据悉，赛门铁克已经撤回之前对自动化系统进行的改动，并重新审核系统变更流程，确保今后做出任何变更都不会导致错误检测。此外，赛门铁克还对认证程序进行了具体修改，加入多个病毒定义代码更新发布前的核查，以避免今后发生类似误报事件。

目前，诺顿杀毒软件误报信息已经从病毒库中删除，赛门铁克发布了包含最新定义的LiveUpdate更新。

以下为赛门铁克声明全文：

赛门铁克安全响应中心使用多种自动化系统来辅助完成手动分析，从而确保在面对新型威胁时能够快速响应。该自动化程序已成功使用多年，帮助赛门铁克安全响应中心大幅增加高水准的恶意软件检测数量，尤其可帮助用户应对持续增加的大量威胁。

为了更加有效的应对加密技术在恶意软件中使用的与日俱增，赛门铁克最近在自动化系统中进行了一处改动，这却无意中引发了自动化系统中使用的一个简单定义发生变化，进而导致2个Windows系统文件被错误地检测为恶意软件。

赛门铁克于北京时间5月18日上午9:30接到误报的提示并迅速展开调查，发现此次错误检测是由自动化系统引起的。该误报信息被立即从定义文件中删除。赛门铁克安全响应中心随后发布了包含最新定义的LiveUpdate更新，并于北京时间下午2:30生效，距离收到误报信息的时间约为4.5小时。

在确定自动化系统是此次错误的根源后，赛门铁克安全响应中心立即撤回之前对自动化系统进行的改动，并进一步针对自动化系统进行了深度分析。此外，赛门铁克安全响应中心已经重新审核系统变更流程，确保今后对自动化系统做出的任何变更都不会导致错误检测。另外，赛门铁克安全响应中心已经对认证程序进行了具体的修改及加入多个病毒定义代码更新发布前的核查，从而避免今后发生类似误报事件。

在过去的两天里，赛门铁克积极联络用户和合作伙伴，为其提供最新版本的文件定义和必要的措施以防止发生进一步的问题。赛门铁克将继续专注于发展中国市场并重视其在中国的用户。赛门铁克正在努力确保用户的问题能够在最短的时间得到解决。

赛门铁克安全响应中心非常认真严肃的对待任何误报事件，并建议受影响的用户采取必要的措施来确保其系统获得保护。

如您需要了解更多信息，或需要任何协助，企业用户请致电赛门铁克服务热线800-810-3992；个人用户请致电800-830-1153或者访问赛门铁克官方网站：www.symantec.com.cn。赛门铁克愿随时为您提供协助。

赛门铁克声明证实诺顿误杀 更新病毒文件定义

赛门铁克今日下午发布声明，针对昨日出现的诺顿误杀WinXP系统文件致用户系统崩溃事件做出解释，证实诺顿杀毒软件将简体中文版XP系统文件错误删除，并提供更新的病毒文件定义。

以下是赛门铁克对诺顿误杀一事声明：

赛门铁克发出的LiveUpdate更新定义错误的把微软简体中文Windows XP 中的2个系统文件当作Backdoor.Haxdoor进行了删除，从而造成Windows系统在根据错误检测重启后无法运行。

受到影响的是应用了微软KB924270安全更新的微软简体中文Windows XP Service Pack 2 系统，应用微软安全更新KB924270。而受影响的文件是netapi32.dll(5.1.2600.2976版本)和lsasrv.dll(5.1.2600.2976版本)。 其他语言版本Windows XP或者没有应用微软安全更新KB924270的Windows XP都没有受到影响。

赛门铁克在北京时间5月18日下午2:30发布了LiveUpdate更新定义来更正这一事件。这些更新定义的版本号码为20070517.071。在错误检测后没有重新启动Windows系统的用户可以通过应用LiveUpdate的更新定义来解决这一问题。重新启动系统而遭受影响的用户可以通过使用微软恢复控制台来使其系统恢复到之前的状态。

