SYMANTEC病毒误报现象处理(Backdoor.haxdoor临时解决方案)

 

今天从服务供应商处得到紧急通告，Symantec 5月17日的病毒库误报问题。 

诺顿升级到5月17日版本后，会导致打过KB924270补丁的XP系统崩溃，其原因是诺顿将KB924270更新过的netapi32.dll和lsasrv.dll文件误报为Backdoor.Haxdoor后门病毒。经过初步调查，lsasrv.dll和netapi32.dll是正常的系统文件。

SAV更新到5月17日的病毒定以后，会把
C:/windows/system32/netapi32.dll和 C:/windows/system32/lsasrv.dll
认为是backdoor.haxdoor, 并且把他们隔离掉。
会造成重起机器后无法进入系统，安全模式也无法进入，蓝屏或者黑屏。

目前的紧急对策：

从系统中心---右击服务器---所有任务---Symantec  antivirus---病毒定义管理器---点击右上角的“配置”----出现对话框后店击“病毒定义文件”---然后选择之前的病毒定义。
使得服务器不要下发今天的病毒定义。

对于已经更新病毒定义的客户端，千万不要重新启动电脑。
关掉symantec antivirus 服务，如果netapi32.dll和lsasrv.dll文件存在，且修改日期不是今天，说明没有被完全隔离（应该是部分） ；从隔离区里面恢复这两个文件，或者从没有问题的电脑copy这两个文件到C:/windows/system32。
然后把C:/program files/common files/symantec shared/virusdefs/下把20070517这个文件夹删掉。

Symantec正在加急开发更新的病毒定义，新的病毒定义出来后，请马上更新到最新。

已经无法启动的解决方法：

已经报出有病毒，但机器已经重启并无法进入系统(XP SP2)，有以下解决方法：
1> 接上光驱，插如WINDOWS安装光盘,并选择从CDROM启动
2> 选择从控制台恢复，按"R"键
3> 假设您的光驱盘符为"F:"，敲入以下命令
copy f:/I386/netapi32.dl_ c:/windows/system32/netapi32.dll
和
copy f:/I386/lsasrv.dl_ c:/windows/system32/lsasrv.dll
如果遇到提示是否覆盖原有文件，请选择"Yes"。
4> 重新启动机器，从硬盘启动，即可进入系统。