Sophos Anti-Virus for Windows NT/2000/XP/2003 發佈說明
----------------------------------------------------------------------------

版本        ：3.88.0
病毒引擎版本：2.26.0
病毒資料版本：3.88，2004 年 12 月

www.sophos.com


目錄
----

1 本版本最新改進項目
2 有關 MailMonitor 用戶的重要資訊
3 總體說明
4 附加資訊
5 先前版本的資訊
6 已發現的問題
7 解疑排難
8 相容性問題


1 本版本最新改進項目
--------------------

* 在之前，Sophos Anti-Virus 在正確報告和 Alternate Data Streams (ADS) 有關聯且內含
病毒的檔案與資料夾方面會產升若干問題， 此項問題已獲得修正。此項問題只會
影響 NTFS 檔案系統。

如欲瞭解更多關於 NTFS 的 ADS 功能，請參閱：

http://support.microsoft.com/kb/105763

根據預設值，軟體的 ADS 掃描功能為關閉。如要啟用該功能，請建立以下鍵值：

鍵值： HKEY_LOCAL_MACHINE\SOFTWARE\Sophos\ADVANCED
值名稱：Scan Streams
型態：      REG_DWORD
資料：       0x00000001

* 已對 Sophos Anti-Virus 安裝程序進行修改，修改為刪除任何系統以及用戶 Temp
資料夾中名稱為 DELST??.TXT 的檔案。此修改為本次升級中的一部分。

請注意： 此項修改在將來只會影響所建立的暫時檔案。現有的 DELST??.TXT 仍然
必須以手動方式予以刪除。

* 之前的版本在掃描包含雙重位元字元的資料夾時會產生問題，此項問題已獲得修正。
 此項修正僅適用於被指定以即時掃描或排程掃描對其進行掃描的資料夾。

* 最新的病毒資訊


2 有關 MailMonitor 用戶的重要資訊
---------------------------------

MailMonitor 的用戶在升級到新版本的 Sophos Anti-Virus 後應該進行以
下步驟：

a) MailMonitor for SMTP

   MailMonitor for SMTP 版本 1.2.0 (或以上) 的用戶在升級到本版本的
   Sophos Anti-Virus 後無需進行其他操作。使用 MailMonitor 1.2.0 之前
   版本的用戶， 建議升級到當前版本。

   不升級 MailMonitor 的用戶必須在升級到本版本的 SophosAnti-Virus
   後，重新啟動 MailMonitor for SMTP 服務。

b) MailMonitor for Exchange

   在升級到本版本的 Sophos Anti-Virus 前，MailMonitor for Exchange
   2000 的用戶應該確保使用的是 1.0.1 (或以上)版本的 MailMonitor for Exchange
   2000。

c) MailMonitor for Notes/Domino

   請在 Domino 伺服器視窗輸入以下內容：

     tell savdb quit
     tell savmail quit
     load savdb
     load savmail


3 總體說明
----------

a) 檔案庫文件類型

   掃描檔案庫文件之功能並非為預設值。若要使用檔案庫文件掃描功能，請在 Sophos
   Anti-Virus 中選取 [掃描內部檔案庫文件] 選項。掃描時間長短視檔案庫文件類型
   數量而定。

   選取檔案庫文件掃描功能後便能開始掃描 ARJ、 CMZ、GZIP、RAR、 RAR3，
   TAR、ZIP、LHAUUE、LZH、BZip2、Stuffit、InstallShield CAB 等類型的檔案
   、以及其自動解壓縮檔案和 Zipmail 檔案、壓縮的說明文件和用MS Compress
   壓縮的檔案。