赛门铁克已经采取行动给用户提供更新的文件定义。赛门铁克非常认真严肃的对待其所提供解决方案的安全性与功能，并建议受影响的用户采取必要的措施来确保他们的系统得到保护。

解决方案:

Backdoor.haxdoor临时解决方案

　　Version: 1.4

　　在windows XP sp2简体中文版打上补丁KB924270以后，SAV更新到5月17日的病毒定义以后，会把C:windowssystem32netapi32.dll和 C:windowssystem32lsasrv.dll认为是backdoor.haxdoor,把他们隔离掉。会造成重起机器后无法进入系统，安全模式也无法进入，蓝屏。

    服务器

    立即liveupdate, 更新到最新的病毒定义库（20070517.v73）。

    如果liveupdate有问题，请从这里进入到68645或者以后的文件夹，下载后缀名是xdb的文件，放到服务器的SAV安装文件夹里面（是个共享文件夹，一般的位置是C:program filesSAV或者C:program filesSAVsymantec antivirus. 如果服务器内装有winzip等软件，可能会把这个XDB改成zip或者rar, 需要改回到xdb）。

　　客户端

    可以从服务器下载到更新后的病毒定义，对于无法从服务器自动更新病毒定义的客户端，请从这里进入到68645或者以后的文件夹，下载****x86.exe文件，在本机运行更新病毒定义。出现过这个问题的电脑，理论上SAV下载更新的病毒定义后，会扫描隔离区，发现误报的dll文件后会自动修复并恢复到原来的位置，这些已经有很多用户确认。

　　但是为保险起见，建议用户在工作量允许得前提下，用windows XP盘里面的i386下面的netapi32.dll和lsasvr.dll文件，替换C:windowssystem32下的这两个文件。

　　对于已经蓝屏的电脑：

　　1, 使用windows XP安装盘启动

　　2, 进入系统恢复控制台。

　　3, 使用安装盘I386目录下的netapi32.dll和lsasrv.dll文件替换系统system32下和dllcache下的文件

　　a. cd windowssystem32

　　b. expand (CD drive letter):i386netapi32.dl_

　　c. expand (CD drive letter):i386lsasrv.dl_

　　d. cd dllcache

　　e. expand (CD drive letter):i386netapi32.dl_

　　f. expand (CD drive letter):i386lsasrv.dl_

　　4, 重启电脑

　　5，更新到前面所述的新的病毒定义。

诺顿误报企业用户影响大 金山推全面解决方案

5月18日，国内大量用户的电脑集体出现问题：开机后自动重启、蓝屏，屏幕上显示unknown hard error的字样，安全模式下也无法正常进入系统等等。

用户的第一反应是感染了病毒，经过反病毒专家分析，发现了问题的症结所在：赛门铁克诺顿杀毒软件的误报所致。诺顿将简体中文版Winxp sp2的 NetSpi32.dll和 LsaSrv.dll误报为病毒，并进行了隔离，从而导致用户在重启后将无法进入系统等种种严重的后果。此次电脑病毒误报事件被反病毒专家称为是近5年来国内影响面最大的误报事件。

据了解，在国内，诺顿在企业级市场上占有相当大的份额，因此本次误报对国内大量企业用户影响很大。据金山毒霸反病毒专家称，此次诺顿误杀将是近5年来最严重的一次安全事故。

为了让大量企业用户能够避免遭遇此次"灾难"，金山毒霸反病毒专家针对企业用户推出了全面解决方案：

1、诺顿企业版用户，但未受影响者

（1）如果企业刚好采用NORTON企业版杀毒软件，可以立即通知全网禁止NORTON的实时监控功能

（2）配置升级回滚，撤销本次引发误报的5.17-5.18版病毒库，恢复到5.16版病毒库。

（3）通知所有客户机不要重启电脑，然后从NORTON隔离区还原相应文件至系统目录，避免灾难性的后果。

2、诺顿企业版用户，已经遭遇本次误报影响

对已经崩溃的系统，只能采取应急修复，除了前面提到的故障恢复控制台操作外，为简化修复步骤，可以使用winpe光盘引导系统，再COPY这两个系统文件到windowssystem32目录，然后禁用NORTON杀毒软件的实时监控功能，重启恢复系统。

