董师傅茶坊(35)
董师傅茶坊
邮箱杀毒之惑
日前,一位读者向董师傅反映,他通过Web方式收取21CN邮箱中的邮件,用邮箱提供的杀毒服务已经扫描过邮件,没发现病毒。但下载这些邮件后,系统中安装的卡巴斯基杀毒软件还是报告有病毒。这让他很纳闷,21CN邮箱的网页中宣称自己采用了卡巴斯基的防病毒引擎,为何经过邮箱防毒扫描确认安全的邮件下载后卡巴斯基单机版却提示有病毒?难道邮箱防毒无效?本期,董师傅根据这位读者的反映,就此事展开调查。
看了这封读者的来信,董师傅也觉得纳闷,按理说同样出自卡巴斯基的两款产品怎么报告却不同呢?邮件防毒网关说没毒,单机版却说有毒。这究竟是怎么回事?
董师傅体验邮箱杀毒
董师傅决定亲自验证一下,首先董师傅已经安装了卡巴斯基6.0并更新到最新的病毒库。然后董师傅找到最近收集的10个流行病毒样本,登录至21CN免费邮箱,将此病毒作为附件抄送到自己的21CN免费邮箱(如图1)
稍后我们在收件箱收到了这封名为“病毒测试”的邮件,随即打开此邮件,看到了10个病毒样本的附件(图2)。
随后将这些病毒样本文件下载到本机D盘名为病毒样本的文件夹中(图3)。然后,董师傅使用本机上的卡巴斯基进行查毒,结果杀毒软件报警称发现病毒,总计10个样本卡巴斯基发现并清除了8个。
而董师傅点击21CN邮箱中安全检查选项却显示无病毒,原原本本地将这10个病毒样本发来了。更具讽刺意味的是,其收件箱上面居然堂而皇之地写着已经通过卡巴斯基病毒扫描。
为了进一步确认,董师傅登录到virustotal、virusscan等国际著名的多引擎病毒在线扫描网站进行检测,结果这10个样本均被确认为流行的高危病毒。其中就有前段时间非常流行的Viking(维金)病毒。
接着董师傅又对21CN的收费产品——商务邮用这10个病毒样本进行了测试,这次和免费邮的结果大不相同:10个病毒样本被检测出6个。董师傅就感到奇怪了,为什么同是21CN的邮箱,收费的能查出6个病毒,免费的1个也查不出?更蹊跷的是为什么同是卡巴斯基杀毒引擎,单机版能够查出8个,而邮箱版却只能查出6个?
邮箱杀毒为何不能识别病毒
为何在本地机器上的单机版杀毒软件可以查杀的病毒,在网站提供的使用同样杀毒引擎的邮箱杀毒服务却不能够查杀呢?
董师傅在咨询专家后通过分析,猜测可能是下面几个原因造成的:
1.卡巴斯基只将该病毒列入了单机版特征库而未列入企业级产品病毒库中,致使防病毒网关没有该病毒特征。
2病毒采用了多层压缩及加壳,解多层压缩包及脱壳需要耗费大量时间,但是邮件防病毒网关要承受千万封邮件的过滤任务,为了系统性能限制了压缩包的扫描层数及脱壳数量,致使此类病毒无法被识别,而单机版产品有充裕资源和时间针对每一个文件深入扫描及脱壳。
3.部分文件为病毒“尸体”或不健全,由于已不存在危害性,邮件防毒网关将它略过,而单机版为了确保系统的绝对安全所以将这部分病毒“尸体”也识别出来予以清除。
为了证实董师傅的猜测,董师傅通过电话询问了21CN网站的相关人员。他们告诉董师傅,这个事情需要核实,不能够马上得到回复。董师傅在截稿时仍然没有获得任何答复。
董师傅观点
是不是其他的邮箱也会有这个问题呢?随后,董师傅继续调查了雅虎邮箱、搜狗邮箱、Gmail、人民网邮箱、35免费邮等号称有杀毒功能的邮箱。
依然是利用这10个样本进行检测。结果仍然让人不满意。最令人掉眼镜的是,搜狗免费邮箱和同样使用卡巴斯基杀毒引擎的人民网免费邮箱的防毒服务形同虚设,10个样本一个也没有检测出来。
为何邮箱杀毒不能够查出单机版可以查出的病毒?难道有些网站提供的邮箱杀毒服务只是摆设?董师傅会继续关注此事。
最后要提醒广大邮箱用户,邮箱防毒较以前增加了邮件的安全性但它并不是万能的,为了安全起见还是要安装单机版杀毒软件并及时更新,这意味着给你多一道安全防线。
董师傅热线
加载cnsmin.dll出错
小曹:昨天不知是我删除了C:\documents and settings\账户名\local settings\temp和C:\windows\temp目录下的全部文件和IE缓存的原因,还是我安装了360安全卫士和ewido anti-spyware4.0的原因,今天开机几次,一进到桌面,就弹出一个对话框,上面显示:“加载C:\windows\downlo~1\cnsmin.dll时出错,找不到指定的模块”,这是怎么回事,如何解决?
