廉颇老矣,尚能饭否? 年迈赛门铁克误报的技术层深度分析
5月18日下午,赛门铁克的客服电话肯定被打爆了!用户以为是爆发了新病毒,于是很多安全软件厂商比如说金山的客服中心都接到了用户的求助:开机重启后蓝屏,屏幕上显示unknown hard error,安全模式下也无法进入,此类情况在多个论坛也有类似描述。事件的起因是norton杀毒软件曾经报告发现Backdoor.Haxdoor病毒。 金山客服中心再联系多个用户后,证实是NORTON的严重误报导致系统不能启动。NORTON误报的系统文件lsasrv.dll和netapi32.dll为Backdoor.Haxdoor病毒,norton杀毒软件会自动将这两个dll文件隔离。这两个系统文件被删除后,会导致重启后蓝屏,屏幕上显示unknown hard error,安全模式下也无法进入。 杀毒软件误报事件不可避免,但此番Symantec的Norton杀毒软件误报系统文件为病毒,给用户造成损失之大,实属罕见。 系统已经崩溃时建议用故障恢复控制台恢复被误杀的系统文件,操作步骤如下:
1、使用windows 安装光盘启动系统,在提示安装时,按R选择修复,再选择启动到故障恢复控制台。 2、在提示中选择当前运行的操作系统,多数情况下是按“1”,然后回车,需要输入管理员口令。
3、执行如下命令进行修复(X表示光盘盘符):
Expand x:\I386\netapi32.dl_ c:\windows\system32\
Expand x:\I386\netapi32.dl_ c:\windows\system32\dllcache(并非必须)
Expand x:\I386\lsasrv.dl_ c:\windows\system32\
Expand x:\I386\lsasrv.dl_ c:\windows\system32\dllcache\ (并非必须)
4、在故障恢复控制台,运行listsvc,查看当前计算机服务属性,找到NORTON杀毒软件相关的服务名,NORTON 360的服务名包括"cltnetcnservice"、"eectrl"、"ccevtmgr”、"ccsetmgr",其它版本的NORTON杀毒软件,服务名有所不同,可用listsvc命令详细查看。
运行disable "服务名",禁用NORTON杀毒软件相关服务。键入exit重新启动计算机。 5、联系symantec公司获得补丁,索取解决方案。 对企业网管来讲,这次误报是个噩梦,网管员首先应该立即禁止全网更新,如果使用NORTON企业版更新过,需要配置升级回滚,撤销本次引发误报的病毒库升级。立即通知所有客户机不要重启电脑,从NORTON隔离区还原相应文件至系统目录。 为简化修复步骤,可以使用winpe光盘引导系统,再恢复这两个系统文件到windows\system32目录,然后禁用NORTON杀毒软件的实时监控功能,重启恢复系统。
| 
[复制链接]
发表于 2007-5-21 17:41:55