遭遇本次误报影响的用户修复方法：

系统已经崩溃时建议用故障恢复控制台恢复被误杀的系统文件，操作步骤如下：

1、使用windows 安装光盘启动系统，在提示安装时，按R选择修复，再选择启动到故障恢复控制台。

2、在提示中选择当前运行的操作系统，多数情况下是按"1"，然后回车，需要输入管理员口令。

3、执行如下命令进行修复(X表示光盘盘符)：

Expand x:I386netapi32.dl_ c:windowssystem32

Expand x:I386netapi32.dl_ c:windowssystem32dllcache（并非必须）

Expand x:I386lsasrv.dl_ c:windowssystem32

Expand x:I386lsasrv.dl_ c:windowssystem32dllcache （并非必须）

4、在故障恢复控制台，运行listsvc，查看当前计算机服务属性，找到NORTON杀毒软件相关的服务名，NORTON 360的服务名包括cltnetcnservice、eectrl、ccevtmgr、ccsetmgr，其它版本的NORTON杀毒软件，服务名有所不同，可用listsvc命令详细查看。运行disable "服务名"，禁用NORTON杀毒软件相关服务。键入exit重新启动计算机。

诺顿误杀系统文件电脑瘫痪 江民教你三步恢复

5月18日，江民反病毒中心接到多家企业求助电话，称遭到了病毒大规模攻击，电脑重启后报错，无法进入系统。最终发现系该企业所安装的诺顿网络版杀毒软件误报错杀导致。

由于重启系统后电脑无法正常进入，只能手工修复系统，江民反病毒工程师提供了以下的恢复办法。

一、已经出现情况但未重启电脑的用户，可以从杀毒软件病毒隔离区恢复上述两个文件。

二、使用安装盘恢复。

1、 已经出现情况并且电脑重启后并无法进入系统的用户,可以使用系统安装盘，并设置BIOS从光驱启动，选择从控制台恢复系统，拷贝上述两个文件到硬盘相应目录下。
   (netapi32.dll和lsasrv.dll 文件在光盘X:I386目录下)

2、按R使用选择"用恢复控制台修复WINDOWSXP安装"，把上述两个文件分别拷贝到以下两个路径：

X:windowssystem32netapi32.dll
X:windowssystem32lsasrv.dll （X为相应的系统盘符）

3、重启电脑，修改BIOS从硬盘启动电脑，系统即可进入。

(注意：如果使用拆下硬盘挂到其它电脑上恢复文件的话，需要注意系统版本的统一，否则无效)

三、使用挂从盘的方法恢复被删除的文件

1、 对于没有安装盘的用户，可以找一台能上网的电脑，从以下地址下载系统文件，把被破坏的系统硬盘摘下来挂在能够正常运行的计算机上。

（点击下载被误删除的文件：http://www.jiangmin.com/download/sys.rar）

2、 设置此硬盘为从盘，将下载下来的文件复制到系统盘相应的目录下。

(文件路径见第二种方案)

3、把硬盘安装回原来的电脑，重新启动即可。

计算机病毒应急处理中心推诺顿误杀解决方案

在5月18日，国家计算机病毒应急处理中心接到安装使用赛门铁克windows xp中文版杀毒软件用户的报告，在5月17日升级该产品后出现不能正常启动等异常情况。

经过分析核查，是由于该产品在5月17日的rev.18升级版本误将用户%System%目录下lsasrv.dll和netapi32.dll文件进行了隔离操作，有可能造成系统不能正常启动。

请按如下方法进行解决：

情况一：系统未重启的用户,lsasrv.dll和netapi32.dll文件已被隔离，
请立刻升级杀毒软件到rev.71以上版本，杀毒软件可自动恢复被隔离的文件。

情况二：系统未重启的用户,netapi32.dll和lsasrv.dll文件未被隔离，
请从没有问题的电脑拷贝这两个文件到用户%System%目录下覆盖。升级杀毒软件到最新版本即可。

