norton symantec紧急通报， 用的进，病毒库问题！十万火急

L7312

今天午饭前无意间收到公司it部门关于backdoor.haxdoor病毒要爆发的消息（严重击级别高 蓝屏stop:c 000021a unknow hard error）， 我就顺便升级了一下norton, 升级病毒库到 virus difinations 2007-5-17 rev. 18， 升级后回想这个病毒应该过时好几年了，这回一定是变种，又是新的变种！心想。

中午回家吃饭，越想越不对劲，就把家里的机器的norton也升级了，果真马上报bbackdoor.haxdoor病毒（感染文件system32/netapi32.dll ）， 不能删除，不能隔离，不能清除，心想还这真厉害，迅速进safemode,军刀和unlocker开到，发现system32/netapi32.dll 还真厉害，windows所有关键进程都有引用， 先那explorer.exe，解析发现并无异常，
用norton全面杀毒，没有其他文件感染，
上网找这个病毒的专杀工具，根本就没发现有病毒，检查 system32/netapi32.dll 文件的更新时间是2006年

疑虑产生， 进一步实验，用windows系统回复功能，回复到2个星期以前，然后重启，发现了蓝屏（xp还不多见）并提示stop:c 000021a unknow hard error，

迅速用ghost恢复，恢复后，检查病毒库不是 5-17 rev. 18 查毒无所获，

进一步疑虑， 同时根据10多年经验，开始怀疑 病毒库中的病毒特征码是否有问题，
确认检查，再一次升级病毒库，问题依然，这基本上让我确信是 norton病毒库出了问题，
需要进一步确认，需要确认的是，如果公司内部收到的病毒报告显示感染文件都是 system32/netapi32.dll ，那么肯定是病毒库有问题。
因为没有现在很少有黑客，傻到只感染特定一个文件，而且从最开始报告看应该是很厉害的病毒（xp蓝屏，高手才会的）。

回到公司，迅速和上海it取得联系，确认的到了证实，病毒之感染一个文件。结论病毒库有问题，和上海it的反毒部门达成一致。
norton anti-virus difinations 2007-5-17 rev. 18有问题。

后续： 解决方案如果用错误的病毒库杀了system32/netapi32.dll， 用xp 自带的恢复控制台 加光盘恢复 这个文件（否则开机蓝屏）。现在正等待norton大爷怎么更新下一个病毒库。

10年前开始和病毒打交道，就等着么一天，因为我知道文件会越来越多，相似的文件也会越来越多，被动杀毒机制肯定会碰到，
病毒特征码误杀文件的问题（请参照卡巴斯基），这个好像也叫误码率。

没想到碰到了今天，还是大名鼎鼎的norton,误杀的还是大名鼎鼎的关键动态链接库。  我是不是该买彩票？（和老婆商量一下）

原创转载请务必联系本人。leonzhangliang@hotmail.com

[ 本帖最后由 L7312 于 2007-5-18 14:53 编辑 ]

汉唐

在本版先看看,要买彩票的凑个团购

L7312

顶 到 大家都看到

firefox911

确实是 我早上一开机 NIS07自动就隔离了NETAPI32.DLL XP提示系统文件被替换成未知版本重启后报错蓝屏.GHOST.....打了WindowsXP-KB921883-x86-CHS补丁 NETAPI32.DLL又会被NIS07当高风险木马隔离删除掉,最后又用GHOST恢复 断无线卸载了NIS 改用KIS 等NORTON修正后再说.

[ 本帖最后由 firefox911 于 2007-5-18 15:17 编辑 ]

L7312

确实是 我早上一开机 NIS07自动就隔离了NETAPI32.DLL XP提示系统文件被替换成未知版本重启后报错蓝屏.GHOST.....打了WindowsXP-KB921883-x86-CHS补丁 NETAPI32.DLL又会被NIS07当高风险木马隔离删除掉,最后又用GHOST恢复 断无线卸载了NIS 改用KIS 等NORTON修正后再说.

[ 本帖最后由 firefox911 于 2007-5-18 15:17 编辑 ]



----------------------------------------------------------------------------------------------------------------------
WindowsXP-KB921883-x86-CHS补丁中的文件也被错误的识别，所以现在没有问题的用户不要升级这个补丁

aznarble

升级到2007/05/17 rev.82（含）以上版本的病毒库可解决此问题。

kee

今天早上已中招，花了半天时间恢复系统！！

openkg

上海石化厂里的电脑,如果装的是winxp系统,那么基本上就全部都趴下了,因为这些电脑都装了企业版的诺顿,石化厂区里一共有大概3000台以上的电脑装了winxp,想想那些系统维修人员这次有得搞死了要,还有一些没趴下的电脑是因为诺顿暂时没有扫到c:\windows\system32目录下的lsasrv.dll和netapi32.dll文件,诺顿这次的乌龙太厉害了,搞笑,也搞人!
我已经用winpe V28里的lsasrv.dll和netapi32.dll文件恢复了3台电脑,都可以正常使用,不管你的诺顿病毒库是不是已经修复好了!

东成西就

晕，我的也是这样，而其我还没备份哭

flywater

晕了，现在成了惊弓之鸟……
不敢升级，不敢关机了

汉唐

QUOTE:

原帖由 flywater 于 2007-5-18 19:42 发表
晕了，现在成了惊弓之鸟……
不敢升级，不敢关机了

还没升级呢，怕啥？

flywater

怕自动升级啊，谁能告诉我现在norton的病毒库修复了这个bug了吗？

tony2007

QUOTE:

原帖由 aznarble 于 2007-5-18 15:52 发表
升级到2007/05/17 rev.82（含）以上版本的病毒库可解决此问题。

我的诺顿企业版8.1英文版，打死现在也只能升级到rev73，不知道为什么。它倒是没有主动隔离那两个dll，请问这样能关计么？

aikiu

上午其实看了这贴，但根本没用心。下午关机重启后，中招了。晕！

yjluo

再更新就没问题了现在

snhr

QUOTE:

原帖由 tony2007 于 2007-5-18 20:45 发表


我的诺顿企业版8.1英文版，打死现在也只能升级到rev73，不知道为什么。它倒是没有主动隔离那两个dll，请问这样能关计么？

实在怕怕啊。
英文版xp，现在rev 73.不敢管机。。。

海上新客

刚升级到rev 73，冒险重启，没事。

L7312

现在大家可以用live up升级到 5-17 rev. 73就没事了

不过感觉机器变慢了

snhr

rev 73正常启动。报告完毕。

monkey243

我今天早上也中招！！！

viewfinder

我也中招了，还傻乎乎的手动删除了文件，
系统崩溃

alexlai1000

不怪得我在16晚帮老板重装一台IBM--R50笔记本,在17日早上把杀毒装好,再升级,重启后,咦...................蓝屏??
把没有装杀毒软件的GHOST文件恢复,再重新装多一次,又蓝屏,想了又想,,,, 不会吧我都帮很多朋友装过系统,为何今次会这样的!!!唉!!!!!原来是诺顿的问题!!!!

不知什么时候可以得到解决,,老板的机子还在"裸跑"中!!嘻嘻.............................................

codasky

这件事情报纸上已经报了，好像有几百万用户情况类似包括招商银行这样的行业用户都有损失，赛门铁克可能要被集体起诉的。楼主也可以考虑加入。
幸好我是用nod32的，而且不知道为什么，鬼使神差地在星期五把办公室的电脑上用了3年的norton9.0企业版改成了NOD32，逃过了一劫（不过办公室用的是win2k3，而这次好像仅仅针对简体版winxp）。

chaici

我家姑娘是17号下午14：58出生的，不知道和这个有没有关系