瑞星反病毒专家建议：还没有受到误杀影响的用户

 

1、拔掉网线再开启计算机。
2、启动计算机后，关闭诺顿杀毒软件的实时监控程序再插入网线上网。
3、等待赛门铁克公司解决该问题后，才可以继续启用诺顿实时监控程序。
4、关闭杀毒软件实时监控程序可能导致计算机感染其它的病毒、木马及恶意程序，用户可以暂时选用其它的。

 

 杀毒软件。对于系统已经瘫痪的用户：

1、使用windows 安装光盘启动系统，在提示菜单处按R进入恢复控制台。
2、在提示中按“1”然后回车，选择需要修复的系统，并输入管理员密码。

3、执行如下命令进行修复（X表示光盘盘符）：
Expand x:/I386/netapi32.dl_ c:/windows/system32 [回车]
Expand x:/I386/netapi32.dl_ c:/windows/system32/dllcache [回车]
Expand x:/I386/lsasrv.dl_ c:/windowssystem32 [回车]
Expand x:/I386/lsasrv.dl_ c:/windowssystem32dllcache [回车]
4、重新启动计算机，关闭诺顿的实时监控程序。
5、启动诺顿的隔离区，恢复netapi32.dll和lsasrv.dll。
6、等待赛门铁克公司解决该问题后，才可以继续启用诺顿实时监控程序。
7、关闭杀毒软件实时监控程序可能导致计算机感染其它的病毒、木马及恶意程序，用户可以暂时选用其它的杀毒软件。

 

        NORTON误报的系统文件lsasrv.dll和netapi32.dll为Backdoor.Haxdoor病毒，norton杀毒软件会自动将这两个dll文件隔离。这两个系统文件被删除后，会导致重启后蓝屏，屏幕上显示unknown hard error，安全模式下也无法进入。

修复方法：
系统已经崩溃时建议用故障恢复控制台恢复被误杀的系统文件，操作步骤如下：

1、使用windows 安装光盘启动系统，在提示安装时，按R选择修复，再选择启动到故障恢复控制台。
2、在提示中选择当前运行的操作系统，多数情况下是按“1”，然后回车，需要输入管理员口令。
3、执行如下命令进行修复(X表示光盘盘符)：
Expand x:I386netapi32.dl_ c:windowssystem32
Expand x:I386netapi32.dl_ c:windowssystem32dllcache（并非必须）
Expand x:I386lsasrv.dl_ c:windowssystem32
Expand x:I386lsasrv.dl_ c:windowssystem32dllcache （并非必须）
 
4、在故障恢复控制台，运行listsvc，查看当前计算机服务属性，找到NORTON杀毒软件相关的服务名，NORTON 360的服务名包括"cltnetcnservice"、"eectrl"、"ccevtmgr”、"ccsetmgr"，其它版本的NORTON杀毒软件，服务名有所不同，可用listsvc命令详细查看。
运行disable "服务名"，禁用NORTON杀毒软件相关服务。键入exit重新启动计算机。
 
5、联系symantec公司获得补丁，索取解决方案。对企业网管来讲，这次误报是个噩梦，网管员首先应该立即禁止全网更新，如果使用NORTON企业版更新过，需要配置升级回滚，撤销本次引发误报的病毒库升级。立即通知所有客户机不要重启电脑，从NORTON隔离区还原相应文件至系统目录。为简化修复步骤，可以使用winpe光盘引导系统，再恢复这两个系统文件到windowssystem32目录，然后禁用NORTON杀毒软件的实时监控功能，重启恢复系统。
 
        PS：在vi.duba.net查到24条有关Backdoor.Haxdoor后门程序的资料，该后门程序和灰鸽子类似，最早收集到的版本是在2005年。只是该后门程序的隐藏技术强过灰鸽子木马，只是利益链不如灰鸽子广。换句话说，这个后门的作者比灰鸽子作者缺乏商业头脑。http://netadmin.77169.com/HTML/20070525005850.html