5.17,norton(中国大陆版本)升级之后,将打过某补丁的XP系统系统文件判为木马并隔离,如重启,将无法进入系统...囧rz...
------------------------------------------------------------------------------------------------------------
赛门铁克今早杀毒过头 多台电脑重启后蓝屏
今天更新的诺顿杀毒软件,将部分XP系统的netapi32.dll和lsasrv.dll视为Backdoor.Haxdoor后门加以清除,结果导致系统出现严重故障,无法启动,而Windows则警告有文件被替换,需要插入原安装盘恢复文件,而电脑在重新启动后蓝屏,即使在安全模式下也无法正常进入系统。 赛门铁克官方表示,将在下午发表声明和解决方案。
经了解,没有升级到诺顿最新病毒库的电脑未发生问题,这次事故应该是因为诺顿的误报原因,导致netapi32.dll和lsasrv.dll这两个文件毁坏。目前搜狐IT已接到多名网友和多家公司举报,多台电脑已经瘫痪无法工作。
目前,赛门铁克官方表示,将在下午发表声明和解决方案。
------------------------------------------------------------------------------------------------------------
5.17诺顿(Backdoor.Haxdoor)的误杀导致系统崩溃的解决方法
诺顿升级到5月17日版本后,会导致打过KB924270补丁的XP系统崩溃,其原因是诺顿将KB924270更新过的netapi32.dll和lsasrv.dll文件误报为Backdoor.Haxdoor后门病毒。经过初步调查,lsasrv.dll和netapi32.dll是正常的系统文件。
该文件在诺顿隔离后,系统重启导致蓝屏并提示:STOP c000021a Unkown hard error。
诺顿升级到5月17日版本后,会导致打过KB924270补丁的XP系统崩溃,其原因是诺顿将KB924270更新过的netapi32.dll和lsasrv.dll文件误报为Backdoor.Haxdoor后门病毒。经过初步调查,lsasrv.dll和netapi32.dll是正常的系统文件。
该文件在诺顿隔离后,系统重启导致蓝屏并提示:STOP c000021a Unkown hard error。
中毒后请大家不要重启电脑
Backdoor.haxdoor临时解决方案
SAV更新到5月17日的病毒定以后,会把
C:windowssystem32netapi32.dll和 C:windowssystem32lsasrc.dll
认为是backdoor.haxdoor, 并且把他们隔离掉。
会造成重起机器后无法进入系统,安全模式也无法进入,蓝屏。
目前的紧急对策:
从系统中心---右击服务器---所有任务---Symantec antivirus---病毒定义管理器---点击右上角的“配置”----出现对话框后店击“病毒定义文件”---然后选择之前的病毒定义。
使得服务器不要下发今天的病毒定义。
对于已经更新病毒定义的客户端,千万不要重新启动电脑。
关掉symantec antivirus 服务,如果netapi32.dll和lsasrc.dll文件存在,且修改日期不是今天,说明没有被完全隔离(应该是部分) ;从隔离区里面恢复这两个文件,或者从没有问题的电脑copy这两个文件到C:windowssystem32。
然后把C:program filescommon filessymantec sharedvirusdefs下把20070517这个文件夹删掉。
Symantec正在加急开发更新的病毒定义,新的病毒定义出来后,请马上更新到最新。
已经无法启动的解决方法:
2. 已经报出有病毒,但机器已经重启并无法进入系统(XP SP2),有以下解决方法:
1> 接上光驱,插如WINDOWS安装光盘,并选择从CDROM启动
2> 选择从控制台恢复,按"R"键
3> 假设您的光驱盘符为"F:",敲入以下命令
copy f:I386netapi32.dl_ c:windowssystem32netapi32.dll
和
copy f:I386lsasrv.dl_ c:windowssystem32lsasrv.dll
如果遇到提示是否覆盖原有文件,请选择"Yes".
4> 重新启动机器,从硬盘启动,即可进入系统.
