瑞星卡卡安全论坛

诺顿升级到5月17日版本后，会导致打过KB924270补丁的XP系统崩溃，其原因是诺顿将KB924270更新过的netapi32.dll和lsasrv.dll文件误报为Backdoor.Haxdoor后门病毒。经过初步调查，lsasrv.dll和netapi32.dll是正常的系统文件。
该文件在诺顿隔离后，系统重启导致蓝屏并提示：STOP c000021a Unkown hard error。

Backdoor.haxdoor临时解决方案
SAV更新到5月17日的病毒定以后，会把
C:\windows\system32\netapi32.dll和 C:\windows\system32\lsasrc.dll
认为是backdoor.haxdoor, 并且把他们隔离掉。
会造成重起机器后无法进入系统，安全模式也无法进入，蓝屏。
目前的紧急对策：
从系统中心---右击服务器---所有任务---Symantec antivirus---病毒定义管理器---点击右上角的“配置”----出现对话框后店击“病毒定义文件”---然后选择之前的病毒定义。
使得服务器不要下发今天的病毒定义。
对于已经更新病毒定义的客户端，千万不要重新启动电脑。
关掉symantec antivirus 服务，如果netapi32.dll和lsasrc.dll文件存在，且修改日期不是今天，说明没有被完全隔离（应该是部分） ；从隔离区里面恢复这两个文件，或者从没有问题的电脑copy这两个文件到C:\windows\system32。
然后把C:\program files\common files\symantec shared\virusdefs\下把20070517这个文件夹删掉。
Symantec正在加急开发更新的病毒定义，新的病毒定义出来后，请马上更新到最新。

1. 已经报出有病毒,但还没有重启的机器,以下解决方法:
1> 打开NORTON,进入隔离区,恢复被查出病毒的文件(netapi32.dll/lsasrv.dll)
2> 临时关闭NORTON的文件实时监控,方法:打开NORTON,选择配置,在"文件系统自动防护"中去掉
"启用自动防护"前的小勾.

2. 已经报出有病毒,但机器已经重启并无法进入系统(XP SP2),有以下解决方法:
1> 接上光驱,插如WINDOWS安装光盘,并选择从CDROM启动
2> 选择从控制台恢复,按"R"键
3> 假设您的光驱盘符为"F:\",敲入以下命令
copy f:\I386\netapi32.dl_ c:\windows\system32\netapi32.dll
和
copy f:\I386\lsasrv.dl_ c:\windows\system32\lsasrv.dll
如果遇到提示是否覆盖原有文件,请选择"Yes".
4> 重新启动机器,从硬盘启动,即可进入系统.

多谢~~~~~~~~

可直接从dllcache中恢复！！！

我恢复了...还是不能启动...

我也是
公司里的电脑还是不能启动

估计还是杀毒软件的问题啊，根本就删除不掉，问题严重啊。希望老总们的机器都平安无事。

已经隔离了 但是还没重启
恢复过程失败  原文件已经存在
完了 不敢重启呢 呵呵

谢谢,转下

今天郁闷了啊~~~好几个几十客户端的单位中招啊!

多谢，支持一下！

谢谢!
已经解决了~~
有不少电脑的病毒定义更新到了16日的时候,重起都不会蓝屏.不能重起的,用上面介绍的方法拷贝那两个文件后也可以了.诺顿害死人哦

好在没有使用诺顿

如果我的在诺顿的隔离里面没有发现那两个文件~

那么我该怎么办了~????

谢谢

rising也曾经误报病毒war3.exe
555555我的冰封王座啊
又要去买张盗版的了，哈哈哈哈

卡巴也有类似问题，不过已经解决

幸亏老总笔记本上的诺顿早都换瑞星了，
不然的话，惨了。。。。。。。

今天卡巴更新完毕之后也出现 重新启动计算机 提示....

莫非？？？？

还是瑞星好

猫叔，你可能要加上这段文字了（这是从我们学校的网络中心那里得知的）：

赛门铁克已经发布了新的定义文件，问题已经解决。

老定义文件版本（有问题的版本）： 2007-05-17 rev 18
新定义文件版本： 2007-05-17 rev 73
只要升级到REV 73版本就不会出现误杀。

现在哪里都在报道这事，看来诺顿有点麻烦了！

又要担心病毒,又要担心杀毒软件出低级失误.用户太累了!

听说诺顿已经修复此问题了

还好俺用NOD32。。。。