2006-12-15 17:46:29 被缓冲区溢出保护阻挡 WORKGROUP\z C:\Program Files\Windows Media Player\wmplayer.exe::GetProcAddress bo:heap2006-12-15 23:28:35 移动失败（清除失败） MICROSOF-2E283A\z Maxthon.exe C:\Documents and Settings\z\Local Settings\Temporary Internet Files\Content.IE5\XDT9YBC1\mmq[1].js VBS/Psyme (特洛伊)2006-12-15 23:32:09 未扫描（扫描超时） MICROSOF-2E283A\z Explorer.EXE C:\WINDOWS\Driver Cache\i386\driver.cab\ELMSMC.SYS (病毒)2006-12-11 22:14:17 未扫描（扫描超时） MICROSOF-2E283A\z Explorer.EXE L:\浦东机场200608.rar\浦东机场200608.PPT (病毒)2006-12-11 19:06:51 未扫描（扫描超时） MICROSOF-2E283A\z Explorer.EXE L:\新建文件夹\msetupcn.rar\REALTEK_HD_AUDIO_R1.45.EXE (病毒)2006-12-11 19:41:33 未扫描（扫描超时） MICROSOF-2E283A\z ewido.exe C:\WINDOWS\Driver Cache\i386\driver.cab\CNLP1760.GPD (病毒)2006-12-11 19:42:07 未扫描（扫描超时） MICROSOF-2E283A\z ewido.exe C:\WINDOWS\Driver Cache\i386\sp2.cab\UNIRES.DLL (病毒)2006-12-11 20:01:49 未扫描（扫描超时） MICROSOF-2E283A\z ewido.exe D:\2\avi.rar\********.AVI (病毒)2006-12-10 22:42:53 未扫描（扫描超时） MICROSOF-2E283A\z Explorer.EXE L:\浦东机场200608.rar\浦东机场200608.PPT (病毒)2006-12-10 12:50:47 未扫描（扫描超时） MICROSOF-2E283A\z Explorer.EXE C:\WINDOWS\Driver Cache\i386\driver.cab\EL575ND5.SYS (病毒)2006-12-10 1:03:39 未扫描（扫描超时） MICROSOF-2E283A\z Explorer.EXE L:\浦东机场200608.rar\浦东机场200608.PPT (病毒)2006-12-10 1:59:51 未扫描（扫描超时） MICROSOF-2E283A\z Explorer.EXE C:\WINDOWS\Driver Cache\i386\driver.cab\EL656ND5.SYS (病毒)扫描超时是什么意思？ 被缓冲区溢出保护阻挡 是什么意思？MCAFEE阻挡之后我该做些什么？ELMSMC.SYS (病毒)这病毒MCAFEE算杀了还是没杀？我通过搜索还能找到这一文件移动失败（清除失败）（经常发生此类现象）后我该如何如何处理？我用MCAFEE扫描EWIDO时经常能同时检查出2个名为z@serving-sys[2].txt的东西通常MCAFEE只清除删除或移动一个另一个总显示未做操作不一会儿我又再一次对EWIDO进行扫描MCAFEE显示的结果是无病毒我觉得莫名了（安我的逻辑理解另一个z@serving-sys[2].txt应该还留着未动）有时我点击某一网页MCAFEE显示有特洛依该文件无法清除移动清除我得做法是立刻关闭此网页之后我该怎么办我用搜索美找到此文件这些问题我都该则么办啊？

好多、好多问题，有些我也不明白，试试看吧。关于缓冲区溢出保护，是mcafee的一种防护技术，手册上的解释是:“缓冲区溢出利用技术是一种攻击技术，它利用应用程序或进程中的软件设计缺陷强制它们在计算机中执行代码。应用程序具有大小固定的缓冲区，用于存储数据。如果攻击者向其中一个缓冲区发送的数据或代码太多，则该缓冲区会溢出。然后，计算机会将溢出的代码作为程序执行。由于代码的执行发生在应用程序的安全内容中，而这部分内容通常需要拥有较高的或管理员级别的权限才能访问，因此入侵者可以获得通常他们不能得到的执行命令的权限。攻击者可以利用这一漏洞在计算机上执行自定义黑客攻击代码，并危及计算机的安全和数据完整性。 ” 总之，缓冲区溢出是恶意代码常用的攻击方式；借助缓冲区溢出保护来阻挡溢出代码，mcafee即使没有某种病毒的特征码也能在一定程度上阻挡该病毒对系统的攻击。mcafee能对20多种最常见的进程提供保护，包括explorer,iexplorer,outlook,word等等。 日志里提示对wmplayer进行了缓冲区溢出阻挡，表明mcafee已经对溢出代码采取了操作，不需要用户作进一步处理了。 虽然恶意代码攻击会产生缓冲区溢出，但也不能排除在正常使用过程中会产生溢出，嫌麻烦的话可以把一些进程添加到排除列表里。在8.5的默认设置中，explorer wmplayer word都是在排除列表里。不管排不排除都不怎么影响使用，只是日志会有所变化，如果对系统安全要求较高的话可以不排除任何进程，将一切交给咖啡处理就ok了，不需要操太多心。

谢谢LS的回答希望能有高手能帮我回答其他的问题再次谢谢LS的朋友谢谢

关于扫描超时： 扫瞄引擎扫瞄一个文件所需要的时间取决于文件大小、文件复杂程度、处理器能力等多种因素；在文件被扫瞄时，用户无法使用该文件或服务直到扫瞄结束。如果某个文件被长时间扫瞄可能会导致用户的工作无法进行，所以所有的mcafee产品都有扫瞄时限的设置，可以在按访问扫瞄的属性里进行设置；超过时限的扫瞄将会被终止并记录在日志中。 注意：只有在按访问扫瞄中才有扫瞄时限的限制，按需扫瞄没有时限，扫描将一直进行下去直到文件扫描结束。 所以，如果按访问扫描日志中记录对某个文件扫描超时，表明在正常的扫瞄时限内无法完成对该文件的扫瞄，扫描必须结束否则会影响系统运行，日志记录只是为了提醒用户采取进一步的操作。如果用户怀疑该文件是病毒，可以单独对其建立按需扫瞄任务进行检测。

关于移动失败可以参见这个帖子，我基本上同意这些看法。http://post.baidu.com/f?kz=152875982

如果用户怀疑该文件是病毒，可以单独对其建立按需扫瞄任务进行检测。 关于这一点我想说明一下我本来就是菜鸟，我本身并不怀疑这文件是病毒只是MCAFEE扫描出来认定此文件是病毒我才有点担心的谢谢LS的帮助

对于ewido里的那两个cookies我就不太明白了，我猜想可能是这样的。 ewido是个杀木马的软件，每次查到的有风险的cookies删除不了的可能被放在ewido目录下的隔离区里了，隔离区里的东西被加了密，咖啡一般扫不出来提示无法检测，至于楼主为什么能扫瞄出来我就不太清楚了。如果真是隔离区里的cookies就不用担心了。

再问一下楼主，你的“扫描超时”的日志，是什么类型的日志？是OnAccessScanLog,还是OnDemandScanLog?

靠，一时没注意，我也成IP党了。

是OnAccessScanLog谢谢

按访问扫描就相当于实时监控，实时监控的时候由于上面提到的原因可能会出现扫描超时，mcafee虽然检测到病毒但扫描未完成所以也没采取操作。 可以找到那个文件或其所在的目录，然后点右键选择用mcafee扫描，这就是建立一个按需扫描任务，按需扫瞄不会超时。

我不装缓冲区溢出保护～～省心～