冲破杀毒冤狱

最近，诺顿杀毒软件将WinXP的重要文件隔离造成系统不能启动，后来更有网站曝出不但诺顿会将正常文件当作病毒，卡巴斯基也这么干过。这可真算得上大水冲倒龙王庙，一家人不认得一家人，一时之间闹得纷纷扬扬。在闹过、争论过之余，我们还是要学会几招，以防以后被自家人下了黑手……

事情的起源

2007年5月17日，不少用户在将诺顿的病毒库更新之后， WinXP简体中文版本中的两个系统文件Lsasrv.dll和Netapi32.dll就被识别为BackDoor.haxdoor病毒，并被自动隔离，导致计算机重新启动之后出现c000021a蓝屏错误或者循环重启，无法进入系统（如图1）。

诺顿误杀系统事件刚刚在网上开始传播，又有一个网友交流网站曝出了卡巴斯基从2006年11月到2007年5月误杀系统、其他正常软件多达17次（如图2），其中误杀者包括暴风影音、跑跑卡丁车、魔力宝贝、360安全卫士、金山词霸、WPS2005、QQ2007 Beta 1、IE核心文件和瑞星卡卡等。

为什么我们一向认为是系统安全第一道防线的诺顿、卡巴斯基接连被曝出致命错误呢？诺顿的误杀错误为什么仅仅是出于简体中文的WinXP版本中呢？卡巴斯基的误杀文件为什么又绝大多数是国内软件呢？归根到底，在于这些跨国大公司对于中国市场不够重视，在中国的本地化没有深入开展。这就是为什么瑞星、金山、江民等国产杀毒软件能在国内打败了安全软件的国际巨擘，占据了国内杀毒软件市场绝大部分份额的缘故。

虽然诺顿在误杀事件曝光之后进行了一系列并不是很高明的公关策略，并迅速升级了病毒库，但用户经过这次事件之后恐怕都会坚信：类似的误杀事件不是第一次，也绝对不会是最后一次。为了让下次不知道什么“顿”误杀造成系统不能启动时，自己可以正常使用，软件可以顺利操作，我们有必要学会几招……

误杀导致系统不能启动，这样解决

最严重的误杀，莫过于此次诺顿隔离系统核心文件造成系统不能启动。面对不能正常启动的系统，我们只有先将被误杀的系统文件放置到正确的位置，至于工具，绝大多数情况下可以使用WinXP安装光盘中内置的恢复控制台。

1使用原版WinXP安装光盘启动计算机，在提示菜单处按R 进入恢复控制台（改版WinXP会自动安装，不能进入恢复控制台模式，如图3）。

2WinXP安装向导会列表显示搜索到的Windows，一般用户只有一个，就按下“1”回车，输入管理员密码后就登入了命令行窗口（如图4）。

3执行如下命令进行修复操作（本文G表示光盘所在盘符，C表示Windows安装所在分区，如图5）。

Expand G:\I386\ n et a pi32.d l_ C:\Windows\System32

ExpandG:\I386\ n et a pi32.d l_ C:\Windows\System32\dllcache

Expand G:\I386\lsasrv.dl_ C:\Windows\System32

Expand G:\I386\lsasrv.dl_ C:\Windows\System32\dllcache

其实碰到这种十分恐怖的问题，自然会有人帮助我们解决问题，比如针对这次诺顿误杀，《360安全卫士》就为嫌使用Win X P安装光盘中的恢复控制台过于烦琐的用户提供了《USB系统恢复盘》（/windowsfix.rar），让用户制作一张USB启动盘启动电脑之后，就自动修复了被误杀的系统（如图6）。

误杀导致Foxmail不能使用，如此搞定

常在网上走，怎么不遇毒。就说我平时最常使用的电子邮件吧，就会经常收到不少垃圾邮件，其中甚至有邮件病毒制造的。我安装的杀毒软件是诺顿，并且打开了文件实时监控，当我收了一封邮件时，报告有W32 .Mydoom .A@mm.enc病毒，根据提示杀毒之后，悲剧就此发生了。

再次打开Foxmail，提示“邮件夹数据文件In.box丢失”，并且提醒可能是诺顿杀毒软件将它隔离了（如图7）。既然知道了有可能是诺顿造成的，我们就来看如何恢复它。

In.box是啥文件

在Foxmail中以box为后缀的文件相当于一个邮箱中的相应目录，比如In.box就是“收件箱”，O ut.box是“发件箱”，Sent.box是“已发送邮件箱”，Spam.box是“垃圾邮件箱”，Trash.box是“废件箱”。

打开诺顿控制台，在“Norton AntiVirus”配置窗口，点击“管理隔离项目””转到隔离区”打开“ 安全历史记录”窗口（如图8），选中隔离In .box的相关条目，点击右下角的“更多信息”按钮。

在打开的“安全历史记录|高级详细信息”窗口，点击“恢复风险”就将被隔离的In.box恢复到原来的正确位置（如图9）。

为了防止诺顿以后不再将收件箱当作病毒整个隔离，我们还必须在诺顿的“设置”“自动防护”窗口中，选中“扫描排除”（如图10），将Foxmail邮件所在的目录排除（在Foxmail安装目录的Mail子目录下）。

现在，诺顿再也不会将我的收件箱作为病毒整个隔离了，不过这样做的后果就是即使收到病毒邮件，诺顿也不会发现。要知道，瑞星、Nod32是会在收到病毒邮件时，自动清除病毒，并将邮件主题修改为发现病毒之类的提示，难道曾经作为杀毒软件第一选择的诺顿竟然连这都做不到？