CA antivirus xóa file trong Windows 2003

Vào tuần trước, một vài người dùng Windows 2003 đã gặp phải vấn đề với hệ điều hành sau khi phần mềm CA antivirus phát hiện sai một phần của hệ điều hành và cho nó là phần mềm nguy hiểm.

Điểm mấu chốt của vấn đề là một phần của Windows được xây dựng cho bảo mật, file Lsass.exe. File này đã bị phát hiện như virus bởi phần mềm eTrust của CA (http://www3.ca.com/securityadvisor/virusinfo/scan.aspx) và bị xóa, điều này đã gây ra hỏng một số server và lỗi khi reboot.

CA (trước đây được biết đến như một Computer Associate) nói rằng sẽ nhanh chóng khắc phục lỗi và đưa ra biện pháp phục hồi vào hôm thứ Sáu vừa qua.

Nguyên nhân của sự nhầm lẫn này là coi Lsass.exe như lỗi của Trojan Win32/Lassrv.B.

Lassrv.B đã bị phát hiện vào tháng 8 năm 2004 và được đánh giá như là một mối đe dọa ở mức thấp. Giải quyết vấn đề xảy ra này của Windows 2003 người dùng eTrust phải tìm phần up-date của CA cho ra hôm thứ Sáu vừa qua.

Dưới đây là cách khắc phục lỗi xảy ra đối với những người đã gặp sự cố này:

1. Chạy web search trên "NTFS boot floppy" tại địa chỉ (http://www.ntfs.com/boot-disk.htm).
2. Khởi động server từ floppy disk mà bạn đã tạo trong bước thứ nhất.
3. Copy file lsass.exe vào folder system32.
4. Khởi động máy trong chế độ safe mode.
5. Start -> Run -> regedit.
   HKLM\Software\ComputerAssociates\CurrentVersion\InternalSettings.
   Thiết lập RPCThreadContext bằng 0 để các chế độ của máy có thể được thay đổi.
6. Thay đổi các thiết lập thời gian thực thành Inoculate engine.
7. Khởi động lại từ chế độ normal.