SiS001! Board - [第一会所关闭注册]

标题: [交流] 诺顿误杀致操作系统崩溃数百万电脑面临灭顶灾 [打印本页]

作者: rootly 时间: 2007-5-18 19:06 标题: 诺顿误杀致操作系统崩溃数百万电脑面临灭顶灾

诺顿误杀导致操作系统崩溃，数以百万计的电脑面临灭顶之灾。5月18日，瑞星发布红色安全警报称：赛门铁克公司提供的诺顿杀毒软件在升级病毒库后，会把Windows　XP系统的关键系统文件当作病毒清除，重启后系统将会瘫痪。瑞星公司表示，截至18日中午12点已有超过7000名个人用户和近百家企业用户向瑞星客户服务中心求助，更多用户由于系统繁忙无法打入电话。

　　瑞星安全专家表示，安装了MS06-070补丁的XP系统，如果将诺顿杀毒软件升级最新病毒库，则诺顿杀毒软件会把系统文件netapi32.dll、lsasrv.dll隔离清除，从而造成系统崩溃。由于国外品牌的笔记本和台式机多数预装了Windows XP系统和诺顿杀毒软件，这些用户极其容易遭到此次“误杀”攻击，因此我国大陆地区将有数百万台电脑面临崩溃的危险。由于该次误杀只发生在简体中文版的XP系统上，因此对国外用户几乎没有影响。

　　据瑞星客户服务中心的疫情监控工程师分析，赛门铁克在企业级市场上占有相当大的份额，特别在金融、电信等行业拥有一定的优势，因此此次误杀会导致许多企业网络完全瘫痪。根据初步预测，此次诺顿误杀将是近年来最严重的一次安全事故，给国内用户造成的整体经济损失甚至可能超过“熊猫烧香”病毒。

　　关于该事件的原因，瑞星研发负责人刘刚表示，近年来部分反病毒企业为了追求杀毒数量、查杀率、新病毒反应时间等单项技术指标，而降低了产品测试的标准，这样做会导致两个严重后果，一是误报率急速上升，二是容易出现重大的产品失误，甚至导致比普通的病毒攻击更严重的后果。

　　关于这次安全事故的预防和解决方法，刘刚建议：

　　一、还没有受到误杀影响的用户：启动计算机后，关闭诺顿杀毒软件的实时监控程序再插入网线上网；待赛门铁克公司解决该问题后，才可以继续启用诺顿实时监控程序。

　　二、系统已经瘫痪的用户：

　　1、使用windows　安装光盘启动系统，在提示菜单处按R进入恢复控制台。

　　2、在提示中按“1”然后回车，选择需要修复的系统，并输入管理员密码。

　　3、执行如下命令进行修复(X表示光盘盘符)：

　　Expand　x：／I386／netapi32.dl　c：／windows／system32／〔回车〕

　　Expand　x：／I386／netapi32.dl　c：／windows／system32／dllcache／〔回车〕

　　Expand　x：／I386／lsasrv.dl　c：／windows／system32／〔回车〕

　　Expand　x：／I386／lsasrv.dl　c：／windows／system32／dllcache／〔回车〕

　　4、重新启动计算机，关闭诺顿的实时监控程序。

　　5、启动诺顿的隔离区，恢复netapi32.dll和lsasrv.dll。

　　6、等待赛门铁克公司解决该问题后，才可以继续启用诺顿实时监控程序。

　　7、关闭杀毒软件实时监控程序可能导致计算机感染其他的病毒、木马及恶意程序，用户可以暂时选用其他的杀毒软件。

作者: jayray 时间: 2007-5-18 19:25

是不是真的啊？我为什么美感觉倒有什么事情啊？从哪里听来的啊？

作者: 11215600 时间: 2007-5-18 20:50

呵呵，幸好我用的卡吧，和我没关系，支持下楼主！

作者: mlggwyfs 时间: 2007-5-18 21:00

饿？我寝室室友用的就是啊，怎么没看他挂掉？
难道没更新:s_22:

作者: jayray 时间: 2007-5-18 21:08

我就觉得LZ有点危言耸听了，我用的是诺顿，也已经更新了没发现有什么问题！

作者: sbyguli 时间: 2007-5-19 13:15

没有用诺顿,所以不知道有没有这回事,但是听起来就像是广告一样! 唉!国足要是有广告这第厉害,就爽了!