情况三：系统已经重启的用户（不能正常进入系统）

1、使用安装盘启动

2、进入系统恢复控制台。

3、将安装盘I386目录下的netapi32.dll和lsasrv.dll文件拷贝到系统%System%目录下。

4、重启电脑

5、升级杀毒软件到最新版本

诺顿误杀XP系统崩溃 360安全卫士U盘解决方案

针对诺顿误杀导致WinXP中文版系统崩溃一事，奇虎对外发布公告，称360安全中心专门制作了以U盘为介质的系统恢复工具，供已经遭遇系统崩溃的用户使用。

　　根据介绍，用户只需要到dl.360safe.com/windowsfix.rar下载“USB系统恢复盘”，运行其中的USBBoot.exe文件制作一个修复U盘，在通过USB-ZIP启动系统后，根据提示操作，最后重新启动系统即可修复故障。

　　5月17日和18日，由于误将正常的系统文件识别为病毒进行隔离清除，诺顿杀毒软件的一次常规更新让数百万用户的电脑系统面临灾难。鉴于此次事件影响用户较多，危害较大，

　　360安全专家表示，上周末360安全中心接到了大量用户举报，称升级微软KB924270补丁程序后，诺顿会弹出病毒提示，按照其提示操作后系统出现蓝屏崩溃，重启电脑后无法进入系统。

　　据分析，这是由于诺顿将KB924270更新过的netapi32.dll和lsasrv.dll文件误报为Backdoor.Haxdoor后门病毒，并且把他们隔离掉而导致的。经过调查，lsasrv.dll和netapi32.dll是正常的系统文件，隔离它们会造成重起机器后无法进入系统，安全模式也无法启动，尝试进入时系统将蓝屏死机。

　　遭遇此事件的主要是中国地区的用户，因为问题只存在于简体中文版的Windows XP操作系统中。但由于赛门铁克在企业级市场上占有相当高的份额，尤其在金融、电信等行业拥有一定的优势，因此这次事件将带来较大损失。据估计，此次事件将造成数百万PC面临安全威胁，其造成的损失可能超过“熊猫烧香”病毒，是业界近年来最严重的一次安全事故。

　　安全专家表示，对于已经更新诺顿杀毒软件但尚未重启系统的用户，请再次将更新诺顿。而对于已经陷入瘫痪的系统，可以使用Windows系统安全光盘，配合恢复控制台来解决，不过操作比较烦琐，对普通电脑用户有一定难度。

　　据了解，生产销售诺顿的软件供应商赛门铁克公司已经发布了对这一事件的致歉声明，及相关更新文件对这一失误进行了修正。360安全中心表示，安全厂商不应该追求病毒数量、查杀率、新病毒反应时间等单项技术指标，而降低了产品测试的标准，360安全卫士在进行特征库及技术更新时都会做反复测试，并根据网友反馈进行及时调整。

诺顿误杀致XP系统瘫痪 赛门铁克推解决方法

解决方法：

1）如果没有重新启动过电脑：使用LiveUpdate更新到最新的病毒定义代码就可以解决

2) 如果已经重新启动电脑并发生蓝屏现象：

要将计算机逐步恢复到工作状态，用户需要先加载恢复控制台，然后恢复 %system%netapi32.dll 和 %system%lsasrv.dll。重新启动计算机及安装病毒定义 20070517. 071或后续定义代码。

具体步骤如下：

1) 找到Windows安装CD，将其插入驱动器，然后重新启动计算机。

2) 在启动时，选择从从CD启动的选项。

3) 当Windows设置过程中驱动程序加载完毕后，选择“R”启动恢复控制台。

4) 选择受影响的Windows安装程序，然后输入您的管理员密码。

5) 依次输入下列命令（如果出现提示则选择覆盖）：

a. cdwindowssystem32

b. expand（cd驱动器盘符）:i386netapi32.dl_

c. expand（cd驱动器盘符）:i386lsasrv.dl_

d. cd dllcache

e. expand（cd驱动器盘符）:i386netapi32.dl_

f. expand（cd驱动器盘符）:i386lsasrv.dl_

6) 输入“exit”，重新启动计算机

7) 下载并更新到最新的病毒定义

8) 重新安装Windows补丁程序-KB924270。

以上步骤用户可以自行完成。

如您需要了解更多信息，或在实施以上步骤时需要任何协助，请致电赛门铁克用户服务热线:

