赛门铁克失足落水 国内三厂商的恢复方案引发思考

yinxuchina

事件起因：2007年5月18日，在赛门铁克SAV 2007-5-17 Rev 18版本的病毒定义码中，会将Windows XP操作系统的netapi32.dll文件和lsasrc.dll文件判定为Backdoor.Haxdoor病毒，并且把他们隔离，造成重启机器后无法进入系统，安全模式也无法进入，并且出现蓝屏现象。

国内三大厂商纷纷献“计”献“策”

18日14点半，国内反病毒厂商瑞星已把此次事件列为“红色安全警报（一级）”，并公布瑞星建议的解决方法：

瑞星反病毒专家建议：
还没有受到误杀影响的用户
1、拔掉网线再开启计算机。
2、启动计算机后，关闭诺顿杀毒软件的实时监控程序再插入网线上网。
3、等待赛门铁克公司解决该问题后，才可以继续启用诺顿实时监控程序。
4、关闭杀毒软件实时监控程序可能导致计算机感染其它的病毒、木马及恶意程序，用户可以暂时选用其它的杀毒软件。
对于系统已经瘫痪的用户：
1、使用windows 安装光盘启动系统，在提示菜单处按R进入恢复控制台。
2、在提示中按“1”然后回车，选择需要修复的系统，并输入管理员密码。
3、执行如下命令进行修复（X表示光盘盘符）：Expand x:\I386\netapi32.dl_ c:\windows\system32\  [回车]Expand x:\I386\netapi32.dl_ c:\windows\system32\dllcache\ [回车]Expand x:\I386\lsasrv.dl_ c:\windows\system32\  [回车]Expand x:\I386\lsasrv.dl_ c:\windows\system32\dllcache\  [回车]
4、重新启动计算机，关闭诺顿的实时监控程序。
5、启动诺顿的隔离区，恢复netapi32.dll和lsasrv.dll。
6、等待赛门铁克公司解决该问题后，才可以继续启用诺顿实时监控程序。
7、关闭杀毒软件实时监控程序可能导致计算机感染其它的病毒、木马及恶意程序，用户可以暂时选用其它的杀毒软件。
而另外两家国内反病毒厂商江民和金山，几乎是同时发表了自己的解决方法：
金山毒霸反病毒工程师建议广大用户：
1、使用windows安装光盘启动系统至故障恢复控制台，尝试从正常的系统恢复这两个文件。或者把出问题的主机硬盘拆下挂从盘，恢复这两个文件到windows\system32目录下。注意恢复文件后，下次重启仍然要进安全模式，需将国外某杀毒软件暂时禁用。
2、对企业网管，建议网管员使用winpe光盘引导系统，首先恢复这两个系统文件
到windows\system32目录，然后暂时禁用国外某杀毒软件的实时监控功能，重启才可以恢复系统。
江民反病毒专家建议，遇到此类情况的用户可以采用以下几种方法处理：
1、已经出现情况但未重启电脑的用户，可以从杀毒软件病毒隔离区恢复上述两个文件。
2、已经出现情况并且电脑重启后并无法进入系统的用户,可以使用系统安装盘，并设置BIOS从光驱启动，选
择从控制台恢复系统，拷贝上述两个文件到硬盘相应目录下。netapi32.dll和lsasrv.dll 文件在光盘f:\I386目录下把上述两个文件分别拷贝到以下两个路径：c:\windows\system32\netapi32.dllc:\windows\system32\lsasrv.dll
3、重启电脑，修改BIOS从硬盘启动电脑，系统即可进入。

由上述三个应对方案来看，处理方式都差不多，不过金山的建议比较烂，而且明显带有贬低竞争对手的感觉（由加蓝色字体可以看出）。瑞星的解决方案比较详细，顺带着也宣传了自己。江民的解决方案还是中规中距的，是从用户角度出发，显得比较中性。Symantec这次的失误在于，发布新定义之前没有详细测试。出事之后没有及时提供官方的反馈，以及处理办法。从国内3个厂商的处理方法来看，江民的做的不错，在灾难性事件中，首先要考虑的是如何恢复用户的系统，而不是提供恢复的同时宣传自己，后两者的做法显得有点幼稚。
升级杀毒软件也会使系统崩溃，用户网络安全何在？

赛门铁克落水，有人欢喜有人忧，这是什么世道，难道真的是痛打落水狗？

什么才是真正的应急恢复？和平时代尚且如此，当面临战争时，我们又能求助谁？

时间还在流动，事件也没有结束，很多用户的系统等着恢复，未来的安全真的很可怕！

[ 本帖最后由 yinxuchina 于 2007-5-20 03:25 编辑 ]

野马

Windows XP操作系统的netapi32.dll文件和lsasrc.dll文件判定为Backdoor.Haxdoor病毒

netapi32.dl
lsasrc.dll

这两个到底是什么性质的文件？有名有姓的报。

firelife

原帖由 野马 于 2007-5-20 12:15 发表
Windows XP操作系统的netapi32.dll文件和lsasrc.dll文件判定为Backdoor.Haxdoor病毒

netapi32.dl
lsasrc.dll

这两个到底是什么性质的文件？有名有姓的报。

早就贴了的http://bbs.kafan.cn/viewthread.php?tid=86693&extra=page%3D1

JillPal

事后诸葛亮有些不厚道。

equal1984

幸好我不用诺顿.....