赛门铁克杀毒过头 导致中文WinXP用户电脑瘫痪

Juven 楼主

昨天家里两台电脑都连续瘫痪,一台解决,一台蓝屏,至今未修复好.

从昨天一天内Norton连续升级两次(从来没碰到过),我就确定是Notron惹的祸.今天门户网站均有报道证实了:

　　5月18日上午，赛门铁克旗下著名杀毒软件Norton Internet Security 2007提示Windows XP用户有后门病毒(一种名叫“哈克斯”的病毒，可盗取用户密码、记录键击、开启任意TCP端口的后门病毒，传播途径包括邮件、系统漏洞以及系统弱口令等。)，并开始自动清除，清除完成后提示重新启动，而Windows则警告有文件被替换，需要插入原安装盘恢复文件。而电脑在重新启动后蓝屏，即使在安全模式下也无法正常进入系统。

　　据了解，没有升级到诺顿最新病毒库的电脑未发生问题。国内知名杀毒软件厂商瑞星公司向搜狐IT表示，此次事件并不是由于病毒引起，而是由于诺顿报错所致。瑞星公司表示，凡是安装了诺顿杀毒软件的Windows XP用户，都会出现故障。

    对此，瑞星安全专家表示，安装了MS06-070补丁的XP系统，如果将诺顿升级最新病毒库，则诺顿杀毒软件会把系统文件netapi32.dll、lsasrv.dll隔离清除，从而造成系统崩溃。  

    由于国外品牌的笔记本和台式机多数预装了Windows XP系统和诺顿杀毒软件，这些用户极其容易遭到此次“误杀”攻击，因此中国大陆地区将有数百万台电脑面临崩溃的危险。由于该次误杀只发生在简体中文版的XP系统上，因此对国外用户几乎没有影响。

    关于该事件的原因，瑞星研发负责人刘刚表示，近年来部分反病毒企业为了追求病毒数量、查杀率、新病毒反应时间等单项技术指标，而降低了产品测试的标准，这样做会导致两个很严重的后果，一是误报率急速上升，二是容易出现重大的产品BUG，甚至导致比普通的病毒攻击更严重的后果。

针对这一故障，瑞星提供了预防和解决方法：

一、还没有受到误杀影响的用户

1、拔掉网线再开启计算机。

　　 2、启动计算机后，关闭诺顿杀毒软件的实时监控程序再插入网线上网。

　　 3、等待赛门铁克公司解决该问题后，才可以继续启用诺顿实时监控程序。

　　 4、关闭杀毒软件实时监控程序可能导致计算机感染其它的病毒、木马及恶意程序，用户可以暂时选用其它的杀毒软件。

二、对于系统已经瘫痪的用户：

1、使用windows 安装光盘启动系统，在提示菜单处按R进入恢复控制台。

　　2、在提示中按“1”然后回车，选择需要修复的系统，并输入管理员密码。

　　3、执行如下命令进行修复（X表示光盘盘符）：

　　Expand x:\I386\netapi32.dl_ c:\windows\system32\ [回车]

　　Expand x:\I386\netapi32.dl_ c:\windows\system32\dllcache\ [回车]

　　Expand x:\I386\lsasrv.dl_ c:\windows\system32\ [回车]

　　Expand x:\I386\lsasrv.dl_ c:\windows\system32\dllcache\ [回车]

　　 4、重新启动计算机，关闭诺顿的实时监控程序。

　　 5、启动诺顿的隔离区，恢复netapi32.dll和lsasrv.dll。

　　 6、等待赛门铁克公司解决该问题后，才可以继续启用诺顿实时监控程序。

　　 7、关闭杀毒软件实时监控程序可能导致计算机感染其它的病毒、木马及恶意程序，用户可以暂时选用其它的杀毒软件。

marvellous

京华时报：诺顿杀毒软件误杀系统文件                        http://www.sina.com.cn 2007年05月19日 06:07  京华时报
               