企业产品:800-810-3992

家庭及个人工作室产品:800-830-1153

赛门铁克误杀事件说明

赛门铁克通报2007年5月18日以来关于LiveUpdate更新病毒定义代码事件后续进展

赛门铁克安全响应中心使用多种自动化系统来辅助完成手动分析，从而确保在面对新型威胁时能够快速响应。该自动化程序已成功使用多年，帮助赛门铁克安全响应中心大幅增加高水准的恶意软件检测数量，尤其可帮助用户应对持续增加的大量威胁。

为了更加有效的应对加密技术在恶意软件中使用的与日俱增，赛门铁克最近在自动化系统中进行了一处改动，这却无意中引发了自动化系统中使用的一个简单定义发生变化，进而导致2个Windows系统文件被错误地检测为恶意软件。

赛门铁克于北京时间5月18日上午9:30接到误报的提示并迅速展开调查，发现此次错误检测是由自动化系统引起的。该误报信息被立即从定义文件中删除。赛门铁克安全响应中心随后发布了包含最新定义的LiveUpdate更新，并于北京时间下午2:30生效，距离收到误报信息的时间约为4.5小时。

在确定自动化系统是此次错误的根源后，赛门铁克安全响应中心立即撤回之前对自动化系统进行的改动，并进一步针对自动化系统进行了深度分析。此外，赛门铁克安全响应中心已经重新审核系统变更流程，确保今后对自动化系统做出的任何变更都不会导致错误检测。另外，赛门铁克安全响应中心已经对认证程序进行了具体的修改及加入多个病毒定义代码更新发布前的核查，从而避免今后发生类似误报事件。

在过去的两天里，赛门铁克积极联络用户和合作伙伴，为其提供最新版本的文件定义和必要的措施以防止发生进一步的问题。赛门铁克将继续专注于发展中国市场并重视其在中国的用户。赛门铁克正在努力确保用户的问题能够在最短的时间得到解决。

赛门铁克安全响应中心非常认真严肃的对待任何误报事件，并建议受影响的用户采取必要的措施来确保其系统获得保护。

如您需要了解更多信息，或需要任何协助，企业用户请致电赛门铁克服务热线800-810-3992；个人用户请致电800-830-1153或者访问赛门铁克官方网站：www.symantec.com.cn。赛门铁克愿随时为您提供协助。

尊敬的用户：

有关更新赛门铁克防病毒软件病毒定义代码的问题

2007年5月18日北京时间凌晨1:00左右，有两个简体中文版本的Microsoft Windows系统文件通过LiveUpdate或网站下载文件更新方式被错误添加到赛门铁克的防病毒软件定义中。

客户的系统如果检测到这些文件（例如，通过系统扫描或自动防护功能）之后没有重新启动，并更新到5月18日下午2:30后的病毒定义代码，则系统将不会受到影响。系统如重新启动，则会受到此问题的影响。用户可以通过使用Windows恢复控制台，将系统回复到以前的状态。

到目前为止，赛门铁克进行的测试表明，只有在Windows XP SP2简体中文版打上补丁KB924270以后，并且当防病毒软件在5月18日凌晨1:00到下午2：30之间进行过病毒定义代码更新以后才会受到影响。针对此问题的更新定义已于2007年5月18日下午2:30左右公布。

错误检测到的内容是通过一个自动进程添加的，此进程已经使用了一段时间，旨在应对我们全球观测到的与日俱增的威胁。由于在此自动进程中使用的一个第三方组件最近发生变化造成的意外影响，导致错误检测到两个系统文件。此问题现在已经解决，并可避免未来出现同一问题。对于由此给用户带来的不便，我们深表歉意。