A:cnsmin.dll是3721/雅虎助手网络实名文件,董师傅已经在历次热线多次回答这个问题了,跟你清除临时文件夹和IE缓存、使用360安全卫士和ewido没有关系。有时即使卸载了网络实名,但注册表和硬盘中仍然可能存在许多垃圾信息和垃圾文件。这次董师傅教你怎么手工解决这个问题。
打开注册表,定位到:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\下,要删除的键值项是“CnsMin”,其键值为“Rundll32.exeC:\WINNT\DOWNLO~1\CnsMin.dll,Rundll32” HKEY_LOCAL_MACHINE\Software\Microsoft\ Internet Explorer\AdvancedOptions\,我们删除“!CNS”整个键值项即可。
recycler 和system volume information 是病毒吗
张亮:电脑装的系统是Windows XP SP2,装有瑞星杀毒软件。我在WinRAR里面看到每个盘符下面都有两个文件夹:“recycler”和“system volume information”,而且这两个文件夹都删不掉,删的时候系统提示“无法删除system volume information:访问被拒绝、请确定磁盘未满或未被写保护而且文件未被使用。”请问董师傅这两个文件夹是病毒生成的文件夹吗?
A:首先请你放心,这两个文件夹都不是病毒生成的文件夹。而是Windows XP隐藏的系统文件夹。System Volume Information文件夹,中文名称可以翻译为“系统卷标信息”。这个文件夹里就存储着系统还原的备份信息。打不开是因为你的分区为NTFS格式,Windows XP默认没有给你分配访问该文件夹的权限。recycler也是Windows XP隐藏的系统文件夹,是回收站所在的地方,该文件夹中,分别以每个用户的SID(用户安全标志符,用来代表用户,任何两个用户的标志符都不一样)作为回收站的名字,就是类似于“S-1-5-21-3643067059-557091897-448451853-500”这样的名字。
电脑经常提示wdfmgr32.exe出错
龙俊:我的笔记本在使用的时候,过一段时间会弹出一个提示“wdfmgr32.exe有问题”。请问这是什么问题?有的时候我在网上看电影,它会自己弹出来。希望你指点一下。
A:你中了木马病毒,wdfmgr32.exe是一种木马病毒,名为Covert.Sys.Exec.mgr32。该木马病毒会修改注册表,创建系统服务项 Run/wdfmgr32,实现自启动。病毒运行后允许恶意攻击者远程控制计算机,并大量占用系统资源,造成机器运行缓慢。
如果你装了杀毒软件而不能查杀该病毒是因为你的杀毒软件没有升级到最新的病毒库。只要将杀毒软件升级到最新版本就可以进行查杀了。同时,董师傅建议你最好切换到Windows的安全模式进行查杀。
配置相同的电脑上的驱动如何互用
小辉:董师傅,我电脑的声卡驱动没了,但是在网上找不到相同的声卡驱动,我同学家有一台完全相同的机子,我能否把他机子上的驱动拷下,装在我机子上?具体要怎么做?
A:有一些专门的工具可以帮你做到。董师傅推荐使用驱动精灵,这是一种驱动程序备份/恢复工具,驱动精灵最大的优点就是收集的备份文件比其它多种同类软件要齐全,同时支持以压缩和自解压方式打包存放,支持单个驱动程序的备份与恢复,也支持一次性全部备份和恢复。
网上有很多地方可以下载驱动精灵。董师傅使用的是驱动精灵专业版 2005,版本6.1.2518。在同学的电脑运行驱动精灵,你点击备份里的“声音、视频和游戏控制器”下面的驱动,选择备份,然后拷到你的电脑,进行恢复就可以了!
如何恢复删除的QQ记录
陈军:我电脑里面的QQ记录被删除了,有什么办法能恢复吗?我不是QQ会员,我该如何操作?
A:不知道你在删除QQ记录后,是否又继续使用QQ,并对所删除记录的对象进行聊天?那样的话,会覆盖住原先的记录。
如果没有这样做,也许还有希望。董师傅建议你试试数据恢复软件R-STUDIO NE,误删文件的恢复能力是它的一个基本功能,效果相当好,下载试试吧,祝你好运!
如何清理Trojan.DL.Direct.aa
王启生:我的电脑在关闭一个任务时(如“我的电脑”、“我的文档”),桌面上的图标、任务栏、运行的程序都会消失两三秒,桌面上只剩下桌面图像,然后自动清屏。片刻后,任务栏、桌面图标等又相继恢复,但有些打开的程序却自动关闭了,如Office Word程序。我用正版瑞星杀毒软件也查到有一个病毒“Trojan.DL.Direct.aa”。请问我该怎么办?
A:这个病毒非常猖狂,董师傅前一阵子也遇到过。经研究,这个病毒的母体是捆绑在cdnprot.sys文件中。切换到Windows的安全模式,搜索C盘的cdnprot,将结果全部删除。进入注册表查找cdnprot把所有找到的键值删掉,要多查找几次。
注意,有可能这个方法不管用,那是因为你的IE等临时文件中依然存在病毒体,重新开机导致重复感染。建议先清理IE临时文件。对于这个病毒,现在杀毒软件基本能清理干净了。先查杀一遍,如果不行再按上述方法操作!遇到文件不能删除可以先改名称,然后再删除试试。