                                                                                                                                        　　本报讯 (记者张春健 张见悦)昨天，诺顿杀毒软件升级病毒库后，把Windows XP系统的关键系统文件误当作病毒清除，导致重启后系统瘫痪。因此问题，大量诺顿杀毒软件用户的电脑瘫痪。
　　-事发
　　大批电脑陷入瘫痪
　　用户王先生表示，早上9点，他装的诺顿杀毒软件升级最新病毒版本2007-5-17-rev.18，并升级文件20070517-018-x86.exe，但是电脑突然间蓝屏，并瘫痪。遭遇类似事件的并非王先生一人，据记者了解，北京一家报社与上海一家网络游戏公司遇到了同样的问题，超过2000台电脑瘫痪，初步统计损失几百万元。
　　瑞星公司称，截至昨天下午5点，已有1.4万余名个人用户和上千家企业用户向瑞星客户服务中心求助。江民公司称有上百家用户向他们求助。
　　-究因
　　杀毒软件升级犯错
　　昨天，国家计算机病毒应急处理中心在官方网站发布公告称， 此事缘于赛门铁克Windows XP中文版杀毒软件出现升级错误，有可能造成系统不能正常启动。同时，该中心对受到影响的电脑用户提供了解决方案(见右表)。
　　昨晚，赛门铁克公关部门就此次事件向记者进行了解释。该公司称，赛门铁克发出的LiveUpdate更新定义错误地把简体中文WindowsXP 中的两个系统文件当作Backdoor.Haxdoor(病毒名称)进行了删除，从而造成Windows系统在根据错误检测重启后无法运行。
　　受到影响的是应用了微软KB924270安全更新的微软简体中文Windows XP Service Pack 2系统，被当作病毒的文件是netapi32.dll(5.1.2600.2976版本)和lsasrv.dll(5.1.2600.2976版本)。其他语言版本Windows XP或者没有应用微软安全更新KB924270的Windows XP都没有受到影响。
　　对于此问题造成的损失，该公司称尚在统计中。
　　-解决
　　错误病毒更新定义已更正
　　赛门铁克在昨天下午2点30分发布了新的LiveUpdate更新定义来更正这一问题。
　　这些更新定义的版本号码为20070517.071。在错误检测后没有重新启动Windows系统的用户可以通过应用Live-Update的更新定义来解决这一问题。重新启动系统而遭受影响的用户可以通过使用微软恢复控制台来使其系统恢复到之前的状态。


----------------------------------------------------------------------------



尊敬的合作伙伴：

主题：有关更新赛门铁克防病毒软件病毒定义代码的问题

2007 年 5 月 18 日北京时间凌晨 1:00 左右，有两个简体中文版本的 Microsoft Windows 系统文件通过 LiveUpdate 或网站下载文件更新方式被错误添加到赛门铁克的防病毒软件定义中。 客户的系统如果检测到这些文件（例如，通过系统扫描或自动防护功能）之后没有重新启动，并更新到5月18日下午2:30后的病毒定义代码，则系统将不会受到影响。系统如重新启动，则会受到此问题的影响。用户可以通过使用 Windows 恢复控制台，将系统回复到以前的状态。 到目前为止，赛门铁克进行的测试表明，只有在Windows XP SP2简体中文版打上补丁KB924270以后，并且当防病毒软件在5月18日凌晨1:00到下午2：30之间进行过病毒定义代码更新以后才会受到影响。 针对此问题的更新定义已于 2007 年 5 月 18 日下午 2:30 左右公布。

错误检测到的内容是通过一个自动进程添加的，此进程已经使用了一段时间，旨在应对我们全球观测到的与日俱增的威胁。由于在此自动进程中使用的一个第三方组件最近发生变化造成的意外影响，导致错误检测到两个系统文件。此问题现在已经解决，并可避免未来出现同一问题。对于由此给用户带来的不便，我们深表歉意。

解决方法：

1） 如果没有重新启动过电脑：使用LiveUpdate更新到最新的病毒定义代码就可以解决

2） 如果已经重新启动电脑并发生蓝屏现象：

要将计算机逐步恢复到工作状态，用户需要先加载恢复控制台，然后恢复 %system%\netapi32.dll 和 %system%\lsasrv.dll。重新启动计算机及安装病毒定义 20070517. 071或后续定义代码。具体步骤如下：

