盘引导系统，再恢复这两个系统文件到
windowssystem32目录，然后禁用NORTON杀毒软件的实时监控功能，重启恢复系统。