------------------------------------------------------------------------------------------------------------
Norton杀毒软件误报致简体中文操作系统很受伤
NORTON误报的系统文件lsasrv.dll和netapi32.dll为Backdoor.Haxdoor病毒,norton杀毒软件会自动将这两个dll文件隔离。这两个系统文件被删除后,会导致重启后蓝屏,屏幕上显示unknown hard error,安全模式下也无法进入。
金山客服中心按到众多用户求助,开机重启后蓝屏,屏幕上显示unknown hard error,安全模式下也无法进入,此类情况在多个论坛也有类似描述。事件的起因是norton杀毒软件曾经报告发现Backdoor.Haxdoor病毒。金山客服中心再联系多个用户后,证实是NORTON的严重误报导致系统不能启动。NORTON误报的系统文件lsasrv.dll和netapi32.dll为Backdoor.Haxdoor病毒,norton杀毒软件会自动将这两个dll文件隔离。这两个系统文件被删除后,会导致重启后蓝屏,屏幕上显示unknown hard error,安全模式下也无法进入。杀毒软件误报事件不可避免,但此番Symantec的Norton杀毒软件误报系统文件为病毒,给用户造成损失之大,实属罕见。
修复方法:
系统已经崩溃时建议用故障恢复控制台恢复被误杀的系统文件,操作步骤如下:
1、使用windows 安装光盘启动系统,在提示安装时,按R选择修复,再选择启动到故障恢复控制台。
2、在提示中选择当前运行的操作系统,多数情况下是按“1”,然后回车,需要输入管理员口令。
3、执行如下命令进行修复(X表示光盘盘符):
Expand x:I386netapi32.dl_ c:windowssystem32
Expand x:I386netapi32.dl_ c:windowssystem32dllcache(并非必须)
Expand x:I386lsasrv.dl_ c:windowssystem32
Expand x:I386lsasrv.dl_ c:windowssystem32dllcache (并非必须)
4、在故障恢复控制台,运行listsvc,查看当前计算机服务属性,找到NORTON杀毒软件相关的服务名,NORTON 360的服务名包括"cltnetcnservice"、"eectrl"、"ccevtmgr”、"ccsetmgr",其它版本的NORTON杀毒软件,服务名有所不同,可用listsvc命令详细查看。
运行disable "服务名",禁用NORTON杀毒软件相关服务。键入exit重新启动计算机。
5、联系symantec公司获得补丁,索取解决方案。对企业网管来讲,这次误报是个噩梦,网管员首先应该立即禁止全网更新,如果使用NORTON企业版更新过,需要配置升级回滚,撤销本次引发误报的病毒库升级。立即通知所有客户机不要重启电脑,从NORTON隔离区还原相应文件至系统目录。为简化修复步骤,可以使用winpe光盘引导系统,再恢复这两个系统文件到windowssystem32目录,然后禁用NORTON杀毒软件的实时监控功能,重启恢复系统。
PS:在vi.duba.net查到24条有关Backdoor.Haxdoor后门程序的资料,该后门程序和灰鸽子类似,最早收集到的版本是在2005年。只是该后门程序的隐藏技术强过灰鸽子木马,只是利益链不如灰鸽子广。换句话说,这个后门的作者比灰鸽子作者缺乏商业头脑。
------------------------------------------------------------------------------------------------------------
金山:[某国外杀毒厂商误报病毒 使大量用户系统瘫痪]
新闻来源:金山毒霸信息安全网
5月18日,由于某国外知名杀毒软件的误报,国内大量用户的电脑集体出现问题:开机后自动重启、蓝屏,屏幕上显示unknown hard error的字样,安全模式也无法正常进入系统等等。 来自金山毒霸全球反病毒监测中心最新消息, 5月18日,国内大量用户的电脑集体出现问题:开机后自动重启、蓝屏,屏幕上显示unknown hard error的字样,安全模式下也无法正常进入系统等等。用户的第一反应就是感染了病毒,而在经过金山毒霸反病毒专家的仔细分析后,发现了问题的症结所在:某国外知名杀毒软件的误报所致。
金山毒霸反病毒专家李铁军表示,该杀毒软件将简体中文版Winxp sp2的 NetSpi32.dll 和 LsaSrv.dll误报为病毒,并进行了隔离,从而导致用户在重启后将无法进入系统等种种严重的后果。此次电脑病毒误报事件被反病毒专家称为是近5年来国内影响面最大的误报事件。
------------------------------------------------------------------------------------------------------------
江民:“误杀性质严重、损失巨大,切勿迷信国外品牌”
诺顿误杀事件成为网络热点话题,江民科技也在第一时间发表了自己的看法:
