一、关于赛门铁克公司由于病毒库升级造成提示netapi32.dll中毒解决方法

2007年5月18日，在赛门铁克2007-5-17 Rev 18版本的病毒定义码中，会将Windows XP操作系统的netapi32.dll文件判定为Backdoor.Haxdoor病毒。用赛门铁克企业版防毒软件杀毒，并重启电脑后，电脑会出现蓝屏现象。提示netapi32.dll中毒,重起电脑后就无法进入系统了,包括安全模式。

另了解，此消息提供者所在网络中，已经有40多台计算机出现蓝屏现象，而他们使用的是赛门铁克企业版反病毒软件，而且已经升级为最新的病毒库，消息提供者初步判断是删除了正常文件导致这种现象。在第一时间联系赛门铁克客服部门后，得到如下答复：

遇到该现象时应该进行如下操作，防止问题扩大。

1.中毒的机器不要重新启动计算机。

2.在防病毒管理服务器上配置客户端自动防护选项中的“排除”功能，将c:\windows\system32\netapi32.dll 排除。

3. 在防病毒的系统控制中心中将病毒定义码版本降到 2007-5-16。

目前发现，只对中文版的XP有影响,对英文版本没有影响。
二、另外，针对此情况以外出现Backdoor.Haxdoor变种病毒查杀方法：

该病毒运行后会释放名为“qz.dll”，“snda32.dll”的动态库和名为“qz.sys”，“snda64.sys”的驱动文件。其中以QZ打头的为备份。 然后该病毒会修改注册表。
1、HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\项新建snda32项,启动snda32.dll文件。
并且会新建“Startup”键，调用snda32.dll文件的RemChckIDT导出函数。

2、新建两个名为“SoundDriver SD032”和“SoundDriver SD064”的服务，在正常模式下加载snda64.sys驱动文件。

3、在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\项和HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\项
分别新建名为snda32.sys和snda64.sys的项。使该驱动文件在安全模式下也会被系统加载。

该病毒释放的驱动文件加载后会先保护注册表项，而后调用NtLockFile保护病毒文件。
会修改ServiceDescriptorTable拦截ZwCreateProcess，ZwOpenProcess,ZwOpenThread,ZwQueryDirectoryFile和ZwQuerySystemInformation的调用,
达到隐藏文件、端口等信息的目的，并且会不断的保护这些修改。
该驱动还提供了一些Ring 3下无法使用的功能供Ring 3环境的病毒程序调用，比如，直接对键盘、软驱、CMOS等设备的操作。

建议方法：进入ＤＯＳ，使用江民KV2007DOS版[DOS下的杀毒专家][时时更新病毒库]，进行全盘杀毒后，再进入安全模式，使用以下工具清除此病毒，中途可能会出现几次错误，不用管它，直接按确定！