   只有在選用檔案庫文件掃描時，自動解壓縮檔案才會被當作檔案庫
   文件掃描。否則它只會被當作可執行檔案來掃描。

   如果同時選取檔案庫文件掃描和 Macintosh 病毒掃描選項，則 BinHex 和
   MacBinary 檔案亦會被掃描。

   唯有Unix ELF 文件的副檔名在可執行檔案列表中，或者選取了 [掃
   描所有檔案] 選項兩種情況下，Unix ELF 檔案才會被掃描。

b) 檔案副檔名列表

   即時掃描和排程掃描兩項功能之預設值設定為自動掃描具有下列
   檔名的檔案：

   ...，386，3GR，ADD，ASP，BAT，CHM，CMD，COM，CPL，DBX，DLL，
   DMD，DOC，DOT，DRV，EML，EXE，FLT，FON，FOT，HLP，HT?，HTA，
   HTML，I13，IFS，INI，JS，JSE，LNK，MOD，MPD，MPP，MPT，MSO，
   NWS，OCX，OV?，PDF，PDR，PIF，PL，POT，PPS，PPT，PRC，RTF，
   SCR，SH，SHB，SHS，SRC，SWF，SYS，VB?，VXD，WBK，XL?


4 附加資訊
----------

下列的建議事項可能需要使用註冊表編輯器(REGEDT32.EXE)。Microsoft 曾發佈
過有關註冊表編輯器的下列警告：

“不正確使用註冊表編輯器會導致嚴重的系統問題。為此您可能必須要
  重新安裝Windows 95/98/Me 來加以解決。Microsoft 無法保證可以解決使用
  註冊表編輯器所導致的所有問題。使用註冊表編輯器的一切後果請您自行
  負責。”

a) 系統要求

   本版本的 Sophos Anti-Virus for Windows NT/2000/XP 的系統需求為 Windows
   NT 4.0 或以上的版本。它無法在 Windows NT 3.51 上執行。

b) InterCheck 升級後的重新啟動

   從之前版本的 Sophos Anti-Virus for Windows NT/2000/XP 升級後，如果 InterCheck
   驅動程式已經升級，則系統必須在重新啟動之後，新的InterCheck 驅動程式才能
   啟動。在升級完成之後，不一定要立即重啟動系統。InterCheck 會繼續正常運行，
   在下次重新啟動系統後，新的功能將會被啟動。

c) 安裝

   [安裝/升級] 的優先權高於工作站安裝，也就是說，[安裝/升級] 功能不會因為
   某一工作站正在進行升級檢查或升級而不起作用。

   本安裝程式已添加以下幾個命令行限定符：

     -a                                     非互動式安裝
     -updaccount=                  域\用戶名\密碼    升級帳戶資訊
     -ni                                    非互動式升級
     -in                                    隱形升級程式
     -inl                                   隱形載入


   在終端客戶進程運行安裝程式：

   如果您要在終端客戶進程執行安裝程式，請確保沒有任何其他進程正執行
   安裝程式。


d) 'Terminal Server' 和 'Citrix MetaFrame'

   執行 Terminal Server 或 Citrix MetaFrame 時，您可以在終端客戶視窗
   中執行 Sophos Anti-Virus 視窗和 InterCheck Monitor。每次只能有
   一位用戶執行 Sophos Anti-Virus，而且必須以管理員許可權登錄。

  Sophos Anti-Virus 視窗中的 SAVI 標簽頁中如今可以確實報告出
  執行於終端客戶的SAV Interface 應用程式。

e) 訊息發送子系統

   將下列鍵值添加到註冊表中，便可遮罩 InterCheck Client 關閉時顯示
   的桌面資訊：

     鍵:         HLM\SOFTWARE\Sophos\SweepNT\SMMs\Desktop.smm
     名稱:       Shutdown Message Action
     類型:       REG_DWORD
     資料:       0x0000000F

   將下列鍵值添加到註冊表中，可以強制 SMTP SMM 以 MIME 編碼附
   件的形式發送報告：

     鍵:        HLM\SOFTWARE\Sophos\Sweep95\SMMs\SMTP.smm
     名稱:      Mime Encode
     類型:      REG_DWORD
     資料:      0x00000001

   將下列鍵值添加到註冊表中，將可略過對離線儲存文件的報告：

     鍵:        HLM\SOFTWARE\Sophos\ADVANCED
     名稱:      REPORT_OFF_LINE_FILES
     類型:      REG_DWORD
     資料:      0x00000000

