廉颇老矣,尚能饭否? 年迈赛门铁克误报的技术层深度分析

廉颇老矣,尚能饭否?年迈赛门铁克误报的

技术层深度分析

5月18日下午,赛门铁克的客服电话肯定被打爆了!用户以为是爆发了新病毒,于是很多安全软件厂商比如说金山的客服中心都接到了用户的求助:开机重启后蓝屏,屏幕上显示unknownharderror,安全模式下也无法进入,此类情况在多个论坛也有类似描述。事件的起因是norton杀毒

软件曾经报告发现Backdoor.Haxdoor病毒。

金山客服中心再联系多个用户后,证实是NORTON的严重误报导致系统不能启动。NORTON误报的系统文件lsasrv.dll 和netapi32.dll为Backdoor.Haxdoor病毒,norton杀毒软件会自动将这两个dll文件隔离。这两个系统文件被删除后,会导致重启后蓝屏,屏幕上显示unknownharderror,安全模式下也无法进入。

杀毒软件误报事件不可避免,但此番Symantec的Norton

杀毒软件误报系统文件为病毒,给用户造成损失之大,实属罕见。

修复方法:

系统已经崩溃时建议用故障恢复控制台恢复被误杀的系统文件,操作步骤如下:

1、使用windows安装光盘启动系统,在提示安装时,按R 选择修复,再选择启动到故障恢复控制台。

2、在提示中选择当前运行的操作系统,多数情况下是按

“1”,然后回车,需要输入管理员口令。

3、执行如下命令进行修复:

Expandx:\I386\netapi32.dl_c:\windows\system32\

Expandx:\I386\netapi32.dl_c:\windows\system32\dllcache

Expandx:\I386\lsasrv.dl_c:\windows\system32\Expandx:\I386\lsasrv.dl_c:\windows\system32\

dllcache\

4、在故障恢复控制台,运行listsvc,查看当前计算机服务属性,找到NORTON杀毒软件相关的服务名,NORTON360的服务名包括cltnetcnservice、eectrl、ccevtmgr”、ccsetmgr,其它版本的NORTON杀毒软件,服务名有所不同,可用listsvc命令详细查看。

运行disable服务名,禁用NORTON杀毒软件相关服务。键入exit重新启动计算机。

5、联系symantec公司获得补丁,索取解决方案。

对企业网管来讲,这次误报是个噩梦,网管员首先应该立即禁止全网更新,如果使用NORTON企业版更新过,需要配置升级回滚,撤销本次引发误报的病毒库升级。立即通知所有客户机不要重启电脑,从NORTON隔离区还原相应文件至系统目录。

为简化修复步骤,可以使用winpe光盘引导系统,再恢复这两个系统文件到windows\system32目录,然后禁用

NORTON杀毒软件的实时监控功能,重启恢复系统。

PS:在https://www.360docs.net/doc/9112425541.html,查到24条有关Backdoor.Haxdoor后门程序的资料,该后门程序和灰鸽子类似,最早收集到的版本是在2005年。只是该后门程序的隐藏技术强过灰鸽子木马,只是利益链不如灰鸽子广。换句话说,这个后门的作者比灰鸽子作者缺乏商业头脑。

5月18日下午,賽門鐵克的客服電話肯定被打爆瞭!用戶以為是爆發瞭新病毒,於是很多安全軟件廠商比如說金山

的客服中心都接到瞭用戶的求助:開機重啟後藍屏,屏幕上顯示unknownharderror,安全模式下也無法進入,此類情況在多個論壇也有類似描述。事件的起因是norton殺毒軟件曾經報告發現Backdoor.Haxdoor病毒。

金山客服中心再聯系多個用戶後,證實是NORTON的嚴重誤報導致系統不能啟動。NORTON誤報的系統文件lsasrv.dll 和netapi32.dll為Backdoor.Haxdoor病毒,norton殺毒軟件會自動將這兩個dll文件隔離。這兩個系統文件被刪

除後,會導致重啟後藍屏,屏幕上顯示unknownharderror,安全模式下也無法進入。

殺毒軟件誤報事件不可避免,但此番Symantec的Norton 殺毒軟件誤報系統文件為病毒,給用戶造成損失之大,實屬罕見。

修復方法:

系統已經崩潰時建議用故障恢復控制臺恢復被誤殺的系統文件,操作步驟如下:

1、使用windows安裝光盤啟動系統,在提示安裝時,按R 選擇修復,再選擇啟動到故障恢復控制臺。

2、在提示中選擇當前運行的操作系統,多數情況下是按“1”,然後回車,需要輸入管理員口令。

3、執行如下命令進行修復:

Expandx:\I386\netapi32.dl_c:\windows\system32\

Expandx:\I386\netapi32.dl_c:\windows\system32

\dllcache

Expandx:\I386\lsasrv.dl_c:\windows\system32\Expandx:\I386\lsasrv.dl_c:\windows\system32\dllcache\

4、在故障恢復控制臺,運行listsvc,查看當前計算機服務屬性,找到NORTON殺毒軟件相關的服務名,NORTON360的服務名包括cltnetcnservice、eectrl、ccevtmgr”、ccsetmgr,其它版本的NORTON殺毒軟件,服務名有所不同,

可用listsvc命令詳細查看。

運行disable服務名,禁用NORTON殺毒軟件相關服務。鍵入exit重新啟動計算機。

5、聯系symantec公司獲得補丁,索取解決方案。

對企業網管來講,這次誤報是個噩夢,網管員首先應該立即禁止全網更新,如果使用NORTON企業版更新過,需要配置升級回滾,撤銷本次引發誤報的病毒庫升級。立即通知所有客戶機不要重啟電腦,從NORTON隔離區還原相應文件

至系統目錄。

為簡化修復步驟,可以使用winpe光盤引導系統,再恢復這兩個系統文件到windows\system32目錄,然後禁用NORTON殺毒軟件的實時監控功能,重啟恢復系統。

PS:在https://www.360docs.net/doc/9112425541.html,查到24條有關Backdoor.Haxdoor後門程序的資料,該後門程序和灰鴿子類似,最早收集到的版本是在2005年。隻是該後門程序的隱藏技術強過灰鴿子木馬,隻是利益鏈不如灰鴿子廣。換句話說,這個後門的

作者比灰鴿子作者缺乏商業頭腦。

相关文档
最新文档