网易科技讯 5月18日消息，瑞星公司今日向网易科技透露，诺顿杀毒软件出现重大问题。诺顿今日升级病毒库后，把Windows XP系统的关键系统文件当作病毒清除，重启后系统将会瘫痪。

有消息称，目前国内某大型网络游戏公司的2000多台机器已经全部崩溃。截至中午12点已有超过7千名个人用户和近百家企业用户向瑞星客户服务中心求助，更多用户由于系统繁忙无法打入电话。

随后，江民公司也证实了这个消息，江民公司对网易表示，反病毒中心接到多家企业求助电话，称遭到了病毒大规模攻击，电脑重启后报错，无法进入系统。江民科技迅速派出技术人员上门解决问题，最终发现系该企业所安装的诺顿网络版杀毒软件误报错杀导致。

安全专家表示，安装了MS06-070补丁的XP系统，如果将诺顿升级最新病毒库，则诺顿杀毒软件会把系统文件netapi32.dll、lsasrv.dll隔离清除，从而造成系统崩溃。由于国外品牌的笔记本和台式机多数预装了Windows XP系统和诺顿杀毒软件，这些用户极其容易遭到此次“误杀”攻击，因此中国大陆地区将有数百万台电脑面临崩溃的危险。由于该次误杀只发生在简体中文版的XP系统上，因此对国外用户几乎没有影响。

下午18时，一位名叫杨振刚网友给网易科技发来邮件称，诺顿方面已经给用户发送邮件，此邮件中写道“Symantec服务器现在已经恢复正常”，并提供了具体的解决方案。也就是说，赛门铁克方面已经承认这次故障因软件所致。目前赛门铁克暂未公布故障原因。

具体是这样的，如果你的诺顿在昨天升级了，今天开机还弹出了以下图示的通知窗口，那可能就是被这个更新误导了，这时千万不要重启系统。

图1 弹出这个通知框不一定真的是中了病毒

　　上图这是一个典型的诺顿反病毒软件的自动防护通知框，里面说是发现了一个名为Backdoor.Haxdoor的威胁，从文件名来看是一个后门病毒，能够让黑客入侵或偷走你资料的病毒程序。

　　其所在路径在C:\Windows\system32下面，奇怪的是这个Dll(动态链接库)文件被发现有威胁之后，诺顿既清除不了，也隔离不了。这时候一些朋友就选择了重启，进入安全模式杀毒，但当你重启后就再也无法正常进入系统，会不断地循环重启。

　　这个事故的源头可能就是诺顿在2007年5月17日升级病毒数据库后惹的祸，诺顿错将系统文件当成了病毒，将它隔离了。

　　小知识：netapi32.dll是Windows网络应用程序接口，用于支持访问微软网络。

　　PConline网络系统部经理、资深技术专家熊普江表示：“大厂商出这么非常低级错误非常罕见的，影响恶劣，波及的用户群很大，也造成非常大的损失。如果厂商在推出病毒库之前，做一些简单的测试，是完全可以避免的，而不是使“防毒软件”成为比病毒更为恶劣'系统杀手'。不过也不排除防毒软件企业竞争非常激烈，只顾最先推出新的杀毒能力，而不顾及自己作为系统的防护者的使命，成为系统破坏的元凶。”

　　对此，笔者也深表认同，而且国内几家杀毒软件厂商也在通报内或明示或暗示地表示，诺顿这次的失误是完全可以避免的。

　　这个事故影响的范围十分广泛，使用诺顿的朋友都有可能遇上，真是辛苦了今天当值的网管和技术员们了，向你们致敬！当你进不了系统后，一般用户可能需要技术员的协助才能重新登陆系统，不过我们的资深技术专家熊普江在这里提供了两套解决方案，能让大家迅速地解决问题。

　1、还能正常使用系统的用户：

　　如果诺顿报了 隔离 c:\windows\system32\netapi32.dll的话，请打开诺顿－选择隔离区，把这个文件还原。如果还报了一个lsasrv.dll文件，也可按照这方法将它放出来。

　　然后在诺顿的界面上选择－配置－文件系统检测－排除－在里面把这个文件排除掉，就不会再误报了。

　　2、如果已经重启过xp，发现不能正常启动的用户：

　　除了联系专业技术人员，还可用以下操作恢复：

　　使用Windows XP光盘启动，进入 C:\program files\ ，把symantec antiviurs目录改名。

　　再进入 c:\windows\system32\dllcache ，把netapi.dll、netapi32.dll、lsasrv.dll恢复到上一级目录，即 c:\windows\system32。

　　重启后一般都能恢复。

　　如果你没有Windows XP光盘，应该怎么办？买一只啰!

另外为了网友方便,本站收集了以下的Backdoor.haxdoor临时解决方案 Version: 1.4

     在windows Xp sp2简体中文版打上补丁KB924270以后，SAV更新到5月17日的病毒定义以后，会把C:\windows\system32\netapi32.dll和 C:\windows\system32\lsasrv.dll认为是backdoor.haxdoor, 并且把他们隔离掉。 会造成重起机器后无法进入系统，安全模式也无法进入，蓝屏。

     [服务器]立即liveupdate, 更新到最新的病毒定义库（20070517.v73）.

      如果liveupdate有问题，到
ftp://ftp.symantec.com/public/english_us_canada/antivirus_definitions/symantec_antivirus_corp/rapidrelease/sequence/
     进入到68645或者以后的文件夹

     下载后缀名是xdb的文件，放到服务器的SAV安装文件夹里面（是个共享文件夹，一般的位置是C:\program files\SAV或者C:\program files\SAV\symantec antivirus. 如果服务器内装有winzip等软件，可能会把这个XDB改成zip或者rar, 需要改回到xdb）。

     [客户端]可以从服务器下载到更新后的病毒定义，对于无法从服务器自动更新病毒定义的客户端，到

ftp://ftp.symantec.com/public/english_us_canada/antivirus_definitions/symantec_antivirus_corp/rapidrelease/sequence/

    进入到68645或者以后的文件夹，下载****x86.exe文件，在本机运行更新病毒定义。出现过这个问题的电脑，理论上SAV下载更新的病毒定义后，会扫描隔离区，发现误报的dll文件后会自动修复并恢复到原来的位置，这些已经有很多用户确认。

      但是为保险起见，建议用户在工作量允许得前提下，用windows XP盘里面的i386下面的netapi32.dll和lsasvr.dll文件，替换C:\windows\system32下的这两个文件。
-------------------------------------------------------------------------

对于已经蓝屏的电脑：
1, 使用windows XP安装盘启动
2, 进入系统恢复控制台。 
3, 使用安装盘I386目录下的netapi32.dll和lsasrv.dll文件替换系统system32下和dllcache下的文件

a.       cd \windows\system32
b.       expand (CD drive letter):\i386\netapi32.dl_
c.       expand (CD drive letter):\i386\lsasrv.dl_
d.       cd dllcache
e.       expand (CD drive letter):\i386\netapi32.dl_
f.         expand (CD drive letter):\i386\lsasrv.dl_
4, 重启电脑
5，更新到前面所述的新的病毒定义。