Sophos Anti-Virus for Windows NT/2000/XP/2003 发布说明 ------------------------------------------------------ 产品版本: 3.88.0 病毒引擎版本: 2.26.0 病毒数据版本: 3.88, 2004 年 12 月 www.sophos.com 目录 ---- 1 本版本的新改进 2 有关 MailMonitor 用户的重要信息 3 总体说明 4 附加信息 5 以前版本的信息 6 已发现的问题 7 解疑排难 8 兼容性问题 1 本版本的新改进 ---------------- * 对 Sophos Anti-Virus 作了修改, 以正确报告与"替换数据流"(ADS)关联的, 感染了病毒 的文件和文件夹的名称. 这一修改只影响 NTFS 文件系统. 要了解更多有关 NTFS 文件系统中 "替换数据流" (ADS)的信息, 请参见: http://support.microsoft.com/kb/105763 依照默认值, ADS 扫描功能在本软件中是禁用的. 要启用该功能, 请创建以下的注册键值: 键: HKEY_LOCAL_MACHINE\SOFTWARE\Sophos\ADVANCED 名称: Scan Streams 类型: REG_DWORD 数据: 0x00000001 * Sophos Anti-Virus 的安装程序已作了修改, 以删除任何文件名为 DELST??.TXT 的文件, 这些文件是作为升级的一部分,在系统中和用户的临时文件夹中创建的. 请注意, 这一修改只对从现在起创建的上述文件起作用. 现有的 DELST??.TXT 文件只能 用手动删除. * 解决了扫描文件夹名称中含有双字节字符的文件夹时, 会出现的问题. 所解决的问题仅限 于, 这样的文件夹在被指定做立即扫描或计划扫描的情况. * 包含新的病毒信息. 2 有关 MailMonitor 用户的重要信息 --------------------------------- MailMonitor 的用户在升级到新版本的 Sophos Anti-Virus 后应该进行以下操作. a) MailMonitor for SMTP MailMonitor for SMTP 版本 1.2.0 (或以上)的用户在升级到这一版本的 Sophos Anti-Virus 后无需进行其它操作.使用 MailMonitor 1.2.0 之前版本的用户,建议升 级到当前版本. 不升级 MailMonitor 的用户,必须在升级到这一版本的 Sophos Anti-Virus 后,重新 启动 MailMonitor for SMTP 服务. b) MailMonitor for Exchange 在升级到这一版本的 Sophos Anti-Virus 前, MailMonitor for Exchange 2000 的用 户应该确保使用的是版本 1.0.1 (或以上)的 MailMonitor for Exchange 2000. c) MailMonitor for Notes/Domino 请在 Domino 服务器窗口输入以下内容 tell savdb quit tell savmail quit load savdb load savmail 3 总体说明 ---------- a) 打包文件类型 打包文件不是默认扫描的文件类型.要启用打包文件扫描请在 Sophos Anti-Virus 中 勾选"扫描打包文件内部"项.扫描时间可能会增加,这取决于打包文件类型的数量. 选择打包文件扫描,将会扫描 ARJ, CMZ, GZIP, RAR, RAR3, TAR, ZIP, LHA, UUE, LZH, BZip2, Stuffit, InstallShield CAB 等类型的文件,和这些类型的自解包文件, 以及 Zipmail 文件,压缩帮助文件和用 MS Compress 压缩的文件. 只有在启用打包文件扫描时,自解包文件才会被作为打包文件来扫描.否则,它只会被作 为可执行文件来扫描. 如果同时选择了打包文件扫描和 Macintosh 病毒扫描,那么 BinHex 和 MacBinary 文 件也都会被扫描. 如果 Unix ELF 文件的扩展名在可执行文件列表中,或者,选择扫描"所有文件",它将被 扫描. b) 文件扩展名列表 立即和计划扫描任务默认扫描具有下列扩展名的文件. ..., 386, 3GR, ADD, ASP, BAT, CHM, CMD, COM, CPL, DBX, DLL, DMD, DOC, DOT, DRV, EML, EXE, FLT, FON, FOT, HLP, HT?, HTA, HTML, I13, IFS, INI, JS, JSE, LNK, MOD, MPD, MPP, MPT, MSO, NWS, OCX, OV?, PDF, PDR, PIF, PL, POT, PPS, PPT, PRC, RTF, SCR, SH, SHB, SHS, SRC, SWF, SYS, VB?, VXD, WBK, XL?, 4 附加信息 ---------- 下列的建议可能会要求使用注册表编辑器(REGEDT32.EXE).Microsoft 发布过有关注册表编 辑器的下列警告: "不正确地使用注册表编辑器,会导致严重的系统问题.