沖破殺毒冤獄

最近，諾頓殺毒軟件將WinXP的重要文件隔離造成系統不能啟動，后來更有網站曝出不但諾頓會將正常文件當作病毒，卡巴斯基也這么干過。這可真算得上大水沖倒龍王廟，一家人不認得一家人，一時之間鬧得紛紛揚揚。在鬧過、爭論過之余，我們還是要學會幾招，以防以后被自家人下了黑手……

事情的起源

2007年5月17日，不少用戶在將諾頓的病毒庫更新之后， WinXP簡體中文版本中的兩個系統文件Lsasrv.dll和Netapi32.dll就被識別為BackDoor.haxdoor病毒，并被自動隔離，導致計算機重新啟動之后出現c000021a藍屏錯誤或者循環重啟，無法進入系統（如圖1）。

諾頓誤殺系統事件剛剛在網上開始傳播，又有一個網友交流網站曝出了卡巴斯基從2006年11月到2007年5月誤殺系統、其他正常軟件多達17次（如圖2），其中誤殺者包括暴風影音、跑跑卡丁車、魔力寶貝、360安全衛士、金山詞霸、WPS2005、QQ2007 Beta 1、IE核心文件和瑞星卡卡等。

為什么我們一向認為是系統安全第一道防線的諾頓、卡巴斯基接連被曝出致命錯誤呢？諾頓的誤殺錯誤為什么僅僅是出于簡體中文的WinXP版本中呢？卡巴斯基的誤殺文件為什么又絕大多數是國內軟件呢？歸根到底，在于這些跨國大公司對于中國市場不夠重視，在中國的本地化沒有深入開展。這就是為什么瑞星、金山、江民等國產殺毒軟件能在國內打敗了安全軟件的國際巨擘，占據了國內殺毒軟件市場絕大部分份額的緣故。

雖然諾頓在誤殺事件曝光之后進行了一系列并不是很高明的公關策略，并迅速升級了病毒庫，但用戶經過這次事件之后恐怕都會堅信：類似的誤殺事件不是第一次，也絕對不會是最后一次。為了讓下次不知道什么“頓”誤殺造成系統不能啟動時，自己可以正常使用，軟件可以順利操作，我們有必要學會幾招……

誤殺導致系統不能啟動，這樣解決

最嚴重的誤殺，莫過于此次諾頓隔離系統核心文件造成系統不能啟動。面對不能正常啟動的系統，我們只有先將被誤殺的系統文件放置到正確的位置，至于工具，絕大多數情況下可以使用WinXP安裝光盤中內置的恢復控制臺。

1使用原版WinXP安裝光盤啟動計算機，在提示菜單處按R 進入恢復控制臺（改版WinXP會自動安裝，不能進入恢復控制臺模式，如圖3）。

2WinXP安裝向導會列表顯示搜索到的Windows，一般用戶只有一個，就按下“1”回車，輸入管理員密碼后就登入了命令行窗口（如圖4）。

3執行如下命令進行修復操作（本文G表示光盤所在盤符，C表示Windows安裝所在分區，如圖5）。

Expand G:\\I386\\ n et a pi32.d l_ C:\\Windows\\System32

ExpandG:\\I386\\ n et a pi32.d l_ C:\\Windows\\System32\\dllcache

Expand G:\\I386\\lsasrv.dl_ C:\\Windows\\System32

Expand G:\\I386\\lsasrv.dl_ C:\\Windows\\System32\\dllcache

其實碰到這種十分恐怖的問題，自然會有人幫助我們解決問題，比如針對這次諾頓誤殺，《360安全衛士》就為嫌使用Win X P安裝光盤中的恢復控制臺過于煩瑣的用戶提供了《USB系統恢復盤》（http://dl.360safe.com/windowsfix.rar），讓用戶制作一張USB啟動盤啟動電腦之后，就自動修復了被誤殺的系統（如圖6）。

誤殺導致Foxmail不能使用，如此搞定

常在網上走，怎么不遇毒。就說我平時最常使用的電子郵件吧，就會經常收到不少垃圾郵件，其中甚至有郵件病毒制造的。我安裝的殺毒軟件是諾頓，并且打開了文件實時監控，當我收了一封郵件時，報告有W32 .Mydoom .A@mm.enc病毒，根據提示殺毒之后，悲劇就此發生了。

再次打開Foxmail，提示“郵件夾數據文件In.box丟失”，并且提醒可能是諾頓殺毒軟件將它隔離了（如圖7）。既然知道了有可能是諾頓造成的，我們就來看如何恢復它。

In.box是啥文件

在Foxmail中以box為后綴的文件相當于一個郵箱中的相應目錄，比如In.box就是“收件箱”，O ut.box是“發件箱”，Sent.box是“已發送郵件箱”，Spam.box是“垃圾郵件箱”，Trash.box是“廢件箱”。

打開諾頓控制臺，在“Norton AntiVirus”配置窗口，點擊“管理隔離項目”→”轉到隔離區”打開“ 安全歷史記錄”窗口（如圖8），選中隔離In .box的相關條目，點擊右下角的“更多信息”按鈕。

在打開的“安全歷史記錄|高級詳細信息”窗口，點擊“恢復風險”就將被隔離的In.box恢復到原來的正確位置（如圖9）。

為了防止諾頓以后不再將收件箱當作病毒整個隔離，我們還必須在諾頓的“設置”→“自動防護”窗口中，選中“掃描排除”（如圖10），將Foxmail郵件所在的目錄排除（在Foxmail安裝目錄的Mail子目錄下）。

現在，諾頓再也不會將我的收件箱作為病毒整個隔離了，不過這樣做的后果就是即使收到病毒郵件，諾頓也不會發現。要知道，瑞星、Nod32是會在收到病毒郵件時，自動清除病毒，并將郵件主題修改為發現病毒之類的提示，難道曾經作為殺毒軟件第一選擇的諾頓竟然連這都做不到？