1)     找到Windows安装 CD，将其插入驱动器，然后重新启动计算机。

2)     在启动时，选择从从 CD 启动的选项。

3)     当 Windows 设置过程中驱动程序加载完毕后，选择“R”启动恢复控制台。

4)     选择受影响的 Windows 安装程序，然后输入您的管理员密码。

5)     依次输入下列命令（如果出现提示则选择覆盖）：

a.     cd \windows\system32

b.     expand（cd 驱动器盘符）:\i386\netapi32.dl_

c.     expand（cd 驱动器盘符）:\i386\lsasrv.dl_

d.     cd dllcache

e.     expand（cd 驱动器盘符）:\i386\netapi32.dl_

f.     expand（cd 驱动器盘符）:\i386\lsasrv.dl_

6)     输入“exit”，重新启动计算机

7)     下载并更新到最新的病毒定义

8)     重新安装Windows补丁程序 - KB924270。

        以上步骤用户可以自行完成。如您需要了解更多信息，或在实施以上步骤时需要任何协助，请致电赛门铁克用户服务热线800-810-3992。我们愿随时为您提供协助。



        此致

赛门铁克软件（北京）有限公司

2007年5月18日

6ear

谢谢转贴.

cuiwanjie

这次事情确实很奇怪，赛门铁克与微软是合作伙伴关系，本身也一直是安全软件业界最稳定的厂商；
不过其他的安全厂商有些过激了，这样抨击一个老资格的安全厂商有些过份。
最重要的还是安下心来，钻研自身的技术，更好的为广大用户服务。
安全注定没有绝对的安全，在与合法用户的使用达到平和时必然会降低安全的绝对性，平缓安全的有效性。

birder

对于系统已经瘫痪的WinXP用户还有可以这样做：
1、下载netapi32.dll和lsasrv.dll文件到软盘（或光盘、U盘）
2、使用光盘（或软盘、U盘）启动故障的计算机。
3、从光盘（或软盘、U盘）复制最新netapi32.dll和lsasrv.dll文件到故障的计算机以下两个目录：
c:＼windows＼system32
c:＼windows＼system32＼dllcache
4、重新启动计算机即可。

[ 本帖最后由 birder 于 2007-5-21 16:35 编辑 ]

cuiwanjie

摘自新浪科技

新浪科技讯 5月21日消息，与赛门铁克旗下诺顿软件误杀“乌龙”类似，5月18日卡巴斯基也摆了一道“乌龙”，将Windows系统文件“shdocvw.dll”误判为病毒，导致其用户启动电脑后无法看到正常的桌面，“满屏一片蓝色”。

　　目前，卡巴斯基已通过台湾代理商向用户通报，卡巴斯基杀毒软件删除了C:\WINDOWS\system32\shdocvw.dll导致用户无法正常进入Windows系统，并给除了相应的解决办法。

　　卡巴斯基的“乌龙”波及到了众多其中国的用户。新浪科技在很多社区中，查阅到有用户对此进行求助，然而只是一些用户互相之间的扶持和帮助。卡巴斯基中国公司并未能够像其台湾代理商一样坦诚的承认错误，并给解决方案。

　　据悉，卡巴斯基“乌龙”的症状为系统文件shdocvw.dll被误报感染病毒“Trojan.Win32.Agent.alz”。

　　shdocvw.dll是系统文件，一般不允许删除。如果删除，系统文件保护也会自动恢复。但是被卡巴斯基误判并强制处理之后，会导致文件夹无法打开或者IE打开报错。据瑞星公司透露，在5月19日，卡巴斯基还将查杀流氓软件的工具----瑞星卡卡误判为病毒，导致其无法正常的升级。

　　事发已经4天，卡巴斯基中国公司尚未公开承认此事。对于给用户造成的损失和不便，该公司也未表示是否作出相应的赔偿。(刘阳）

lyangjun

这样做是不是有点过头了，
我个人决的还是瑞星比较好用的，可能就是查毒没有诺顿和卡巴斯基多点，
从占用内存空间来说，　还是瑞星占的少些。总体来讲
瑞星可以
也不是不支持诺顿和卡巴斯基