诺顿5月17日病毒库更新后误杀系统文件导致系统蓝屏(STOP c000021a Unkown hard error)
上午接一朋友电话告知,公司所用诺顿扫描后,XP系统出现大量蓝屏。因我所在公司也使用Symantec防病毒产品,并订制的策略是每周五中午12点开始扫描。现在的状况是病毒库升级到5月17日版本后,扫描将会导致打过KB924270补丁的XP系统崩溃,其原因是诺顿将KB924270更新过的正常系统文件netapi32.dll和lsasrv.dll误报为Backdoor.Haxdoor后门病毒。
该文件在诺顿隔离后,系统重启将导致蓝屏并提示:STOP c000021a Unkown hard error。
中午的时候和Symantec广州办事处进行了联系和确认,并发过来一个临时解决方案,希望对扫描后系统出现问题的朋友提供帮助。
Backdoor.haxdoor临时解决方案(10:00)
SAV更新到5月17日的病毒定以后,会把
C:\windows\system32\netapi32.dll和 C:\windows\system32\lsasrv.dll
认为是backdoor.haxdoor, 并且把他们隔离掉。
会造成重起机器后无法进入系统,安全模式也无法进入,蓝屏。
目前的紧急对策:
从系统中心---右击服务器---所有任务---Symantec antivirus---病毒定义管理器---点击右上角的“配置”----出现对话框后店击“病毒定义文件”---然后选择之前的病毒定义。
使得服务器不要下发今天的病毒定义。
对于已经更新病毒定义的客户端,千万不要重新启动电脑。
关掉symantec antivirus 服务,如果netapi32.dll和lsasrc.dll文件存在,且修改日期不是今天,说明没有被完全隔离(应该是部分) ;从隔离区里面恢复这两个文件,或者从没有问题的电脑copy这两个文件到C:\windows\system32。
然后把C:\program files\common files\symantec shared\virusdefs\下把20070517这个文件夹删掉。
Symantec正在加急开发更新的病毒定义,新的病毒定义出来后,请马上更新到最新。
如果已经蓝屏,尝试以下方法,
1. 使用windows pe工具盘或者XP系统光盘进入系统.
2. 使用U盘copy正常环境下c:\windows\system32 下的netapi32.dll和lsasrv.dll文件替换故障机器system32下的这2个文件
3. 将故障机器上的C:\program files\common files\symantec shared\virusdefs\下把20070517这个文件夹删掉。
4. 重启电脑
5. 可能SAVCE会再次报警,但系统恢复正常
Symantec SRC (防病毒中心)
20070518
我们也可以使用XP系统光盘,启动时点击R进入控制台修复,并Copy该两个文件后重启:
copy x:\I386\netapi32.dl_ c:\windows\system32\netapi32.dll
copy x:\I386\lsasrv.dl_ c:\windows\system32\lsasrv.dll
刚收到最新的解决方法来源于Sysmantec:(14:18)
让客户到以下ftp 站点,下载68639 或者 更新的,解决了系统文件误报问题,并可以把隔离区里的系统文件恢复。
下载链接:
ftp://ftp.symantec.com/public/english_us_canada/antivirus_definitions/symantec_antivirus_corp/rapidrelease/sequence/
到68639目录或更加新的目录下。
文件:symrapidreleasedefsx86.exe可用于服务器版本和客户端版本的可执行安装,
如果需要管理服务器往客户端分发,还需要把文件vd256247.xdb拷贝到管理中心的企业版本防病毒服务器防病毒安装目录下,
例如c:\program files\SAV (如果安装的是Symantec Antivirus Corporation Edition) 或c:\program files\symantec (如果安装的是Symantec Client Security)。
需要手工重新启动防病毒服务。
16:00——目前可已直接升级更新病毒库!!问题解决!