5.17诺顿(Backdoor.Haxdoor)的误杀导致系统崩溃的解决方法
5.17诺顿(Backdoor.Haxdoor)的误杀导致系统崩溃的解决方法
诺顿升级到5月17日版本后,会导致打过KB924270补丁的XP系统崩溃,其原因是诺顿将KB924270更新过的netapi32.dll和lsasrv.dll文件误报为Backdoor.Haxdoor后门病毒。经过初步调查,lsasrv.dll和netapi32.dll是正常的系统文件。
该文件在诺顿隔离后,系统重启导致蓝屏并提示:STOP c000021a Unkown hard error。
中毒后请大家不要重启电脑
Backdoor.haxdoor临时解决方案
SAV更新到5月17日的病毒定以后,会把
C:windowssystem32netapi32.dll和 C:windowssystem32lsasrc.dll
认为是backdoor.haxdoor, 并且把他们隔离掉。
会造成重起机器后无法进入系统,安全模式也无法进入,蓝屏。
目前的紧急对策:
从系统中心---右击服务器---所有任务---Symantec antivirus---病毒定义管理器---点击右上角的“配置”----出现对话框后店击“病毒定义文件”---然后选择之前的病毒定义。
使得服务器不要下发今天的病毒定义。
对于已经更新病毒定义的客户端,千万不要重新启动电脑。
关掉symantec antivirus 服务,如果netapi32.dll和lsasrc.dll文件存在,且修改日期不是今天,说明没有被完全隔离(应该是部分) ;从隔离区里面恢复这两个文件,或者从没有问题的电脑copy这两个文件到C:windowssystem32。
然后把C:program filescommon filessymantec sharedvirusdefs下把20070517这个文件夹删掉。
Symantec正在加急开发更新的病毒定义,新的病毒定义出来后,请马上更新到最新。
已经无法启动的解决方法:
2. 已经报出有病毒,但机器已经重启并无法进入系统(XP SP2),有以下解决方法:
1> 接上光驱,插如WINDOWS安装光盘,并选择从CDROM启动
2> 选择从控制台恢复,按"R"键
3> 假设您的光驱盘符为"F:",敲入以下命令
copy f:/I386/net/api32.dl_ c:/windows/system32/netapi32.dll
和
copy f:/I386/lsasrv.dl_ c:/windows/system32/lsasrv.dll
如果遇到提示是否覆盖原有文件,请选择"Yes".
4> 重新启动机器,从硬盘启动,即可进入系统.
Backdoor.haxdoor临时解决方案
Version: 1.4
在windows Xp sp2简体中文版打上补丁KB924270以后,SAV更新到5月17日的病毒定义以后,会把C:\windows\system32\netapi32.dll和 C:\windows\system32\lsasrv.dll认为是backdoor.haxdoor, 并且把他们隔离掉。 会造成重起机器后无法进入系统,安全模式也无法进入,蓝屏。
[服务器]立即liveupdate, 更新到最新的病毒定义库(20070517.v73).
如果liveupdate有问题,到
ftp://ftp.symantec.com/public/en ... idrelease/sequence/
进入到68645或者以后的文件夹
下载后缀名是xdb的文件,放到服务器的SAV安装文件夹里面(是个共享文件夹,一般的位置是C:\program files\SAV或者C:\program files\SAV\symantec antivirus. 如果服务器内装有winzip等软件,可能会把这个XDB改成zip或者rar, 需要改回到xdb)。
[客户端]可以从服务器下载到更新后的病毒定义,对于无法从服务器自动更新病毒定义的客户端,到
ftp://ftp.symantec.com/public/en ... idrelease/sequence/
进入到68645或者以后的文件夹,下载****x86.exe文件,在本机运行更新病毒定义。出现过这个问题的电脑,理论上SAV下载更新的病毒定义后,会扫描隔离区,发现误报的dll文件后会自动修复并恢复到原来的位置,这些已经有很多用户确认。
但是为保险起见,建议用户在工作量允许得前提下,用windows XP盘里面的i386下面的netapi32.dll和lsasvr.dll文件,替换C:\windows\system32下的这两个文件。
-------------------------------------------------------------------------
对于已经蓝屏的电脑:
1, 使用windows XP安装盘启动