您可能会因此要重新安装 Windows 95/98/Me 以解决它们.Microsoft 不能保证可以解决由于使用注册表编辑器而引起的所 有问题.使用该工具,后果自负." a) 系统要求 这一版本的 Sophos Anti-Virus for Windows NT/2000/XP 要求 Windows NT 4.0 或 以上的版本.它不能运行在 Windows NT 3.51 上. b) InterCheck 升级后的重新启动 在从前一版本的 Sophos Anti-Virus for Windows NT/2000/XP 升级后,如果 InterCheck 驱动程序已升级,系统必须重新启动后,新的 InterCheck 驱动程序才会被 激活.在升级完成后,不一定要立即重新启动系统.InterCheck 会继续正常运行,在系 统下次重新启动后,新的功能会被激活. c) 安装 "安装/升级"的优先权高于工作站安装,也就是说,"安装/升级"功能不会因为某一工作站在 作升级检查,或正在进行升级,而不起作用. 本安装程序已添加以下几个命令行限定符: -a 非交互式安装 -updaccount=域\用户名\密码 升级帐户信息 -ni 非交互式升级 -in 隐形升级 -inl 隐形载入 在终端客户进程运行安装程序: 如果您要在终端客户进程运行安装程序, 这里提供了您可以使用的命令限定符. 首 先, 请确保没有任何别的进程在运行安装程序. d) 'Terminal Server' 和 'Citrix MetaFrame' 如果您运行了 Terminal Server 或 Citrix MetaFrame,您可以在终端客户窗口中运行 Sophos Anti-Virus 窗口和 InterCheck Monitor.一次只能有一个用户运行 Sophos Anti-Virus,而且必须以管理员权限登录.如果用户试图打开已经打开了的 Sophos Anti-Virus 窗口或 InterCheck Monitor,将出现错误信息. 运行在一个终端客户对话进程中的 SAV Interface 应用程序, 现在可以被 Sophos Anti-Virus 安装程序正确地休眠或重新启动. e) 消息发送子系统 将下列键值添加到注册表中,可以屏蔽 InterCheck Client 关闭时显示的桌面信息: 键: HLM\SOFTWARE\Sophos\SweepNT\SMMs\Desktop.smm 名称: Shutdown Message Action 类型: REG_DWORD 数据: 0x0000000F 将下列键值添加到注册表中,可以强制 SMTP SMM 以 MIME 解密附件的形式发送报告: 键: HLM\SOFTWARE\Sophos\Sweep95\SMMs\SMTP.smm 名称: Mime Encode 类型: REG_DWORD 数据: 0x00000001 将下列键值添加到注册表中,将忽略对离线存储文件的报告: 键: HLM\SOFTWARE\Sophos\ADVANCED 名称: REPORT_OFF_LINE_FILES 类型: REG_DWORD 数据: 0x00000000 将下列键值添加到注册表中,将忽略对解密文件的报告: 键: HLM\SOFTWARE\Sophos\ADVANCED 名称: REPORT_PASSWORD_ENCRYPTED 类型: REG_DWORD 数据: 0x00000000 f) 与离线存储文件的交互 在进行立即和计划扫描时,Sophos Anti-Virus 默认为不扫描离线存储的文件.但将下 列键值添加到注册表中,可以使该默认值不起作用. 键: HLM\Software\Sophos\ADVANCED\ 名称: SCAN_FILES_IN_HSM 类型: REG_DWORD 数据: 0x00000001 在进行立即和计划扫描时,Sophos Anti-Virus 默认为重置文件的最近一次被读取的时 间.但将下列键值添加到注册表中,可以使该默认值不起作用. 键: HLM\Software\Sophos\ADVANCED\ 名称: RESET_LAST_ACCESSED_TIME 类型: REG_DWORD 数据: 0x00000000 g) 处理日志文件 日志文件会变得非常大.在服务运行的时候,是不可能删除 SWEEP.LOG 文件的.不过,如 果改变了 SWEEP.LOG 文件的路径,原先的文件可以被删除. h) SNMP 通知 针对创建 SNMP 陷阱有一个消息模块.有四种可能的陷阱模式.