解决方法：

1）如果没有重新启动过电脑：使用LiveUpdate更新到最新的病毒定义代码就可以解决

2) 如果已经重新启动电脑并发生蓝屏现象：

要将计算机逐步恢复到工作状态，用户需要先加载恢复控制台，然后恢复%system%netapi32.dll和%system%lsasrv.dll。重新启动计算机及安装病毒定义 20070517. 071或后续定义代码。具体步骤如下：

1) 找到Windows安装CD，将其插入驱动器，然后重新启动计算机。

2) 在启动时，选择从从CD启动的选项。

3) 当Windows设置过程中驱动程序加载完毕后，选择“R”启动恢复控制台。

4) 选择受影响的Windows安装程序，然后输入您的管理员密码。

5) 依次输入下列命令（如果出现提示则选择覆盖）：

a. cd windowssystem32

b. expand（cd 驱动器盘符）:i386netapi32.dl_

c. expand（cd 驱动器盘符）:i386lsasrv.dl_

d. cd dllcache

e. expand（cd 驱动器盘符）:i386netapi32.dl_

f. expand（cd 驱动器盘符）:i386lsasrv.dl_

6) 输入“exit”，重新启动计算机

7) 下载并更新到最新的病毒定义

8) 重新安装Windows补丁程序-KB924270。

以上步骤用户可以自行完成。如您需要了解更多信息，或在实施以上步骤时需要任何协助，请致电赛门铁克用户服务热线800-810-3992。我们愿随时为您提供协助。

此致

赛门铁克软件（北京）有限公司

2007年5月18日

诺顿误杀影响大

诺顿误杀数百万PC遭殃 近年来最严重安全事故

5月18日，诺顿杀毒软件升级病毒库后，会把Windows XP系统的关键系统文件当作病毒清除，重启后系统将会瘫痪。瑞星表示，截至中午12点已有超过7000名个人用户和近百家企业用户向瑞星客户服务中心求助，更多用户由于系统繁忙无法打入电话。

诺顿犯重大低级错误 近5年国内影响最大误报

5月18日，国内大量用户的电脑集体出现问题：开机后自动重启、蓝屏，屏幕上显示unknown hard error的字样，安全模式下也无法正常进入系统等等。用户的第一反应就是感染了病毒，经过反病毒专家分析，发现问题的症结所在：赛门铁克诺顿杀毒软件的误报所致。

金山毒霸反病毒专家李铁军表示，诺顿杀毒软件将简体中文版Winxp sp2的
NetSpi32.dll 和 LsaSrv.dll误报为病毒，并进行了隔离，从而导致用户在重启后将无
法进入系统等种种严重的后果。此次电脑病毒误报事件被反病毒专家称为是近5年来国
内影响面最大的误报事件。

金山毒霸反病毒工程师建议用户系统已经崩溃时建议用故障恢复控制台恢复被误杀的系统文件，操作步骤如下：

1、使用windows安装光盘启动系统，在提示安装时，按R选择修复，再选择启动到故
障恢复控制台。

2、在提示中选择当前运行的操作系统，多数情况下是按“1”，然后回车，需要输入管
理员口令。

3、执行如下命令进行修复(X表示光盘盘符)：

Expand x:I386netapi32.dl_ c:windowssystem32
Expand x:I386netapi32.dl_ c:windowssystem32dllcache（并非必须）
Expand x:I386lsasrv.dl_ c:windowssystem32
Expand x:I386lsasrv.dl_ c:windowssystem32dllcache （并非必须）

4、在故障恢复控制台，运行listsvc，查看当前计算机服务属性，找到NORTON杀毒软件
相关的服务名，再运行disable "服务名"，禁用NORTON杀毒软件相关服务。再重新启动
计算机。

5、配置禁用norton杀毒软件的实时监控，联系symantec获得补丁。

对企业网管来讲，这次误报是个噩梦，网管员首先应该立即禁止全网更新，如果使用
NORTON企业版更新过，需要配置升级回滚，撤销本次引发误报的病毒库升级。立即通知
所有客户机不要重启电脑，从NORTON隔离区还原相应文件至系统目录。

