賽門鐵克誤報(bào)微軟系統(tǒng)文件病毒事件+解決方法
賽門鐵克發(fā)出的LiveUpdate更新定義錯(cuò)誤地把微軟簡(jiǎn)體中文Windows XP中的2個(gè)系統(tǒng)文件當(dāng)作Backdoor.Haxdoor進(jìn)行了刪除,從而造成Windows系統(tǒng)在根據(jù)錯(cuò)誤檢測(cè)重啟后無法運(yùn)行.
　　受到影響的是應(yīng)用了微軟KB924270安全更新的微軟簡(jiǎn)體中文Windows XP Service Pack 2 系統(tǒng),應(yīng)用微軟安全更新KB924270.而受影響的文件是netapi32.dll(5.1.2600.2976版本)和lsasrv.dll (5.1.2600.2976版本).其他語言版本W(wǎng)indows XP或者沒有應(yīng)用微軟安全更新KB924270的Windows XP都沒有受到影響.
賽門鐵克在北京時(shí)間5月18日下午2:30發(fā)布了LiveUpdate更新定義來更正這一事件.這些更新定義的版本號(hào)碼為 20070517.071.在錯(cuò)誤檢測(cè)后沒有重新啟動(dòng)Windows系統(tǒng)的用戶可以通過應(yīng)用LiveUpdate的更新定義來解決這一問題.重新啟動(dòng)系統(tǒng)而遭受影響的用戶可以通過使用微軟恢復(fù)控制臺(tái)來使其系統(tǒng)恢復(fù)到之前的狀態(tài).
　　賽門鐵克已經(jīng)采取行動(dòng)給用戶提供更新的文件定義.賽門鐵克非常認(rèn)真嚴(yán)肅的對(duì)待其所提供解決方案的安全性與功能,并建議受影響的用戶采取必要的措施來確保他們的系統(tǒng)得到保護(hù).
-----------------------------------------------------------
KB924270
　　現(xiàn)已確認(rèn)有一個(gè)安全問題，攻擊者可能會(huì)利用此問題危及 Windows 系統(tǒng)的安全并獲取對(duì)該系統(tǒng)的控制權(quán)。您可通過安裝本 Microsoft 更新程序來保護(hù)計(jì)算機(jī)不受侵害。安裝本更新程序之后，可能需要重新啟動(dòng)計(jì)算機(jī)。
　　支持的操作系統(tǒng)： Windows XP Service Pack 2
　　發(fā)布日期： 2006/11/13 
　　語言： 簡(jiǎn)體中文 
----------------------------------------------------------- 
5.17諾頓(Backdoor.Haxdoor)的誤殺導(dǎo)致系統(tǒng)崩潰的解決方法
諾頓升級(jí)到5月17日版本后，會(huì)導(dǎo)致打過KB924270補(bǔ)丁的XP系統(tǒng)崩潰，其原因是諾頓將KB924270更新過的netapi32.dll和lsasrv.dll文件誤報(bào)為Backdoor.Haxdoor后門病毒。經(jīng)過初步調(diào)查，lsasrv.dll和netapi32.dll是正常的系統(tǒng)文件。
該文件在諾頓隔離后，系統(tǒng)重啟導(dǎo)致藍(lán)屏并提示：STOP c000021a Unkown hard error。
諾頓升級(jí)到5月17日版本后，會(huì)導(dǎo)致打過KB924270補(bǔ)丁的XP系統(tǒng)崩潰，其原因是諾頓將KB924270更新過的netapi32.dll和lsasrv.dll文件誤報(bào)為Backdoor.Haxdoor后門病毒。經(jīng)過初步調(diào)查，lsasrv.dll和netapi32.dll是正常的系統(tǒng)文件。
該文件在諾頓隔離后，系統(tǒng)重啟導(dǎo)致藍(lán)屏并提示：STOP c000021a Unkown hard error。
中毒后請(qǐng)大家不要重啟電腦
Backdoor.haxdoor臨時(shí)解決方案
SAV更新到5月17日的病毒定以后，會(huì)把
C:windowssystem32netapi32.dll和 C:windowssystem32lsasrc.dll
認(rèn)為是backdoor.haxdoor, 并且把他們隔離掉。
會(huì)造成重起機(jī)器后無法進(jìn)入系統(tǒng)，安全模式也無法進(jìn)入，藍(lán)屏。
目前的緊急對(duì)策：
從系統(tǒng)中心---右擊服務(wù)器---所有任務(wù)---Symantec  antivirus---病毒定義管理器---點(diǎn)擊右上角的“配置”----出現(xiàn)對(duì)話框后店擊“病毒定義文件”---然后選擇之前的病毒定義。
使得服務(wù)器不要下發(fā)今天的病毒定義。
對(duì)于已經(jīng)更新病毒定義的客戶端，千萬不要重新啟動(dòng)電腦。
關(guān)掉symantec antivirus 服務(wù)，如果netapi32.dll和lsasrc.dll文件存在，且修改日期不是今天，說明沒有被完全隔離（應(yīng)該是部分） ；從隔離區(qū)里面恢復(fù)這兩個(gè)文件，或者從沒有問題的電腦copy這兩個(gè)文件到C:windowssystem32。
然后把C:program filescommon filessymantec sharedvirusdefs下把20070517這個(gè)文件夾刪掉。
Symantec正在加急開發(fā)更新的病毒定義，新的病毒定義出來后，請(qǐng)馬上更新到最新。
已經(jīng)無法啟動(dòng)的解決方法:
2. 已經(jīng)報(bào)出有病毒,但機(jī)器已經(jīng)重啟并無法進(jìn)入系統(tǒng)(XP SP2),有以下解決方法:
1> 接上光驅(qū),插如WINDOWS安裝光盤,并選擇從CDROM啟動(dòng)
2> 選擇從控制臺(tái)恢復(fù),按"R"鍵
3> 假設(shè)您的光驅(qū)盤符為"F:",敲入以下命令
copy f:I386netapi32.dl_ c:windowssystem32netapi32.dll
和
copy f:I386lsasrv.dl_ c:windowssystem32lsasrv.dll
如果遇到提示是否覆蓋原有文件,請(qǐng)選擇"Yes".
4> 重新啟動(dòng)機(jī)器,從硬盤啟動(dòng),即可進(jìn)入系統(tǒng).

最新評(píng)論