它们的对象标识符 (OIDs)如下: 1.3.6.1.4.1.2604.2.1.1.1.1 病毒警告 1.3.6.1.4.1.2604.2.1.1.1.2 出错信息 1.3.6.1.4.1.2604.2.1.1.1.3 信息通告 1.3.6.1.4.1.2604.2.1.1.1.4 测试陷阱 每一陷阱都带有 SAV 版本号字串和给出不同警告信息的字串. 数据的对象标识符(OIDs)如下: 1.3.6.1.4.1.2604.2.1.1.2.1.1 病毒警告文本 1.3.6.1.4.1.2604.2.1.1.2.1.2 出错信息文本 1.3.6.1.4.1.2604.2.1.1.2.1.3 信息通告文本 1.3.6.1.4.1.2604.2.1.1.2.1.4 测试陷阱字串 1.3.6.1.4.1.2604.2.1.1.2.2 版本号字串 注意:不可能远程查询 MIB.数据只能从陷阱的内容中得到. i) 病毒信息 每当咨询关于病毒的信息时,用户会被引至 Sophos 的网站以获得最新和最准确的信息. 5 以前版本的信息 ---------------- 2004 年 11 月 (3.87) * 改进了对 Zip 文件的处理 * 针对在 Sophos Anti-Virus 进行升级时, 应用程序试图关闭 Windows 时的情况, 做了改 进. 以避免试图关闭 Windows 的情况发生, 从而使升级顺利完成. * 如果在开始执行 Sophos Anti-Virus 的安装程序时, SAV32CLI 正在运行, 那么 SAV32CLI 现在会被自动关闭, 以避免引起安装程序被挂起. * 解决了安装程序中的一个问题. 如果中央安装目录是在服务器上创建的, 那么, 当在工作 站上安装 Sophos Anti-Virus 时, 依照默认值, 只有 "InterCheck Client" (而 "InterCheck Server" 则没有) 被选择为安装. * 对配置对话框做了很小的改动. 如果 "扫描邮箱" 没有被选择, 那么, "清除邮箱中的病 毒" 会被禁用. * 在读写扫描器中解决了一个保存 Microsoft Office 文件到 NetWare 共享文件夹时出现 的问题. 当把扫描文件的时机设为 "读文件时", 就会出现这个问题. 在升级到本版本的 Sophos Anti-Virus 后, 您必须重新启动计算机, 以使您所做的这些 改动生效. 自动升级的情况, 同样适用. 在升级 Sophos Anti-Virus 之后, 如果您在将 Excel 工作表保存到 Windows 共享文件 夹时, 遇到保存过程漫长, 或报告出错的情形, 请按照第6部分中g条的说明, 解决这一问 题. 2004 年 10 月 (3.86) * 文件扩展名 .MD? 已经从默认扫描的文件类型列表中删除. * 解决了本版本的 Sophos Anti-Virus 在 Windows 注册表中被记录为版本 0.0.0 的问题, 该问题会导致 SAVAdmin 报告计算机中安装了版本号为 0.0.0 的 Sophos Anti-Virus. 现在注册表和 SAVAdmin 应该能够正确报告版本号为 3.86.1 了. * 版本号标识 以前, 病毒数据的版本号, 也就是 Sophos Anti-Virus 整个产品的版本号. 比如: 产品版本: 3.85, 2004 年 9 月 现在, 整个产品有了独立的产品版本号, 所以病毒数据的升级, 不会引起产品版本号的改 变. 比如: 产品版本: 3.86.0 病毒数据版本: 3.86, 2004 年 10 月 * 改进了对 Outlook Express 的处理能力 * 解决了 SMTP 电子邮件警报中的问题 解决了一个没有安装 Client for Microsoft Networks 的 Windows 计算机在更名后, 会 出现的问题. 先前, 计算机在更名后, 会导致 SMTP 电子邮件警报在主题中使用不正确的 计算机名称. * 解决了安装程序中的一个问题. 使安装程序在运行带有限定符"config=4"(在安装结束时, 不要重新启动该服务)的命令行时, SAV Interface 可以在安装结束后正确地重新注册. * 如果您降级使用先前版本的读写扫描器, 经过改进的安装程序可以减小现有版本和降级版 本间的不兼容性. * 在 Windows XP 中运行的 Windows Security Console 有时侯不能够正确地表明 Sophos Anti-Virus 的安装状态, 已解决了安装程序中的这个问题. * 读写扫描 Citrix 客户端驱动器映射 如果 Citrix Metaframe 的用户, 在一个会话过程中有被映射的本地驱动器, 这些驱动器 现在可以被服务器端的 Sophos Anti-Virus 扫描. 这样一来, 您就不必一定要在客户端 计算机上安装 Sophos Anti-Virus 了. * 解决了 SAV Interface 对象和安装程序在交互时可能出现的问题, 该问题会在极罕见的 情况下导致安装运行程序失败. * 解决了一些锁定的 DLL 文件影响安装程序的问题 有时侯, 安装程序会因为一些锁定的 DLL 文件, 而不能够成功运行. 