Subject: Re: 紧急通知，诺顿误报造成系统崩溃

> 各位，
>
> 感谢 FNST)黄昆 FCNIC）崔占领 提供详细信息。
>
>
> 在诺顿病毒库升级到2007年5月17日的版本后，诺顿不停弹出backdoor.haxdoor的病毒提示信息，
> 并且强制删除lsasrv.dll和netapi32.dll这两个文件。导致重新启动计算机后机器将会无法进入系
> 统。
>
> 调查结果：
>
> 经过调查，lsasrv.dll和netapi32.dll是系统文件，在更新了Windows补丁KB924270后将会更新
> lsasrv.dll文件，更新后被在更新后这个文件被诺顿5月17日版本的病毒库视为病毒。目前调查结果
> 是，如果机器在以下情况下会出现问题：
>
> 条件1：OS版本为WindowsXP
> 条件2：诺顿病毒库更新为5月17日版本
> 条件3：打了WindowsUpdate补丁KB924270
>
> 临时解决方案：
>
> 满足以上三个条件的机器将会出现以上描述的问题。目前诺顿提供了临时解决方案，
> 请机器出现问题的尝试恢复：
>
> 1. 已经报出有病毒,但还没有重启的机器,以下解决方法:
> 1> 打开NORTON,进入隔离区,恢复被查出病毒的文件(netapi32.dll/lsasrv.dll)
> 2> 临时关闭NORTON的文件实时监控,方法:打开NORTON,选择配置,在”文件系统自动防护”中去掉
> “启用自动防护”前的小勾.
> 注意：在问题解决前不要重新启动机器。
>
> 2. 已经报出有病毒,但机器已经重启并无法进入系统(XP SP2),有以下解决方法:
> 1> 接上光驱,插如WINDOWS安装光盘,并选择从CDROM启动
> 2> 选择从控制台恢复,按”R”键
> 3> 假设您的光驱盘符为”F:\”,敲入以下命令
> copy f:\I386\netapi32.dl_ c:\windows\system32\netapi32.dll
> 和
> copy f:\I386\lsasrv.dl_ c:\windows\system32\lsasrv.dll
> 如果遇到提示是否覆盖原有文件,请选择”Yes”.
> 4> 重新启动机器,从硬盘启动,即可进入系统.
>
> 最终解决方案：
>
> 诺顿公司承诺下午将提供HotFix，解决此问题。
>