诺顿“误杀”致使中文Windows XP受灾_

繁

游戏

下载

女性

　诺顿的“误杀”

　　5月18日下午，多家企业及大批个人用户向国内各杀毒软件厂商电话求助，称遭到了病毒大规模攻击，电脑重启后报错，无法进入系统。
　　经安全专家分析，为诺顿杀毒软件升级最新的病毒库后，把Windows XP的关键系统文件当作病毒清除，重启后至使系统瘫痪。些情况只发生在简体中文版的XP系统上，对国外用户几乎没有影响。
　　安全专家表示，5月17日病毒库的诺顿杀毒软件会强制删除lsasrv.dll和netapi32.dll这两个文件，并把这两个文件报为backdoor.haxdoor的病毒，导致重新启动计算机后机器将会无法进入系统。经分析，lsasrv.dll和netapi32.dll系系统的正常文件，诺顿把这两个文件报为病毒并删除的操作系严重的误报误杀行为。

　媒体报道

诺顿误杀导致系统崩溃数百万电脑面临灾难
　　5月18日，诺顿杀毒软件升级病毒库后，会把Windows XP系统的关键系统文件当作病毒清除，重启后系统将会瘫痪。瑞星公司表示，截至中午12点已有超过7千名个人用户和近百家企业用户向瑞星客户服务中心求助，更多用户由于系统繁忙无法打入电话。
　　瑞星安全专家表示，安装了MS06-070补丁的XP系统，如果将诺顿升级最新病毒库，则诺顿杀毒软件会把系统文件netapi32.dll、lsasrv.dll隔离清除，从而造成系统崩溃。由于国外品牌的笔记本和台式机多数预装了Windows XP系统和诺顿杀毒软件，这些用户极其容易遭到此次“误杀”攻击，因此中国大陆地区将有数百万台电脑面临崩溃的危险。由于该次误杀只发生在简体中文版…【全文>>】

诺顿误杀导致操作系统瘫痪三步骤可恢复
　　5月18日，江民反病毒中心接到多家企业求助电话，称遭到了病毒大规模攻击，电脑重启后报错，无法进入系统。江民科技迅速派出技术人员上门解决问题，最终发现系该企业所安装的诺顿网络版杀毒软件误报错杀导致。
　　由于重启系统后电脑无法正常进入，只能手工修复系统，江民反病毒工程师提供了以下的恢复办法。
　　一、已经出现情况但未重启电脑的用户，可以从杀毒软件病毒隔离区恢复上述两个文件。
　　二、使用安装盘恢复。 …【全文>>】

诺顿“误杀”造成安全事故专家提供解决方案
　　据了解，在国内，诺顿在企业级市场上占有相当大的份额，因此本次误报对国内大量企业用户影响很大。据金山毒霸反病毒专家称，此次诺顿误杀将是近5年来最严重的一次安全事故。
　　为了让大量企业用户能够避免遭遇此次“灾难”，金山毒霸反病毒专家针对企业用户推出了全面解决方案…【全文>>】

诺顿误杀系统文件时显示的信息

　补救方案之江民篇

　　还没有受到误杀影响的用户：
　　　1、拔掉网线再开启计算机。
　　　2、启动计算机后，关闭诺顿杀毒软件的实时监控程序再插入网线上网。
　　　3、等待赛门铁克公司解决该问题后，才可以继续启用诺顿实时监控程序。
　　　4、关闭杀毒软件实时监控程序可能导致计算机感染其它病毒、木马及恶意程序，用户可暂时选用其它的杀毒软件。
　　对于系统已经瘫痪的用户：
　　　1、使用windows 安装光盘启动系统，在提示菜单处按R进入恢复控制台。
　　　2、在提示中按“1”然后回车，选择需要修复的系统，并输入管理员密码。
　　　3、执行如下命令进行修复(X表示光盘盘符)：
　　　　Expand x:\I386\netapi32.dl_ c:\windows\system32\ [回车]
　　　　Expand x:\I386\netapi32.dl_ c:\windows\system32\dllcache\ [回车]
　　　　Expand x:\I386\lsasrv.dl_ c:\windows\system32\ [回车]
　　　　Expand x:\I386\lsasrv.dl_ c:\windows\system32\dllcache\ [回车]
　　　4、重新启动计算机，关闭诺顿的实时监控程序。
　　　5、启动诺顿的隔离区，恢复netapi32.dll和lsasrv.dll。
　　　6、等待赛门铁克公司解决该问题后，才可以继续启用诺顿实时监控程序。
　　　7、关闭杀毒软件实时监控程序可能导致计算机感染其它的病毒、木马及恶意程序，用户暂时选用其它的杀毒软件。