   將下列鍵值添加至註冊表中，將可略過對加密文件的報告：

     鍵:        HLM\SOFTWARE\Sophos\ADVANCED
     名稱:      REPORT_PASSWORD_ENCRYPTED
     類型:      REG_DWORD
     資料:      0x00000000

f) 與離線儲存文件的交互對話

   在進行即時和排程掃描時，Sophos Anti-Virus 並不會檢出並掃描標示
   為離線儲存的檔案。但將下列鍵值添加到註冊表中，便可使該預設值
   不起作用。

     鍵:        HLM\Software\Sophos\ADVANCED\
     名稱:      SCAN_FILES_IN_HSM
     類型:      REG_DWORD
     資料:      0x00000001

   在進行即時和排程掃描時，Sophos Anti-Virus 會重設檔案最近一次的
   讀取時間。但將下列鍵值添加到註冊表中，可以使該預設值不起作用。

     鍵:        HLM\Software\Sophos\ADVANCED\
     名稱:      RESET_LAST_ACCESSED_TIME
     類型:      REG_DWORD
     資料:      0x00000000

g) 處理日誌文件

   日誌文件有可能會變得十分龐大。在執行服務時，刪除 SWEEP.LOG 文件
   是不可能的。不過如果改變了SWEEP.LOG 文件的路徑，原先的文件便可
   以刪除。

h) SNMP 通知

   SNMP 陷阱產生之時有一個訊息通報模組可以用來通報。可能的陷阱模式
   有四種，其物件識別號(OIDs)如下：

     1.3.6.1.4.1.2604.2.1.1.1.1  病毒警告
     1.3.6.1.4.1.2604.2.1.1.1.2  錯誤訊息
     1.3.6.1.4.1.2604.2.1.1.1.3  資訊通告
     1.3.6.1.4.1.2604.2.1.1.1.4  測試陷阱

   每個陷阱都帶有一組 SAV 版本的字串以及一組發出不同警告資訊的字串。

   資料的物件識別字(OIDs)如下：

     1.3.6.1.4.1.2604.2.1.1.2.1.1  病毒警告文本
     1.3.6.1.4.1.2604.2.1.1.2.1.2  錯誤資訊文本
     1.3.6.1.4.1.2604.2.1.1.2.1.3  資訊通告文本
     1.3.6.1.4.1.2604.2.1.1.2.1.4  測試陷阱字串
     1.3.6.1.4.1.2604.2.1.1.2.2     版本字串

   注意：遠端查詢 Management Information Base 的資料是不可能的，資料
   只能從陷阱的內容中取得。

i) 病毒資訊

   每當查詢關於病毒的資訊時，用戶會被導引至 Sophos 網站以獲得最
   新、最準確的資訊。


5 先前版本的資訊
----------------

 2004 年 11 月 (3.87)

* 對 Zip 檔案的處理能力已獲得改善

* 一項應用程式在 Sophos Anti-Virus 升級期間會試圖關閉 Windows，
此種情形已經獲得改善。該應程式已不會再試圖估關閉視窗，升級
程序得以順利完成。

* 如果 Sophos Anti-Virus 安裝程式開始執行時，SAV32CLI 正在執行，
  SAV32CLI 現在便會自動關閉，以免使得安裝程序懸置。

* 安裝程序中一項問題已獲得修正。如果中央安裝目路已經建立在一
項伺服器內，則當Sophos Anti-Virus 安裝於工作站上後，根據預設值，
只有 "InterCheck Client (以及 "Intercheck Server") 在安裝時才會被選取。

* 已經對配置對話框進行一項相當小的修正。如果取消點選 "掃描信箱"，
"消除信箱病毒" 即會關閉。

*  讀取掃描將 Microsoft Office 文件存入 Netware 共享時會產生問題，該項
問題已獲得修正。當掃描器設定為 "寫檔時" 掃描檔案，便會發生此項問
題。 