已对安装程序和 Sophos Anti-Virus 作了更改, 以降低出现这种问题的可能性. 2004 年 9 月 (3.85) * 改进了对 PDF 文件, RAR 文件和 HTML 文件的处理 * 改进了对 Access 数据库的扫描 * 在删除 "跳过遍历检查" 用户权限后, Sophos Anti-Virus 还是能在 Windows XP 上正 确运行. * 扩展名列表现在可以容纳多达 126 个条目. * 改进了读写扫描器 读写扫描器得到了修正, 以改善在扫描网络中的被感染文件时, 出现的运行状况不佳的情 况. 但只有 Windows XP Service Pack 2 的用户才会遇到此问题. 另外一个对读写扫描器的修正, 是解决当漫游用户配置文件存储在 NetApp Filer 上时, 在其注销的过程中可能会遇到的问题. 该错误已在(但可能不只限于)Data ONTAP 6.4.3 和 6.4.4R1 版本的 NetApp 中出现过. 只有在 Windows XP 工作站中运行有特定的 Microsoft Redirector Hotfix (KB321936), 并且读写扫描同时被设定为 "写文件时" 进行扫描时, 该错误才会出现. 您在升级到本版本的 Sophos Anti-Virus 后, 必须重新启动计算机, 以上的修正才会起 作用. 这一要求同样适合于自动升级的用户. 6 已发现的问题 -------------- a) NetWare Server 和 Windows 2000 工作站 当中央安装目录是基于 NetWare Server,而要在 Windows 2000 的计算机上运行安装 /升级程序时会出现问题. 在需要将新的 IDE 文件放到基于 NetWare Server 的中央安装目录(CID)中,并将在 Windows 2000 工作站上运行安装/升级时,应该用下列的命令行代替通常用的命令: setup /update /srcpath=\\netwareserver\cidpath 这里的 \\netwareserver\cidpath 是CID完整的UNC路径. b) SAV32CLI 与安装程序 在启动安装程序时,如果 SAV32CLI 也正在运行,安装会失败.暂时的解决办法是关闭 SAV32CLI 后再运行安装程序. SAV32CLI 目前的帮助信息没有指出新添的可用选项(特别是, -cdr 和 -oe 项). c) InterCheck Server 与 Windows 2000 在 Windows 2000 上进行安装时,InterCheck Server 是默认安装的.在安装过程中,如 果没有要求安装 InterCheck Server,它应该被勾选掉. d) 如果需要在终端服务器上安装 InterCheck Server ,InterCheck Client 也应该被安装. 但安装 InterCheck Server 之后的,InterCheck Client 并不被要求同时安装. e) 在 Windows XP 上升级 Sophos Anti-Virus 如果在一个不在 Windows 域中的单独的 Windows XP 计算机上, 试图安装或者升级到 本版本的 Sophos Anti-Virus 时, 在下列情况中, 安装或升级不会成功: * 用户运行的 Sophos Anti-Virus 和/或 InterCheck Monitor 是 2003 年 9 月 (3.73) 或更早的版本. * 用户登录后, 又有第二个用户登录到该计算机. * 第二个用户要安装本版本的 Sophos Anti-Virus, 或者从2003 年 9 月 (3.73) 或更早的版本的 Sophos Anti-Virus 升级到本版本. 在这种情况下, 当安装程序开始复制安装文件时, 会出现以下消息: "创建文件 C:\Program Files\Sophos SWEEP for NT\SHRDRES.DLL 出错" 单击 '放弃'. 安装程序将显示以下消息: "Sophos 安装程序无法完成本次安装." 单击 '退出'. 要安装或升级成功, 请按以下说明做: 要求在此计算机上运行 2003 年 9 月(3.73) 或 更早的版本的 Sophos Anti-Virus 和/或 InterCheck Monitor 的所有用户, 关闭 Sophos Anti-Virus 和/或 InterCheck Monitor. 然后在继续安装或升级. f) 如果在终端服务器上启动非交互的安装时, Sophos Anti-Virus 窗口或 InterCheck Monitor 正在运行某一终端客户对话进程, 安装程序可能会冻结,或者无法在安装结束后, 使 Sophos Anti-Virus 窗口或 InterCheck Monitor 恢复运行. 