“第一次遇到这么严重的误杀。由于诺顿多应用在企业、核心国家部门,因此误杀带来了严重的危害和经济损失。”
近日不少电脑用户发现装有诺顿杀毒系统的电脑,在按照诺顿清除病毒的要求重新启动操作系统后,系统出现瘫痪。而出现此种情况的原因,是由于诺顿杀毒软件升级病毒库后,把Windows XP系统的关键系统文件当作病毒清除,导致重启后系统瘫痪。
腾讯科技第一时间联系了江民科技策划部总经理曹凌翔,他表示上午已有大量企业打电话或登门求助,而这次事故是一次非常严重的“误杀”。
“之前也有出现过这种情况,但是今天是第一次遇到这么严重的误杀。”曹凌翔对腾讯科技表示,“由于诺顿多应用在企业、核心国家部门,因此误杀带来了严重的危害和经济损失。”
值得注意的是,诺顿的这次“误杀”仅仅局限于中文版本,英文版本并不受影响。分析人士认为,这能够从某种程度上说明诺顿在中国投入的研发实力并不强,中国市场并不是他们的重点。据了解,之前多次出现的“误杀”事件,也往往多发生在国外杀毒软件身上。
“在选择杀毒软件时,其实不一定非要崇拜国外品牌。”曹凌翔如是说,“本土的杀毒软件对行情更熟悉一些,当出问题时,也能够以最快的速度解决问题,这些都是国外杀毒软件所欠缺的。”
截至发稿时,诺顿并未对此次事件做出任何回应。
另讯:卡巴斯基市场部对此事件表态:
已经注意到由于诺顿病毒库升级导致XP系统无法启动这一事件,并且如果有用户向卡巴斯基求助,卡巴斯基可以向用户提供修复方案。对于此次事故发生的原因,该负责人表示由于事涉竞争对手诺顿,卡巴斯基方面不便做出评论。
------------------------------------------------------------------------------------------------------------
瑞星:“诺顿误杀导致系统崩溃 百万PC面临灾难”
瑞星公司技重炮轰击诺顿,扬言中国百万电脑面临灾难。瑞星公司表示,出现此种情况是由于诺顿杀毒软件升级病毒库后,把Windows XP系统的关键系统文件当作病毒清除,导致重启后系统瘫痪。据了解,截至中午12点已有超过7千名个人用户和近百家企业用户向瑞星客户服务中心求助,更多用户由于系统繁忙无法打入电话。
腾讯科技讯 5月18日消息,近日不少电脑用户发现装有诺顿杀毒系统的电脑,在按照诺顿清除病毒的要求重新启动操作系统后,系统出现瘫痪。
安全专家表示,安装了MS06-070补丁的XP系统,如果将诺顿升级最新病毒库,则诺顿杀毒软件会把系统文件netapi32.dll、lsasrv.dll隔离清除,从而造成系统崩溃。由于国外品牌的笔记本和台式机多数预装了Windows XP系统和诺顿杀毒软件,这些用户极其容易遭到此次“误杀”攻击,因此中国大陆地区将有数百万台电脑面临崩溃的危险。由于该次误杀只发生在简体中文版的XP系统上,因此对国外用户几乎没有影响。
瑞星客户服务中心的疫情监控工程师分析,赛门铁克在企业级市场上占有相当大的份额,特别在金融、电信等行业拥有一定的优势,因此此次误杀会导致许多企业网络完全瘫痪。根据初步预测,此次诺顿误杀将是近年来最严重的一次安全事故,给国内用户造成的整体经济损失甚至可能超过“熊猫烧香”病毒。
关于该事件的原因,瑞星研发负责人刘刚表示,近年来部分反病毒企业为了追求病毒数量、查杀率、新病毒反应时间等单项技术指标,而降低了产品测试的标准,这样做会导致两个很严重的后果,一是误报率急速上升,二是容易出现重大的产品BUG,甚至导致比普通的病毒攻击更严重的后果。
据了解,虽然在某些技术评比中饱受责难,瑞星公司依然坚持传统的、非常耗时耗力的“白名单”测试制度,而国外大部分病毒公司已经取消了该项测试。刘刚解释,本着对用户负责的态度,不管多先进的技术,都要建立在稳定可靠的基础之上,否则一个重大的低级错误,将导致灾难性的后果,这也是瑞星“偏执”的理由。
关于该安全事故的预防和解决方法 瑞星反病毒专家建议:还没有受到误杀影响的用户 1、拔掉网线再开启计算机。
2、启动计算机后,关闭诺顿杀毒软件的实时监控程序再插入网线上网。
3、等待赛门铁克公司解决该问题后,才可以继续启用诺顿实时监控程序。
4、关闭杀毒软件实时监控程序可能导致计算机感染其它的病毒、木马及恶意程序,用户可以暂时选用其它的杀毒软件。 对于系统已经瘫痪的用户:
1、使用windows 安装光盘启动系统,在提示菜单处按R进入恢复控制台。
2、在提示中按“1”然后回车,选择需要修复的系统,并输入管理员密码。 3、执行如下命令进行修复(X表示光盘盘符):
Expand x:/I386/netapi32.dl_ c:/windows/system32 [回车]
Expand x:/I386/netapi32.dl_ c:/windows/system32/dllcache [回车]
Expand x:/I386/lsasrv.dl_ c:/windowssystem32 [回车]
Expand x:/I386/lsasrv.dl_ c:/windowssystem32dllcache [回车]
4、重新启动计算机,关闭诺顿的实时监控程序。
5、启动诺顿的隔离区,恢复netapi32.dll和lsasrv.dll。
6、等待赛门铁克公司解决该问题后,才可以继续启用诺顿实时监控程序。
7、关闭杀毒软件实时监控程序可能导致计算机感染其它的病毒、木马及恶意程序,用户可以暂时选用其它的杀毒软件。