为简化修复步骤，可以使用winpe光盘引导系统，再恢复这两个系统文件到
windowssystem32目录，然后禁用NORTON杀毒软件的实时监控功能，重启恢复系统。

诺顿杀毒软件误报错杀系统文件 重启电脑瘫痪

5月18日，江民反病毒中心接到多家企业求助电话，称遭到了病毒大规模攻击，电脑重启后报错，无法进入系统。江民派出技术人员上门解决问题，最终发现系该企业所安装的诺顿网络版杀毒软件误报错杀导致。

经江民反病毒工程师分析，5月17日病毒库的诺顿杀毒软件会强制删除lsasrv.dll和netapi32.dll这两个文件，并把这两个文件报为backdoor.haxdoor的病毒，导致重新启动计算机后机器将会无法进入系统。

经分析，lsasrv.dll和netapi32.dll系系统的正常文件，诺顿把这两个文件报为病毒并删除的操作系严重的误报误杀行为。

江民反病毒专家建议，遇到此类情况的用户可以采用以下几种方法处理：

1、已经出现情况但未重启电脑的用户，可以从杀毒软件病毒隔离区恢复上述两个文件。

2、已经出现情况并且电脑重启后并无法进入系统的用户,可以使用系统安装盘，并设置BIOS从光驱启动，选择从控制台恢复系统，拷贝上述两个文件到硬盘相应目录下。

   netapi32.dll和lsasrv.dll 文件在光盘f:I386目录下

   把上述两个文件分别拷贝到以下两个路径：

   c:windowssystem32netapi32.dll

   c:windowssystem32lsasrv.dll

3、重启电脑，修改BIOS从硬盘启动电脑，系统即可进入。

评论:诺顿误杀暴致命伤 洋软件陷入信任危机

众所周知，目前国内高端企业级市场多数被国外安全品牌占据。分析起来，主要存在两方面的原因，一是国外企业级杀毒软件进入国内较早，其时国内还没有网络版杀毒软件，国内高端市场被国外品牌先入为主；其次，由于IT产业起源于国外，因此我国一些人头脑中“国外的月亮比国内的圆”意识根深蒂固，采购企业级杀毒软件，非诺顿免谈，如果摒弃一些灰色东西的话，理由很简单，赛门铁克牌子大，跨国公司，质量上肯定没问题，领导点名要，网管员何苦要领导过不去，只能从命而已。

5月18日，国内杀毒软件厂商江民、瑞星、金山等先后发出警报，称诺顿出现严重误报，将诺顿升级到5月17日病毒库的诺顿杀毒软件会强制删除lsasrv.dll和netapi32.dll这两个文件，并把这两个文件报为backdoor.haxdoor的病毒，导致重新启动计算机后机器将会无法进入系统。经分析，lsasrv.dll和netapi32.dll系系统的正常文件，诺顿把这两个文件报为病毒并删除的操作系严重的误报误杀行为。

“外来的和尚会念经”、“国外的月亮比较圆”向来是形容国内一些电脑用户选择杀毒软件时的心态，虽然“熊猫烧香”的疯狂肆虐与海底光缆断裂国外杀毒软件不能正常升级使得国人开始重新认识国产杀毒软件的实力与优势，但是仍然有许多企业级用户奉行着“洋货更优”的原则，点名采购“洋软件”。

诺顿作为赛门铁克的拳头产品，占有国内企业级市场近30%的份额，而此次的低级误报行为，给企业及个人用户带来的损失将可以比拟“熊猫烧香”，同时也再次暴露出“洋软件”存在的致命伤。

事实上，很多企业用户已经在实际应用中感觉到诺顿杀毒软件在防杀病毒上的致命缺陷。某大型企业网络管理员抱怨，他们在花巨资购买一款某知名品牌的国外网络版杀毒软件后，原本以为花费了这么大的代价应该能够解决病毒问题了，但网络内还是经常有病毒流传，且屡查不止，后来花了不到十分之一的价格购买了一款国产杀毒软件，安装后全面清除了网络内长期滋养的病毒。

