故障恢复控制台恢复被诺顿杀毒软件误杀的系统文件

我心飞翔

5月18日，国内大量用户的电脑集体出现问题：开机后自动重启、蓝屏，屏幕上显示unknown hard error的字样，安全模式下也无法正常进入系统等等。用户的第一反应就是感染了病毒，而在经过反病毒专家的仔细分析后，发现了问题的症结所在：某国外知名杀毒软件(诺顿杀毒软件)的误报所致。
　　诺顿杀毒软件将简体中文版Winxp sp2的 NetSpi32.dll 和 LsaSrv.dll误报为病毒，并进行了隔离，从而导致用户在重启后将无法进入系统等种种严重的后果。此次电脑病毒误报事件被反病毒专家称为是近5年来国内影响面最大的误报事件。
      手工修复的方法如下：
1．使用windows 安装光盘启动系统，在提示安装时，按R选择修复，再选择启动到故障恢复控制台。

　　2．在提示中选择当前运行的操作系统，多数情况下是按“1”，然后回车，需要输入管理员口令。

　　3．执行如下命令进行修复(X表示光盘盘符)：

　　Expand x：I386netapi32.dl_ c：windowssystem32

　　Expand x：I386netapi32.dl_ c：windowssystem32dllcache（并非必须）

　　Expand x：I386lsasrv.dl_ c：windowssystem32

　　Expand x：I386lsasrv.dl_ c：windowssystem32dllcache （并非必须）

　　4．在故障恢复控制台，运行listsvc，查看当前计算机服务属性，找到NORTON杀毒软件相关的服务名，再运行disable "服务名"，禁用NORTON杀毒软件相关服务。再重新启动计算机。
　　5．配置禁用norton杀毒软件的实时监控，联系symantec公司获得补丁。

　　对企业网管来讲，这次误报是个噩梦，网管员首先应该立即禁止全网更新，如果使用NORTON企业版更新过，需要配置升级回滚，撤销本次引发误报的病毒库升级。立即通知所有客户机不要重启电脑，从NORTON隔离区还原相应文件至系统目录。

　　为简化修复步骤，可以使用winpe光盘引导系统，再恢复这两个系统文件到windowssystem32目录，然后禁用NORTON杀毒软件的实时监控功能，重启恢复系统。

我心飞翔

金山毒霸： FixSys_Duba.exe (1.24 MB, 下载次数: 0)

2007-5-26 09:48 上传

点击文件名下载附件

我心飞翔

5月18日，NORTON误杀简体中文WINXP系统文件一事，引起轩然大波。网友纷纷献计献策，主要的方法是启动系统到故障恢复控制台，从WINXP安装光盘中抽取原始DLL恢复系统文件，再禁止NORTON的监控程序后重启等等。


但这里有个小问题，从原始光盘中抽取的DLL是有安全漏洞的版本，许多客户已经通过windows update修补过系统了，用户需要最新的版本。


毒霸提供了一个特殊的小工具，可以将被删除的DLL文件还原为最新的版本。但考虑到系统安全性，没有制作完全傻瓜化的版本，该工具需要WINPE光盘支持。


首先，安装WinPE到大容量U盘（大于80M），并用USB-HDD方式启动的可行方法，或者用WINPE光盘引导也行。


找到个U盘版WINPE下载，速度还不错，要下的快动手。

http://haha0.com/temp/Winpe_usb.rar


1、将U盘格式化为fat32格式；（其实这一步可省的啦）

2、解压得到的upe.gho，用ghost32恢复到U盘中。(GHOST从映像还原到分区，就自动使用映像备份时的分区类型了）

3、解压得到grubgui.exe和grubinst.exe，运行grubgui.exe，选择U盘，然后单击选择U盘的分区，再点击最下面的"安装"


到此，bios里设置U盘usb-hdd方式启动，即可引导U盘WinPE。然后在WINPE中配置好网络，启动浏览器上网。


在这里http://tool.duba.net/zhuansha/257.shtml下载金山毒霸修复工具，WINPE环境直接执行，即可完成修复工作。


修复完成，一样需要禁用NORTON的服务，WINPE下可轻松完成此操作。


唉，救灾的任务实在是繁重呀，网管肯定大骂NORTON。


WINPE光盘，需要的朋友百度一下，一找一大把，俺用的是U盘版。

network