|
校园网的赛门铁克诺顿防病毒系统突然报告以下安全事件,经过计算中心与赛门铁克公司联系,特别提醒用户采用如下正确的解决方法,以保护您的PC机正常工作。 第一、如果您的计算机出现如下窗口,请千万别重启机器,按解决方案一操作您的计算机; 第二、如果您的机器重启出现蓝屏,按解决方案二操作您的计算机。 解决方案一: 凡是报感染的用户, 千万不要重新启动系统, 按如下方法操作: 1. 进入Symantec隔离区(开始-所有程序-Symantec Client Security-Symantec Antivirus),进入“查看-隔离区” 如果隔离区里有netapi32.dll和lsasrv.dll,把这两个文件从隔离区恢复(点恢复键—日期/文件名上右属第五个键)。 2. 查看在c:\windows\system32\下的netapi32.dll和lsasrv.dll日期是否为2007年5月1日以后的日期,如是,则需要从其它正常系统中拷贝这两个文件。若不是,则不用处理。 3. 查看病毒定义是否为5月17日, 如是则卸载防病毒软件重新安装,如不是,则无需卸载。 解决方案二: 出现蓝屏时 1. 找一张系统安装盘 2. 从光盘启动 3. 进入系统恢复控制台 4. 进入DOS模式后 5. 删除c:\program files\common files\ Symantec Shared\VirusDefs\20070517.018目录 6. 然后把光盘中的\386\netapi32.dll 和lsasrv.dll 把拷贝到系统c:\windows\system32下 7. 重启计算机 一、受影响的计算机操作系统:Windows XP。 二、如果您的Symantec客户端报警提示:“发现病毒,风险名称:backdoor.haxdoor,感染文件:netapi32.dll,lsasrv.dll”请进行以下操作: 1、不要执行清理操作; 2、进行备份项目恢复:打开Symantec窗口 ->查看 ->备份项目 ->右击 风险:backdoor.haxdoor ->恢复。 3、停止Symantec Antivirus 服务; 4、删除C:\Program Files\Common Files\Symantec Shared\VirusDefs\20070517.18文件夹。 5、启动Symantec Antivirus 服务 三、如果您已经误删除上述系统文件导致机器无法启动,请进行以下操作: 1、使用系统启动盘启动操作系统; 2、从其他正常机器的C:\WINDOWS\system32目录下copy netapi32.dll,lsasrv.dll两个文件; 3、将netapi32.dll,lsasrv.dll文件copy到以下目录:C:\WINDOWS\system32; 3、停止Symantec Antivirus 服务; 4、删除C:\Program Files\Common Files\Symantec Shared\VirusDefs\20070517.18文件夹。 5、启动Symantec Antivirus 服务 6、重新启动机器。 附件: 目前的紧急对策: 从系统中心---右击服务器---所有任务---Symantec antivirus---病毒定义管理器---点击右上角的“配置”----出现对话框后店击“病毒定义文件”---然后选择之前的病毒定义。 使得服务器不要下发今天的病毒定义。 对于已经更新病毒定义的客户端,千万不要重新启动电脑。 关掉symantec antivirus 服务,如果netapi32.dll和lsasrc.dll文件存在,且修改日期不是今天,说明没有被完全隔离(应该是部分) ;从隔离区里面恢复这两个文件,或者从没有问题的电脑copy这两个文件到C:\windows\system32。 然后把C:\program files\common files\symantec shared\virusdefs\下把20070517这个文件夹删掉。 Symantec正在加急开发更新的病毒定义,新的病毒定义出来后,请马上更新到最新。 如果已经蓝屏,尝试以下方法, 1。使用安装盘启动 2.使用安装盘I386目录下的netapi32.dll和lsasrv.dll文件替换系统system32下的文件 3.重启电脑 4.可能SAVCE会再次报警,但系统恢复正常 以上为临时解决方案,可先尝试解决,正式的解决方案稍后通知您。 Best Regards, Michael Fu Symantec (China). Co. Ltd Email: Michael_Fu@Symantec.com Web Site:www.Symantec.com.cn 刚刚发给我公司的symantec工程师的来信,和大家共享 这个事故的源头可能就是诺顿在2007年5月17日升级病毒数据库后惹的祸,诺顿错将系统文件当成了病毒,将它隔离了。 小知识:netapi32.dll是Windows网络应用程序接口,用于支持访问微软网络。 这个事故影响的范围十分广泛,使用诺顿的朋友都有可能遇上。当你进不了系统后,一般用户可能需要技术员的协助才能重新登陆系统,不过我们在这里提供了两套解决方案,能让大家迅速地解决问题。 1、还能正常使用系统的用户: 如果诺顿报了 隔离 c:\windows\system32\netapi32.dll的话,请打开诺顿-选择隔离区,把这个文件还原。如果还报了一个lsasrv.dll文件,也可按照这方法将它放出来。 然后在诺顿的界面上选择-配置-文件系统检测-排除-在里面把这个文件排除掉,就不会再误报了。 2、如果已经重启过xp,发现不能正常启动的用户: 除了联系专业技术人员,还可用以下操作恢复: 使用Windows PE光盘启动,进入 C:\program files\ ,把symantec antiviurs目录改名。 再进入 c:\windows\system32\dllcache ,把netapi.dll、netapi32.dll、lsasrv.dll恢复到上一级目录,即 c:\windows\system32。 重启后一般都能恢复。 |