某大型网络媒体同样耗巨资安装了另一款知名品牌国外网络版杀毒软件，结果在一次MSN病毒发作时，该杀毒软件没有任何警示，后来检查的结果这个病毒系一个国内杀毒软件早就能查杀的老木马病毒。

同样，某大型平面媒体的采编网使用了一款知名国外品牌杀毒软件，结果在一次评测国内网络版杀毒软件新品时，竟然从他们的网络中查出了一千多个感毒文件，两款杀毒软件的在杀毒能力方面的差距之大让人瞠目结舌。

某资深网络管理员透露，正是由于长期对于国外品牌的盲目信任，导致了我国许多重点行业或企业网络中，长期滋养着一些病毒，而这些病毒大多数是国产木马病毒，平时不发作时没有任何迹象，一旦被黑客利用，行业和国家机密很容易被泄露。

事实上对于这种情况国内网络管理员并非不了解，然而，由于负责采购的领导相信国外品牌，他们只能照办。另有长期从事系统集成业务的人士透露，由于国外网络版杀毒软件价格奇高，可操作空间很大，而国内网络版杀毒软件价格透明，操作空间很小，利益的驱使也使得一部分决策人员在选购时倾向国外品牌。

某知名国外品牌杀毒软件中国公司负责人也承认，由于研发部门不在中国本土，在对于国内本土木马病毒的反映上，国外品牌比不上国内杀毒软件快速及时，国内杀毒厂商的本土化优势是国外杀毒厂商无法比拟的。

特别刺激中国用户神经的是，此次诺顿误杀事件只针对中文版WinXP系统文件，对于国外用户基本没有影响。国外杀毒软件厂商对国内市场的轻视实在让人寒心。设想一下，如果一些国家重要职能部门，甚至是机密部门，也是此款国外杀毒软件的使用者，因为此次误报事件导致企业全部电脑系统瘫痪，后果谁来承担？

诺顿误报使国外杀毒软件再次陷入信任危机，国外杀毒软件若想在中国站稳脚跟，要走的路仍然很长！

诺顿病毒库误杀系统软件 杀毒市场曝安全软肋

一天之内，趋势科技、江民、瑞星、金山等安全厂商收到的求助电话，可能比"熊猫烧香""灰鸽子"等病毒爆发当天收到的求助电话还要多。几乎所有求助电话中，中毒的症状都相同，"电脑重启开机，提示无法进入系统"。

经分析，这是因为赛门铁克诺顿杀毒软件在自检病毒时，发生病毒误判，病毒库把windows操作系统文件误判成病毒程序因而强行删除，导致电脑重启后无法进入系统，陷入瘫痪状态。

此次事件使国内电脑用户损失惨重，同时也凸显出一个大多数人都没有重视的而又及其重要的问题，杀毒软件通过自有的病毒库帮助我们查杀病毒，谁来帮助我们制定软件产品的病毒库标准，监测其有效性、安全性。如果病毒库出现问题，那导致的后果将比中了病毒更严重。

随着网络安全市场竞争的日益激烈，查杀病毒能力的强弱已经成为消费者选择网络安全产品的重要依据之一，病毒库的安全性、涵盖量及准确性直接影响网络安全产品的查杀能力。

趋势科技在2007年伊始，推出针对中国地区的病毒代码库（China pattern），通过"主动"收集中国地区大量病毒样本，快速分析病毒样本，发布针对中国地区的特殊解决方案，该解决方案在包括全球病毒码的基础上，增加中国地区的本土病毒码，同时病毒库中的每一个病毒都有趋势科技的工程师进行详细测试，确保病毒库的安全性。

趋势科技针对病毒的区域性发展趋势推出特殊病毒库，在确保安全性的前提下，越来越重视用户的个性化需求。针对此次事件，趋势科技将提供三个月的使用版软件，用户可以到www.trendmicro.com.cn、www.8844.com、天空网等相关网站免费下载，以解决电脑无法进入系统瘫痪的问题，使广大电脑用户的损失降低至最小。