  您必須在將 Sophos Anti-Virus 升級至版本之後重新開機，才能使此項變更
  生效。自動升級亦是如此。

  在升級 Sophos Anti-Virus 之後，如果您遭遇到效能下降的問題，或者當您
  試圖將 Excel 試算表儲存至 Windows 共享時發生問題，請您依照 6g 部分的
  指示內容進行操作。


2004 年 10月 (3.86)

* 檔案名稱副檔名 .MD? 已經從預設掃描的檔案型態列表中移除。

* Sophos Anti-Virus 版本是以0.0.0 的形式紀錄於 Window 登入檔，會造成 SAVAdmin
  報告電腦已安裝 Sophos Anti-Virus。此問題已獲得修正。

  登入檔以及 SAVAdmin 現在應已可正確報告出版本為 3.86.2。

* 版本型號

  之前的病毒資料版本型號是用來作為標示 Sophos Anti-Virus 整體產品的型號之用。
  比方說：


  產品版本：3.85，2004 年 9 月

  從今以後，整體產品會擁有一個不同的產品型號，如此一來，在更新病毒資料
  型號時，整體產品的版本型號便不需要跟著改變。

  產品版本：3.86.0
  病毒資料版本：3.86, 2004 年 10 月

* 對於 Outlook Express 的處理能力已獲得改善

* SMTP 電子郵件警示已獲得修正

  在變更一項不具備已安裝的 Client for Microsoft Networks 的 Window 系統電腦
  名稱時會發生問題，該問題已獲得修正。在此之前，此項動作會造成錯誤
  的電腦名稱會被當作 SMTP 郵件警示的主題。

* 在之前，當安裝程式以指令行限定符 "confi=4" 執行完畢後時，(請勿在安裝完成
  之後重新開始此一功能) SAV Interface 無法正確地重新註冊。此項問題已獲得修正。

* 安裝程式已獲得改進，現在如果您將讀取掃描回復到較早的版本，已安裝的版本以及
  回復版本之間的不相容性便會減至最低。

* Window XP 系統上的 Windows Security Console 有時會無法正確顯示 Sophos Anti-Virus
  安裝狀態，此項問題已獲得修正。

* Citrix 客戶磁碟機映射的讀取掃描

  如果 Citrix Mataframe 用戶在某個通信期內映射本機磁碟，現在這些磁碟便可透過伺服器上
  的 Sopho Anti-Virus 掃描。這表示您不需要再將 Sophos Anti-Virus 安裝在客戶端電腦上。

  SAV Interface 物件及安裝程式之間互動時，在極為罕見的情況之下，可能會造成安裝程序失
  敗，這項問題已經獲得修正。

* 遭鎖定的 DLLs 會影響安裝程示運行，此項問題已獲得修正。

  有時候，安裝程式會受到鎖定的 DLLs 影響而無法順利運行。已對安裝程式以及 Sophos Anti-Virus
  進行若干修正，大為減低發生此種狀況的可能性。

2004 年 9 月 (3.85)

* 對於 PDF、RAF 與 HTML 檔案的處理能力已獲得改善

* 對於 Access 資料庫的掃描能力已獲得改善

* 在 "略過周遊檢查" 用戶權限移除之後，Sophos Anti-Virus 仍可在
  Window XP 系統的電腦上正常運行。

* 排除檔案列表現在已可容納多達 126 個項目。

* 讀取掃描已獲得改善

  當在整個網路上以讀取掃描掃描感染病毒的檔案時，會造成運行效能
  下降，此項問題已獲得修正。只有使用 Windows XP Service Pack 2
  的用戶才會受到影響。

  在漫遊的配置文件儲存於 NetApp 檔案夾中的狀況下進行登出時
  ，會發生問題。讀取掃描此項問題已經獲得修正。錯誤可在 NetApp
   Data ONTAP 6.4.3 與 6.4.4R1 版本(不僅限於該兩種版本)中見到。
  此項問題只有在 Windwos XP 工作站上執行特定的 Microsoft Redirector
  Hotfix (KB321936) 以及讀取掃描設定為 "寫入時" 掃描時兩種情況下才會
  生效。