　补救方案之瑞星篇

　　一、已经出现情况但未重启电脑的用户，可以从杀毒软件病毒隔离区恢复上述两个文件。
　　二、使用安装盘恢复。
　　　1、已经出现情况并且电脑重启后并无法进入系统的用户,可以使用系统安装盘，并设置BIOS从光驱启动，选择从控制台恢复系统，拷贝上述两个文件到硬盘相应目录下。 (netapi32.dll和lsasrv.dll 文件在光盘X:\I386目录下)
　　　2、按R使用选择“用恢复控制台修复WINDOWSXP安装”，把上述两个文件分别拷贝到以下两个路径：
　　　　X:\windows\system32\netapi32.dll
　　　　X:\windows\system32\lsasrv.dll （X为相应的系统盘符）
　　 3、重启电脑，修改BIOS从硬盘启动电脑，系统即可进入。
　　 (注意：如果使用拆下硬盘挂到其它电脑上恢复文件的话，需要注意系统版本的统一，否则无效)
　　三、使用挂从盘的方法恢复被删除的文件
　　　 1、对于没有安装盘的用户，可以找一台能上网的电脑，从以下地址下载系统文件，把被破坏的系统硬盘摘下来挂在能够正常运行的计算机上。
　　　（点击下载被误删除的文件：http://www.jiangmin.com/download/sys.rar）
　　　 2、设置此硬盘为从盘，将下载下来的文件复制到系统盘相应的目录下。

　补救方案之金山篇

　　一、诺顿企业版用户，但未受影响者
　　（1）如果企业刚好采用NORTON企业版杀毒软件，可以立即通知全网禁止NORTON的实时监控功能
　　（2）配置升级回滚，撤销本次引发误报的5.17-5.18版病毒库，恢复到5.16版病毒库。
　　（3）通知所有客户机不要重启电脑，然后从NORTON隔离区还原相应文件至系统目录，避免灾难性的后果。
　　二、诺顿企业版用户，已经遭遇本次误报影响
　　对已经崩溃的系统，只能采取应急修复，除了前面提到的故障恢复控制台操作外，为简化修复步骤，可以使用winpe光盘引导系统，再COPY这两个系统文件到windows\system32目录，然后禁用NORTON杀毒软件的实时监控功能，重启恢复系统。
　　遭遇本次误报影响的用户修复方法：
　　系统已经崩溃时建议用故障恢复控制台恢复被误杀的系统文件，操作步骤如下：
　　　1、使用windows 安装光盘启动系统，在提示安装时，按R选择修复，再选择启动到故障恢复控制台。
　　　 2、在提示中选择当前运行的操作系统，多数情况下是按“1”，然后回车，需要输入管理员口令。
　　　 3、执行如下命令进行修复(X表示光盘盘符)：
　　　 Expand x:\I386\netapi32.dl_ c:\windows\system32\
　　　 Expand x:\I386\netapi32.dl_ c:\windows\system32\dllcache（并非必须）
　　　 Expand x:\I386\lsasrv.dl_ c:\windows\system32\
　　　 Expand x:\I386\lsasrv.dl_ c:\windows\system32\dllcache\ （并非必须）
　　　 4、在故障恢复控制台，运行listsvc，查看当前计算机服务属性，找到NORTON杀毒软件相关的服务名，NORTON 360的服务名包括"cltnetcnservice"、"eectrl"、"ccevtmgr”、"ccsetmgr"，其它版本的NORTON杀毒软件，服务名有所不同，可用listsvc命令详细查看。运行disable "服务名"，禁用NORTON杀毒软件相关服务。键入exit重新启动计算机。