事件回顧:5月18日,國內大量用戶的電腦集體出現(xiàn)問題:開機后自動重啟、藍屏,屏幕上顯示unknown hard error的字樣,安全模式下也無法正常進入系統(tǒng)等等。用戶的第一反應就是感染了病毒,而在經(jīng)過金山毒霸反病毒專家的仔細分析后,發(fā)現(xiàn)了問題的癥結所在:國外某知名殺毒軟件的誤報所致。該殺毒軟件將簡體中文版Winxp sp2的 NetSpi32.dll 和 LsaSrv.dll誤報為病毒,并進行了隔離,從而導致用戶在重啟后將無法進入系統(tǒng)等種種嚴重的后果。此次電腦病毒誤報事件被反病毒專家稱為是近5年來國內影響面最大的誤報事件。
據(jù)了解,在國內,諾頓在企業(yè)級市場上占有相當大的份額,因此本次誤報對國內大量企業(yè)用戶影響很大。據(jù)金山毒霸反病毒專家稱,此次諾頓誤殺將是近5年來最嚴重的一次安全事故。
為了讓大量企業(yè)用戶能夠避免遭遇此次“災難”,金山毒霸反病毒專家針對企業(yè)用戶推出了全面解決方案:
1、諾頓企業(yè)版用戶,但未受影響者
(1)如果企業(yè)剛好采用NORTON企業(yè)版殺毒軟件,可以立即通知全網(wǎng)禁止NORTON的實時監(jiān)控功能
(2)配置升級回滾,撤銷本次引發(fā)誤報的5.17-5.18版病毒庫,恢復到5.16版病毒庫。
(3)通知所有客戶機不要重啟電腦,然后從NORTON隔離區(qū)還原相應文件至系統(tǒng)目錄,避免災難性的后果。
2、諾頓企業(yè)版用戶,已經(jīng)遭遇本次誤報影響
對已經(jīng)崩潰的系統(tǒng),只能采取應急修復,除了前面提到的故障恢復控制臺操作外,為簡化修復步驟,可以使用winpe光盤引導系統(tǒng),再COPY這兩個系統(tǒng)文件到windows\system32目錄,然后禁用NORTON殺毒軟件的實時監(jiān)控功能,重啟恢復系統(tǒng)。
遭遇本次誤報影響的用戶修復方法:
系統(tǒng)已經(jīng)崩潰時建議用故障恢復控制臺恢復被誤殺的系統(tǒng)文件,操作步驟如下:
1、使用windows 安裝光盤啟動系統(tǒng),在提示安裝時,按R選擇修復,再選擇啟動到故障恢復控制臺。
Expand x:\I386\netapi32.dl_ c:\windows\system32\
Expand x:\I386\netapi32.dl_ c:\windows\system32\dllcache(并非必須)
Expand x:\I386\lsasrv.dl_ c:\windows\system32\
Expand x:\I386\lsasrv.dl_ c:\windows\system32\dllcache\ (并非必須)
4、在故障恢復控制臺,運行l(wèi)istsvc,查看當前計算機服務屬性,找到NORTON殺毒軟件相關的服務名,NORTON 360的服務名包括"cltnetcnservice"、"eectrl"、"ccevtmgr”、"ccsetmgr",其它版本的NORTON殺毒軟件,服務名有所不同,可用listsvc命令詳細查看。運行disable "服務名",禁用NORTON殺毒軟件相關服務。鍵入exit重新啟動計算機。