  在將 Sophos Anti-Virus 升級至本版本時，您必須重新啟動電腦，以便
  使這些變更生效。這些變更同樣適用於自動升級。


6 已發現的問題
--------------

a) NetWare Server 和 Windows 2000 工作站

   倘若中央安裝目錄是基於 NetWare Server，要在 Windows 2000 的電腦
   上運行安裝/升級程式時便會產生問題。

   假使需要將新的 IDE  文件放到基於 NetWare Server 的中央安裝目錄
   (CID)中，並需要在Windows 2000 工作站上執行安裝和升級時，應該
   用下列的指令行代替通常用的命令：

     setup /update /srcpath=\\netwareserver\cidpath

   這裏 \\netwareserver\cidpath 是 CID 完整的 UNC 路徑。

b) SAV32CLI 與安裝程式

   在啟動安裝程式時，如果 SAV32CLI 也正在執行，安裝便會失敗。暫時的
   權宜之計是關閉SAV32CLI 後再執行安裝程式。

   SAV32CLI 目前的幫助說明沒有指出新添的可用選項 (特別是 -cdr 和 -oe 項)。

c) InterCheck Server 與 Windows 2000

   在 Windows 2000 系統上進行安裝時，預設值為自行安裝InterCheck Server。在安
   裝過程中，如果沒有必要安裝InterCheck Server，便應該要將其勾選刪除。

d) 倘若您需要在終端伺服器上安裝 InterCheck Server ，InterCheck Client 也應
   該同時安裝。但之後安裝 InterCheck Server時，便不需要同時安裝InterCheck Client。

e) 在 Window XP 系統上升級Norton Anti-Virus
   假使您試圖在一台未曾在任何 Window 網絡資源中連結，且安裝有 Window XP 系統
   的電腦上安裝或是升級至本版本的Sophos Anti-Virus，倘若以下所有情況全部出現，
   安裝以及升級便不會成功：

   * 用戶正在執行2003年 (3.73) 版本或者先前版本的 Sophos Anti-Virus 或 InterCheck Monitor。
   * 當使用者登入電腦時，另外還有第二名使用者登入電腦。
   * 第二名使用者在電腦上安裝本版本 Sohos Anti-Virus，或者從 2003 年九月或之前的版本
       升級至本版本。



   一旦以上情形發生，當安裝程序開始複製安裝檔案時，便會顯示以下訊息：

   Error creating file C:\Program Files\Sophos Sweep for NT\SHRDRES.DELL"

   請點選 [終止]。設置程序則會顯示如下訊息：

   "Sophos 設置無法完成安裝步驟。"

   接著請點選 [退出]。


   為使安裝及升級得以順利進行，請您進行以下步驟：
   對於所有在電腦上使用 2003 (3.73) 年 9 月或更早版本 Sophos Anti-Virus 或
   InterCheck Monitor 的用戶，請先將其關閉。隨後再繼續進行安裝或升級的
   動作。

f) 假如自動安裝是 Sophos Anti-Virus 視窗或 InterCheck Monitor在終端伺服器上
   執行終端客戶進程時開始進行，安裝程序可能會凍結，Sophos Anti-Virus 視窗或
   InterCheck 可能也無法重新執行。安裝程序將會完成升級動作，用戶可以經由
   Task Manager 關閉安裝，以及/或者手動開啟 Sophos Anti-Virus 或 InterCheck。

g) 如果您使用 Windows 2000 或以上版本，並將讀取掃描配置為 "寫檔時" 掃描檔案，
  在您將 Microsoft Office 文件儲存至 Windows 網路共享時，可能會遭遇到運行緩慢的
  問題。若要解決此項問題，您應該關閉 Windows 用戶端的快取程序。該項問題可用
  下列兩種方式解決：

      *關閉工作站上的伺機鎖定功能。
      *關閉共享所在位置的伺機鎖定功能。

  如欲瞭解如何進行以上操作，請參閱 Microsoft 知識庫文章 296264 號： " 配置 Windows
  系統中的配置伺機鎖定"
  (http://support.microsoft.com/default.aspx?scid=kb;en-us;296264)。