作者: jjjfirst 时间: 2007-5-20 04:08

这是真的，事实已经发生了。我家里一台电脑用的是诺顿最新版，系统更新也打开的。18日中午开机系统就废了，没有明白是怎么回事呢，重装了系统。还在想现在的病毒真厉害，19日电视新闻就报道了。早知道就不重装系统了，丢了很多资料和记录。郁闷哪，赛门铁克公司应该负责赔偿的，在中国怎么维权呢

作者: 9543 时间: 2007-5-20 12:02

还是裸奔好呀，用瑞星占内存太多了，杀毒效果也不什么好，我一直没有装杀毒软件，就是没中过毒

作者: gyuong 时间: 2007-5-20 16:39

我也听说了这件事情，可我的电脑没出问题呀。

作者: vhacking 时间: 2007-5-20 20:08

哈哈，公司全部都是E文版本的，TRENDMICRO

作者: godcrazy 时间: 2007-5-20 22:16

6楼很显然是病毒木马中多了，虱子多了不咬的晃吧.
赛门铁克向来是连自己都杀的更不用说系统了.
至于说卡巴,现在在中国已经是出头鸟了,很多病毒出门前都要加上卡吧免杀壳的,虽然说一天升两级别,但是其实效果一竟不是很好了...

图1 弹出这个通知框不一定真的是中了病毒

　　上图这是一个典型的诺顿反病毒软件的自动防护通知框，里面说是发现了一个名为Backdoor.Haxdoor的威胁，从文件名来看是一个后门病毒，能够让黑客入侵或偷走你资料的病毒程序。

　　其所在路径在C:\Windows\system32下面，奇怪的是这个Dll(动态链接库)文件被发现有威胁之后，诺顿既清除不了，也隔离不了。这时候一些朋友就选择了重启，进入安全模式杀毒，但当你重启后就再也无法正常进入系统，会不断地循环重启。

　　这个事故的源头可能就是诺顿在2007年5月17日升级病毒数据库后惹的祸，诺顿错将系统文件当成了病毒，将它隔离了。

　　小知识：netapi32.dll是Windows网络应用程序接口，用于支持访问微软网络。
　　这个事故影响的范围十分广泛，使用诺顿的朋友都有可能遇上。当你进不了系统后，一般用户可能需要技术员的协助才能重新登陆系统，不过我们在这里提供了两套解决方案，能让大家迅速地解决问题。

　　1、还能正常使用系统的用户：

　　如果诺顿报了隔离 c:\windows\system32\netapi32.dll的话，请打开诺顿－选择隔离区，把这个文件还原。如果还报了一个lsasrv.dll文件，也可按照这方法将它放出来。

　　然后在诺顿的界面上选择－配置－文件系统检测－排除－在里面把这个文件排除掉，就不会再误报了。

　　2、如果已经重启过xp，发现不能正常启动的用户：

　　除了联系专业技术人员，还可用以下操作恢复：

　　使用Windows PE光盘启动，进入 C:\program files\ ，把symantec antiviurs目录改名。

　　再进入 c:\windows\system32\dllcache ，把netapi.dll、netapi32.dll、lsasrv.dll恢复到上一级目录，即 c:\windows\system32。

　　重启后一般都能恢复。

作者: lsa123321 时间: 2007-5-27 16:24

最近就听说
一用户把诺顿告上了法院，就是因为在杀毒的时候把人家的系统都给杀了。
还好没有用！
感谢楼主！

欢迎光临 SiS001! Board - [第一会所关闭注册] (http://67.220.93.11/bbs/)