【分享】5.17诺顿(Backdoor.Haxdoor)的误杀导致系统崩溃的解决方法
一、问题描述:
诺顿升级到5月17日版本后,会导致打过KB924270补丁的XP系统崩溃,其原因是诺顿将KB924270更新过的C:\windows\system32\netapi32.dll和C:\windows\system32\lsasrv.dll文件误报为Backdoor.Haxdoor后门病毒,并把它们隔离掉。经过初步调查,lsasrv.dll和netapi32.dll是正常的系统文件。
上述两个文件在被隔离后,系统重启导致蓝屏并提示:
STOP c000021a Unkown hard error。
操作系统无法进入,安全模式也无法进入。
二、紧急对策:
1、配置服务器不要下发今天的病毒定义:
从系统中心---右击服务器---所有任务---Symantec antivirus---病毒定义管理器---点击右上角的“配置”----出现对话框后店击“病毒定义文件”---然后选择之前的病毒定义。
2、已更新病毒定义的客户端:
对于已经更新病毒定义的客户端,千万不要重新启动电脑。关掉symantec antivirus 服务,如果netapi32.dll和lsasrc.dll文件存在,且修改日期不是今天,说明没有被完全隔离(应该是部分);从隔离区里面恢复这两个文件,或者从没有问题的电脑copy这两个文件到C:\windows\system32\。
然后把C:\program files\common files\symantec shared\virusdefs下把20070517这个文件夹删掉。
Symantec正在加急开发更新的病毒定义,新的病毒定义出来后,请马上更新到最新。
3、已经无法启动的解决方法:
已经报出有病毒,但机器已经重启并无法进入系统(XP SP2),有以下解决方法:
(1)接上光驱,插如WINDOWS安装光盘,并选择从CDROM启动;
(2)选择从控制台恢复,按“R”键;
(3)假设您的光驱盘符为“F:”,敲入以下命令:
copy f:\I386\netapi32.dl_ c:\windows\system32\netapi32.dll
copy f:\I386\lsasrv.dl_ c:\windows\system32\lsasrv.dll
如果遇到提示是否覆盖原有文件,请选择“Yes”。
(4)重新启动机器,从硬盘启动,即可进入系统。
补充:
据称Symantec会在今天下午发布相关公告和解决办法,敬请期待。
SYMANTEC已经出了最新的病毒库vd256252.xdb
ftp://ftp.symantec.com/public/english_us_canada/antivirus_definitions/norton_antivirus/rapidrelease/sequence/68643/
http://www.nortoncn.com/viewthread.php?tid=1512&extra=page%3D1