2, 进入系统恢复控制台。
3, 使用安装盘I386目录下的netapi32.dll和lsasrv.dll文件替换系统system32下和dllcache下的文件
a. cd \windows\system32
b. expand (CD drive letter):\i386\netapi32.dl_
c. expand (CD drive letter):\i386\lsasrv.dl_
d. cd dllcache
e. expand (CD drive letter):\i386\netapi32.dl_
f. expand (CD drive letter):\i386\lsasrv.dl_
4, 重启电脑
5,更新到前面所述的新的病毒定义。
不要重启!诺顿居然将系统文件当病毒
出处:PConline
作者:King
2007年5月18日早上,很多诺顿用户都向太平洋电脑网反映,他们的机器弹出了一个病毒报警框后,只要重新启动Windows操作系统,他们的电脑就再也进不去了。
具体是这样的,如果你的诺顿在昨天升级了,今天开机还弹出了以下图示的通知窗口,那可能就是被这个更新误导了,这时千万不要重启系统。
图1 弹出这个通知框不一定真的是中了病毒
上图这是一个典型的诺顿反病毒软件的自动防护通知框,里面说是发现了一个名为Backdoor.Haxdoor的威胁,从文件名来看是一个后门病毒,能够让黑客入侵或偷走你资料的病毒程序。
其所在路径在C:\Windows\system32下面,奇怪的是这个Dll(动态链接库)文件被发现有威胁之后,诺顿既清除不了,也隔离不了。这时候一些朋友就选择了重启,进入安全模式杀毒,但当你重启后就再也无法正常进入系统,会不断地循环重启。
这个事故的源头可能就是诺顿在2007年5月17日升级病毒数据库后惹的祸,诺顿错将系统文件当成了病毒,将它隔离了。
小知识:netapi32.dll是Windows网络应用程序接口,用于支持访问微软网络。
PConline网络系统部经理、资深技术专家熊普江表示:“大厂商出这么非常低级错误非常罕见的,影响恶劣,波及的用户群很大,也造成非常大的损失。如果厂商在推出病毒库之前,做一些简单的测试,是完全可以避免的,而不是使“防毒软件”成为比病毒更为恶劣'系统杀手'。不过也不排除防毒软件企业竞争非常激烈,只顾最先推出新的杀毒能力,而不顾及自己作为系统的防护者的使命,成为系统破坏的元凶。”
对此,笔者也深表认同,而且国内几家杀毒软件厂商也在通报内或明示或暗示地表示,诺顿这次的失误是完全可以避免的。
这个事故影响的范围十分广泛,使用诺顿的朋友都有可能遇上,真是辛苦了今天当值的网管和技术员们了,向你们致敬!当你进不了系统后,一般用户可能需要技术员的协助才能重新登陆系统,不过我们的资深技术专家熊普江在这里提供了两套解决方案,能让大家迅速地解决问题。
1、还能正常使用系统的用户:
如果诺顿报了 隔离 c:\windows\system32\netapi32.dll的话,请打开诺顿-选择隔离区,把这个文件还原。如果还报了一个lsasrv.dll文件,也可按照这方法将它放出来。
然后在诺顿的界面上选择-配置-文件系统检测-排除-在里面把这个文件排除掉,就不会再误报了。
2、如果已经重启过xp,发现不能正常启动的用户:
除了联系专业技术人员,还可用以下操作恢复:
使用Windows PE光盘启动,进入 C:\program files\ ,把symantec antiviurs目录改名。
再进入 c:\windows\system32\dllcache ,把netapi.dll、netapi32.dll、lsasrv.dll恢复到上一级目录,即 c:\windows\system32。
重启后一般都能恢复。
如果你没有Windows PE光盘,应该怎么办?
接下来我们看看国内三大杀毒厂商对这件事的看法及他们的解决方案,首先是瑞星:
瑞星科技解决方案:
瑞星安全专家表示,安装了MS06-070补丁的XP系统,如果将诺顿升级最新病毒库,则诺顿杀毒软件会把系统文件netapi32.dll、lsasrv.dll隔离清除,从而造成系统崩溃。由于国外品牌的笔记本和台式机多数预装了Windows XP系统和诺顿杀毒软件,这些用户极其容易遭到此次“误杀”攻击,因此中国大陆地区将有数百万台电脑面临崩溃的危险。由于该次误杀只发生在简体中文版的XP系统上,因此对国外用户几乎没有影响。
诺顿误杀系统文件时,显示的信息
瑞星客户服务中心的疫情监控工程师分析,赛门铁克在企业级市场上占有相当大的份额,特别在金融、电信等行业拥有一定的优势,因此此次误杀会导致许多企业网络完全瘫痪。根据初步预测,此次诺顿误杀将是近年来最严重的一次安全事故,给国内用户造成的整体经济损失甚至可能超过“熊猫烧香”病毒。
关于该安全事故的预防和解决方法
瑞星反病毒专家建议:还没有受到误杀影响的用户
1、拔掉网线再开启计算机。
