賽門鐵克誤報微軟系統(tǒng)文件病毒事件+解決方法
賽門鐵克發(fā)出的LiveUpdate更新定義錯誤地把微軟簡體中文Windows XP中的2個系統(tǒng)文件當作Backdoor.Haxdoor進行了刪除,從而造成Windows系統(tǒng)在根據(jù)錯誤檢測重啟后無法運行.
　　受到影響的是應用了微軟KB924270安全更新的微軟簡體中文Windows XP Service Pack 2 系統(tǒng),應用微軟安全更新KB924270.而受影響的文件是netapi32.dll(5.1.2600.2976版本)和lsasrv.dll (5.1.2600.2976版本).其他語言版本W(wǎng)indows XP或者沒有應用微軟安全更新KB924270的Windows XP都沒有受到影響.
賽門鐵克在北京時間5月18日下午2:30發(fā)布了LiveUpdate更新定義來更正這一事件.這些更新定義的版本號碼為 20070517.071.在錯誤檢測后沒有重新啟動Windows系統(tǒng)的用戶可以通過應用LiveUpdate的更新定義來解決這一問題.重新啟動系統(tǒng)而遭受影響的用戶可以通過使用微軟恢復控制臺來使其系統(tǒng)恢復到之前的狀態(tài).
　　賽門鐵克已經(jīng)采取行動給用戶提供更新的文件定義.賽門鐵克非常認真嚴肅的對待其所提供解決方案的安全性與功能,并建議受影響的用戶采取必要的措施來確保他們的系統(tǒng)得到保護.
-----------------------------------------------------------
KB924270
　　現(xiàn)已確認有一個安全問題，攻擊者可能會利用此問題危及 Windows 系統(tǒng)的安全并獲取對該系統(tǒng)的控制權。您可通過安裝本 Microsoft 更新程序來保護計算機不受侵害。安裝本更新程序之后，可能需要重新啟動計算機。
　　支持的操作系統(tǒng)： Windows XP Service Pack 2
　　發(fā)布日期： 2006/11/13 
　　語言： 簡體中文 
----------------------------------------------------------- 
5.17諾頓(Backdoor.Haxdoor)的誤殺導致系統(tǒng)崩潰的解決方法
諾頓升級到5月17日版本后，會導致打過KB924270補丁的XP系統(tǒng)崩潰，其原因是諾頓將KB924270更新過的netapi32.dll和lsasrv.dll文件誤報為Backdoor.Haxdoor后門病毒。經(jīng)過初步調(diào)查，lsasrv.dll和netapi32.dll是正常的系統(tǒng)文件。
該文件在諾頓隔離后，系統(tǒng)重啟導致藍屏并提示：STOP c000021a Unkown hard error。
諾頓升級到5月17日版本后，會導致打過KB924270補丁的XP系統(tǒng)崩潰，其原因是諾頓將KB924270更新過的netapi32.dll和lsasrv.dll文件誤報為Backdoor.Haxdoor后門病毒。經(jīng)過初步調(diào)查，lsasrv.dll和netapi32.dll是正常的系統(tǒng)文件。
該文件在諾頓隔離后，系統(tǒng)重啟導致藍屏并提示：STOP c000021a Unkown hard error。
中毒后請大家不要重啟電腦
Backdoor.haxdoor臨時解決方案
SAV更新到5月17日的病毒定以后，會把
C:windowssystem32netapi32.dll和 C:windowssystem32lsasrc.dll
認為是backdoor.haxdoor, 并且把他們隔離掉。
會造成重起機器后無法進入系統(tǒng)，安全模式也無法進入，藍屏。
目前的緊急對策：
從系統(tǒng)中心---右擊服務器---所有任務---Symantec  antivirus---病毒定義管理器---點擊右上角的“配置”----出現(xiàn)對話框后店擊“病毒定義文件”---然后選擇之前的病毒定義。
使得服務器不要下發(fā)今天的病毒定義。
對于已經(jīng)更新病毒定義的客戶端，千萬不要重新啟動電腦。
關掉symantec antivirus 服務，如果netapi32.dll和lsasrc.dll文件存在，且修改日期不是今天，說明沒有被完全隔離（應該是部分） ；從隔離區(qū)里面恢復這兩個文件，或者從沒有問題的電腦copy這兩個文件到C:windowssystem32。
然后把C:program filescommon filessymantec sharedvirusdefs下把20070517這個文件夾刪掉。
Symantec正在加急開發(fā)更新的病毒定義，新的病毒定義出來后，請馬上更新到最新。
已經(jīng)無法啟動的解決方法:
2. 已經(jīng)報出有病毒,但機器已經(jīng)重啟并無法進入系統(tǒng)(XP SP2),有以下解決方法:
1> 接上光驅,插如WINDOWS安裝光盤,并選擇從CDROM啟動
2> 選擇從控制臺恢復,按"R"鍵
3> 假設您的光驅盤符為"F:",敲入以下命令
copy f:I386netapi32.dl_ c:windowssystem32netapi32.dll
和
copy f:I386lsasrv.dl_ c:windowssystem32lsasrv.dll
如果遇到提示是否覆蓋原有文件,請選擇"Yes".
4> 重新啟動機器,從硬盤啟動,即可進入系統(tǒng).