【紧急】Symantec 误报病毒的解决方法

wdsh

今天IBM公司技术人员的笔记本大都中招了，刚才他们已经收到了技术部门发来的补救方案。

主题  病毒处理方法
如果你发现Symantec防病毒定义码版本为2007-5-17 v18，此时说明您计算机的防病毒软件病毒定义码已经出现问题。请注意此时千万不要重启机器，参照后面的解决方法进行修复。
问题原因是Symantec防病毒定义码版本2007-5-17 v18存在问题，会将系统文件netapi32.dll误报为backdoor.Haxdoorn病毒。目前SAV防病毒服务器的病毒定义码已经回退到2007-5-16 v17，并将netapi32.dll文件加为例外，Symantec不再进行检查，不会再出现误报问题；
对于已经更新的部分用户，请直接关闭Symantec的Backdoor.Haxdoor病毒提示框，暂时不要重启计算机，计算机重启后会出现蓝屏或反复重启现象。

【解决方法】
1、对于没有重启的用户，请用户将<netapi32.dll与lsasrv.dll文件>拷贝到C:\WINDOWS\system32\dllcache目录下覆盖原文件，然后将c:\windows\system32目录下的netapi32.dll与lsasrv.dll文件改名，即可修复。
2、对于已经重启的用户，如果能访问到系统盘windows\system32目录，请将<netapi32.dll与lsasrv.dll文件>拷贝到该目录下，即可修复；   如果无法访问到系统盘windows\system32目录的用户，请使用系统安装光盘进入控制台，将光盘上I386目录下的netapi32.dl_与lsasrv.dl_改名为netapi32.dll与lsasrv.dll并拷贝到C:\WINDOWS\system32目录下，即可修复。

汉唐

休眠之后的重新启动行不行?

winniejoe

多谢了
早上中招，我中午才把贴发出来，也知道了解决办法
网管们要开始辛苦了

wha2008

多谢，一直没敢重启

wdsh

起初也奇怪，为什么我的Windows XP SP2 CHS + SAV 10.1.6.6000 + 2007-5-17 Rev.18病毒代码没出问题，帮助IBM的朋友做修复时发现他的系统SYSTEM32中lsasrv.dll和netapi32.dll的字节数与技术部发来的两个文件字节数不同。

被误报的文件：
lsasrv.dll       699,392 bytes
netapi32.dll  332,288 bytes

不会被误报的文件：
lsasrv.dll       704,000 bytes
netapi32.dll  337,408 bytes

文件版本完全一样，都是5.1.2600.2976，单单字节数不同。说明虽然文件版本一样，实际代码是不同的。

我检查了自己的系统这两个文件字节数和IBM技术部发出的一样，难怪我的系统没有问题。我的操作系统是每月在线更新升级到现在文件版本的，为什么有那么多兄弟的文件会和微软的更新不一样就想不通了。

此外被误报的文件最后修改日期是2006-8-17 20:29:48    我的系统中都是2006-8-17 20:41:42。

[ 本帖最后由 wdsh 于 2007-5-18 15:07 编辑 ]

QZQ

晕死，害我折腾了一个上午。
前几天还在教育同事，养成良好的习惯就不会中毒。
搞到今天都问我上了什么网站。

ramjet

目前好像还没有回退到5.16！

汉唐

QUOTE:

原帖由 wdsh 于 2007-5-18 14:41 发表
起初也奇怪，为什么我的Windows XP SP2 CHS + SAV 10.1.6.6000 + 2007-5-17 Rev.18病毒代码没出问题，帮助IBM的朋友做修复时发现他的系统SYSTEM32中lsasrv.dll和netapi32.dll的字节数与技术部发来的两个文件字节 ...

晕,我的IBM OEM SP2..正常WINDOWS UPDATE,

文件大小是误判标准的

L7312

http://www.ibmnb.com/viewth ... &extra=page%3D1

norton symantec紧急通报， 用的进，病毒库问题！十万火急


今天午饭前无意间收到公司it部门关于backdoor.haxdoor病毒要爆发的消息（严重击级别高 蓝屏stop:c 000021a unknow hard error）， 我就顺便升级了一下norton, 升级病毒库到 virus difinations 2007-5-17 rev. 18， 升级后回想这个病毒应该过时好几年了，这回一定是变种，又是新的变种！心想。

中午回家吃饭，越想越不对劲，就把家里的机器的norton也升级了，果真马上报bbackdoor.haxdoor病毒（感染文件system32/netapi32.dll ）， 不能删除，不能隔离，不能清除，心想还这真厉害，迅速进safemode,军刀和unlocker开到，发现system32/netapi32.dll 还真厉害，windows所有关键进程都有引用， 先那explorer.exe，解析发现并无异常，
用norton全面杀毒，没有其他文件感染，
上网找这个病毒的专杀工具，根本就没发现有病毒，检查 system32/netapi32.dll 文件的更新时间是2006年

疑虑产生， 进一步实验，用windows系统回复功能，回复到2个星期以前，然后重启，发现了蓝屏（xp还不多见）并提示stop:c 000021a unknow hard error，

迅速用ghost恢复，恢复后，检查病毒库不是 5-17 rev. 18 查毒无所获，

进一步疑虑， 同时根据10多年经验，开始怀疑 病毒库中的病毒特征码是否有问题，
确认检查，再一次升级病毒库，问题依然，这基本上让我确信是 norton病毒库出了问题，
需要进一步确认，需要确认的是，如果公司内部收到的病毒报告显示感染文件都是 system32/netapi32.dll ，那么肯定是病毒库有问题。
因为没有现在很少有黑客，傻到只感染特定一个文件，而且从最开始报告看应该是很厉害的病毒（xp蓝屏，高手才会的）。

回到公司，迅速和上海it取得联系，确认的到了证实，病毒之感染一个文件。结论病毒库有问题，和上海it的反毒部门达成一致。
norton anti-virus difinations 2007-5-17 rev. 18有问题。

后续： 解决方案如果用错误的病毒库杀了system32/netapi32.dll， 用xp 自带的恢复控制台 加光盘恢复 这个文件（否则开机蓝屏）。现在正等待norton大爷怎么更新下一个病毒库。

10年前开始和病毒打交道，就等着么一天，因为我知道文件会越来越多，相似的文件也会越来越多，被动杀毒机制肯定会碰到，
病毒特征码误杀文件的问题（请参照卡巴斯基），这个好像也叫误码率。

没想到碰到了今天，还是大名鼎鼎的norton,误杀的还是大名鼎鼎的关键动态链接库。  我是不是该买彩票？（和老婆商量一下）

原创转载请务必联系本人。

[ 本帖最后由 L7312 于 2007-5-18 14:44 编辑 ]

whupxj

狂顶一下!我已经解决了,唉,今天吓我啊,当我中午发现上午的问题的根源时,马上意识到问题大啦,只时还不知道有解决方法,只知道都挂了!!!

马上上报,然后找方法,楼主说的倒退,我以前就试过,好象倒退不了!我们只能等!等它(symantec)发新的病毒库!2007-5-17.18就说明你的机器已经中招啦!新的病毒库是2007-5-17.73！！！
唉，在一台新机上一试，可以用！马上分发！一级服务器过了几分钟升级成功，然后，下面的八台二级服务器也慢慢升级成功！啊！

不过听说今天还有不少单位也挂了！深交所！深圳中移动！。。。。还有几个！！！有用symantec antivirus 10.0.0 企业版的交流一下！

QQ：67711281    接头口信 symantec