2、启动计算机后,关闭诺顿杀毒软件的实时监控程序再插入网线上网。
3、等待赛门铁克公司解决该问题后,才可以继续启用诺顿实时监控程序。
4、关闭杀毒软件实时监控程序可能导致计算机感染其它的病毒、木马及恶意程序,用户可以暂时选用其它的杀毒软件。
对于系统已经瘫痪的用户:
1、使用windows 安装光盘启动系统,在提示菜单处按R进入恢复控制台。
2、在提示中按“1”然后回车,选择需要修复的系统,并输入管理员密码。
3、执行如下命令进行修复(X表示光盘盘符):
Expand x:\I386\netapi32.dl_ c:\windows\system32\ [回车]
Expand x:\I386\netapi32.dl_ c:\windows\system32\dllcache\ [回车]
Expand x:\I386\lsasrv.dl_ c:\windows\system32\ [回车]
Expand x:\I386\lsasrv.dl_ c:\windows\system32\dllcache\ [回车]
4、重新启动计算机,关闭诺顿的实时监控程序。
5、启动诺顿的隔离区,恢复netapi32.dll和lsasrv.dll。
6、等待赛门铁克公司解决该问题后,才可以继续启用诺顿实时监控程序。
7、关闭杀毒软件实时监控程序可能导致计算机感染其它的病毒、木马及恶意程序,用户可以暂时选用其它的杀毒软件。
接下来看看江民方面的解决方案,下面还有金山的解决方案,各有千秋,保证你都能成功恢复系统。
江民科技解决方案:
5月18日,江民反病毒中心接到多家企业求助电话,称遭到了病毒大规模攻击,电脑重启后报错,无法进入系统。江民科技迅速派出技术人员上门解决问题,最终发现系该企业所安装的诺顿网络版杀毒软件误报错杀导致。
经江民反病毒工程师分析,5月17日病毒库的诺顿杀毒软件会强制删除lsasrv.dll和netapi32.dll这两个文件,并把这两个文件报为backdoor.haxdoor的病毒,导致重新启动计算机后机器将会无法进入系统。经分析,lsasrv.dll和netapi32.dll系系统的正常文件,诺顿把这两个文件报为病毒并删除的操作系严重的误报误杀行为。
江民反病毒专家建议,遇到此类情况的用户可以采用以下几种方法处理:
一、已经出现情况但未重启电脑的用户,可以从杀毒软件病毒隔离区恢复上述两个文件。
二、使用安装盘恢复。
1、 已经出现情况并且电脑重启后并无法进入系统的用户,可以使用系统安装盘,并设置BIOS从光驱启动,选择从控制台恢复系统,拷贝上述两个文件到硬盘相应目录下。
(netapi32.dll和lsasrv.dll 文件在光盘X:\I386目录下)
2、按R使用选择“用恢复控制台修复WINDOWSXP安装”,把上述两个文件分别拷贝到以下两个路径:
X:\windows\system32\netapi32.dll
X:\windows\system32\lsasrv.dll (X为相应的系统盘符)
3、重启电脑,修改BIOS从硬盘启动电脑,系统即可进入。
(注意:如果使用拆下硬盘挂到其它电脑上恢复文件的话,需要注意系统版本的统一,否则无效)
三、使用挂从盘的方法恢复被删除的文件
1、 对于没有安装盘的用户,可以找一台能上网的电脑,从以下地址下载系统文件,把被破坏的系统硬盘摘下来挂在能够正常运行的计算机上。
(点击下载被误删除的文件:http://www.jiangmin.com/download/sys.rar)
2、 设置此硬盘为从盘,将下载下来的文件复制到系统盘相应的目录下。,文件路径见第二种方案。
3、把硬盘安装回原来的电脑,重新启动即可。
下面是金山科技提供的解决方案,大家也可以参考一下。
金山毒霸反病毒工程师李铁军表示,事件的起因是国外某杀毒软件误报Backdoor.Haxdoor病毒而导致的。该杀毒软件将简体中文版Winxp sp2的 NetSpi32.dll 和 LsaSrv.dll系统文件误报为Backdoor.Haxdoor病毒,进行文件隔离,导致用户的电脑就会出现重启后蓝屏,安全模式下也无法进入等问题。
金山毒霸反病毒工程师建议广大用户:
1、 使用windows安装光盘启动系统至故障恢复控制台,尝试从正常的系统恢复这两个文件。或者把出问题的主机硬盘拆下挂从盘,恢复这两个文件到windows\system32目录下。注意恢复文件后,下次重启仍然要进安全模式,需将国外某杀毒软件暂时禁用。
2、 对企业网管,建议网管员使用winpe光盘引导系统,首先恢复这两个系统文件到windows\system32目录,然后暂时禁用国外某杀毒软件的实时监控功能,重启才可以恢复系统。
据了解,Haxdoor后门与灰鸽子非常类似,而该后门程序的隐藏技术还要强过灰鸽子木马,所以目前网络炒股的用户非常多,Haxdoor后门极有可能在此期间发作,用户需要高度警惕。
最新消息:诺顿官方也提供了这个将系统文件当病毒的解决办法,既然是官方的我们也试试吧~!