  您必須重新啟動電腦，以便使這些變更生效。


7 解疑排難
----------

a) 從遠端電腦進入網路共享出錯

   在完成安裝 Sophos Anti-Virus for Windows NT/2000/XP 後，您有可能會在
   從遠端電腦進入網路共享時遭遇困難，您還可能會收到如下的告知錯誤訊息：

     "缺乏足夠的伺服器儲存可用來處理該項指令。"

     "缺乏足夠的記憶體可用來完成傳輸，請關閉一些應用程式後再試。"

   此外，Windows NT 伺服器可能會將下列一個或兩個事件消息記錄到
   系統日誌中：

     事件 ID    ： 2011
     來源       ：Srv
     描述       ：伺服器的配置參數 "IRPStackSize" 太小，伺服器無法使用
                         當地驅動器。請增加該參數的值。

     事件 ID    : 0
     來源       : Srv
     描述       : 無法找到事件 ID 0 的描述。它包含字串 \device\LanManServer.

   這是 Windows NT 伺服器配置設定的限制。如要解決此項問題，須用
   下列的註冊登錄專案。

     鍵:
     HLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters\
     名稱:      IrpStackSize
     類型:      REG_DWORD
     資料:      0x6

   您可以用 REGEDT32 在註冊表中修改或創建該專案。您需要重新啟動
   系統，才能使改變生效。如果問題依然存在，您可以選擇一個更大的值。
   該參數的有效範圍是 0x1 到 0xC (1 到12)。更多的資訊請參看 Microsoft Knowledge Base
   文章 ID Q198386。

b) SWEEP for Windows NT Update 服務

   要使該功能正常運作，自動升級服務必須要安裝  [本地系統帳戶]，並且選
   擇 [允許服務與桌面交互對談]。

c) InterCheck 日誌記錄

   要使 InterCheck 的日誌記錄正常運作，SWEEP for Windows NT Network 服務
   必須使用可以進入 InterCheck Server 共享的帳戶。如果在安裝時沒有選擇
   自動升級選項，Intercheck 便可能無法正常運作。


   如果 InterCheck 日誌記錄無法正常運作，可以按照下列步驟選擇一個
   合適的帳戶：

     * 進入 [控制面板服務] 選項。

     * 選擇 [SWEEP for Windows NT Network 服務] 選項。

     * 點選 [啟動...] 鍵。

     * 在 [登錄身分：] 欄中選擇 [本帳戶]。

     * 以 域\用戶 的帳戶形式輸入可以進入相應的 InterCheck Server 共用帳
        戶。

     * 輸入相關的密碼。

     * 點選 [確定] 確認改變。

     * 停止後重新啟動本服務。

d) 終端服務

   要使該功能正常運作，用戶必須以終端客戶機或在控制台中以管理員
   許可權執行 Sophos Anti-Virus 視窗和 InterCheck  Monitor。


8 相容性問題
------------

a) Banyan VINES 支援

   請注意：除非 Banyan VINES 網路支援在電腦啟動時已啟用，否則InterCheck 不
   會檢查遠程 Banyan VINES 驅動器上的文件。

b) PATHWORKS Version 4 server

   如果Windows NT 用戶機使用的是 PATHWORKS 4 伺服器上的中央安裝目錄，
   可能會持續地自動升級。該問題只出現在 PATHWORKS 4 上，之後的PATHWORKS
   版本上並不會出現。

c) Bay Networks (Performance Technologies) Instant Internet

   由 Instant Internet 安裝的 WinSock Client 的版本與 Sophos SMTP.SMM 模組
   之間所產生的衝突可能會導致 Sophos Anti-Virus 服務無法正確啟動或停止。

   您可將下列鍵值添加到註冊表中作為暫時的權宜措施。

     鍵:        HKEY_LOCAL_MACHINE\Software\Sophos\Sweep95\SMMS\SMTP\
     名稱:      No Startup Check
     類型:      REG_DWORD
     資料:      0x1

   此項暫時的權宜措施可制止 SMTP 模組在啟動過程中自動檢查相應的網路
   傳輸協定。

                               ----------------