冻结的安装程序会继 续完成升级, 所以用户可以使用任务管理器关闭安装程序, 和/或手动打开 Sophos Anti-Virus 窗口或 InterCheck Monitor. g) 如果您使用的是 Windows 2000 或以后的操作系统, 并且您配置了读写扫描器在 "写文 件时" 进行扫描, 那么, 在您将 Micorosoft Office 的文档保存到 Windows 的网络共 享夹时, 保存过程可能会较慢. 要解决这个问题, 您应该关闭 Windows 中的客户端的高 速缓存. 这可以用以下两种方法之一实现: * 禁用工作站上的机会锁定功能. * 禁用共享文件夹所在的服务器上的机会锁定功能. 欲了解更多的有关详情, 请参见 Microsoft 知识库文章 296264: "在 Windows 中配置机会锁定" (http://support.microsoft.com/default.aspx?scid=kb;en-us;296264). 您必须重新启动计算机, 以使您所做的这些改动生效. 7 解疑排难 ---------- a) 从远程计算机进入网络共享出错 安装 Sophos Anti-Virus for Windows NT/2000/XP 后,您也许会在从远程计算机进入 网络共享时出现困难.您还可能会收到如下的错误信息: "没有足够的服务器存储可以用来处理该命令." "没有足够的内存以完成传输.关闭一些应用后再试." 此外,Windows NT 服务器可能会将下列一个或两个事件消息记录到系统日志中: 事件 ID : 2011 来源 : Srv 描述 : 服务器的配置参数 "IRPStackSize" 太小,服务器无法使用本地驱动器. 请增加该参数的值. 事件 ID : 0 来源 : Srv 描述 : 找不到事件 ID 0 的描述. 它包含字串 \device\LanManServer. 这是 Windows NT 服务器默认配置设定的限制.解决这一问题,要用下列的注册表项目. 键: HLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters\ 名称: IrpStackSize 类型: REG_DWORD 数据: 0x6 您可以用 REGEDT32 在注册表中修改或创建该项目.您需要重新启动系统,才能使改变 生效.如果问题依然存在,可以选择一个更大的值.该参数的有效范围是 0x1 到 0xC (1 到 12).更多的信息请参看 Microsoft 知识库中的 ID Q198386 文章. b) SWEEP for Windows NT Update 服务 要该功能正常工作,自动升级服务必须安装为'本地系统帐户',并且选择'允许服务 与桌面交互'. c) InterCheck 日志记录 要 InterCheck 的日志记录正常工作,SWEEP for Windows NT Network 服务必须使用 可以访问 InterCheck Server 共享的帐户.如果在安装时没有选择自动升级选项,情况 可能会不是这样. 如果 InterCheck 日志记录不能正常工作,可以按照下列步骤选择一个合适的帐户: * 进入 控制面板|服务. * 选择 SWEEP for Windows NT Network 服务. * 单击 '启动...' button. * 在 '登录为:',选择 '本帐户'. * 以 域\用户 的形式输入可以进入相应的 InterCheck Server 共享的帐户. * 输入相关的密码. * 单击 '确定' 确认改变. * 停止然后重新启动本服务. d) 终端服务 要该功能正常工作,用户必须以管理员权限,将 Sophos Anti-Virus 窗口和 InterCheck Monitor 运行为终端客户机,或在控制台中运行它们. 8 兼容性问题 ------------ a) Banyan VINES 支持 请注意,除非 Banyan VINES 网络支持在计算机启动时已启动,InterCheck 不会检查远 程 Banyan VINES 驱动器上的文件. b) PATHWORKS Version 4 server Windows NT 客户机,如果使用的是 PATHWORKS 4 服务器上的中央安装目录,则可能会 反复地自动升级.该问题只出现在 PATHWORKS 4 上,之后的 PATHWORKS 版本上不会出现. c) Bay Networks (Performance Technologies) Instant Internet 由 Instant Internet 安装的 WinSock Client 的版本与 Sophos SMTP.SMM 模块之间 有冲突,这会导致 Sophos Anti-Virus 服务不能正确启动或停止. 作为暂时的解决措施,可将下列键值添加到注册表中. 键: HKEY_LOCAL_MACHINE\Software\Sophos\Sweep95\SMMS\SMTP\ 名称: No Startup Check 类型: REG_DWORD 数据: 0x1 这一暂时的措施,会使 SMTP 模块不能在启动过程中检查相应的网络传输协议.