ESET NOD32 Antivirus的防护状态显示应用程序协议分析将无法进行

近期，客户服务中心和论坛上陆续有用户反映在使用ESET NOD32时出现“应用程序协议（POP3,HTTP）分析将无法正常工作”现象，如下图：

2009-02-10_123853.jpg (69.23 KB)

2009-2-10 15:38

经过ESET NOD32技术工程师的排查，发现是恶意软件清理助手（清理引擎版本1.40R（20090209）），将ESET NOD32的epfwtdir.sysy驱动文件误报为高风险恶意软件，而导致此文件被误杀。ESET NOD32的正常文件被误杀后，导致了以上错误的产生。

s.jpg (87.39 KB)

2009-2-10 15:38

我们正在联系恶意软件清理助手的作者扰中敬解决此误报，请已经受影响的用户，使用以下方法修复：

解决方法：

1、请暂停使用目前引擎版本的恶意软件清理助手。

2、卸载已经安装的ESET NOD32，重启电脑后重新安装ESET NOD32。或者使用以下专用修复工具培毁修复，修复完毕后重启缓慎电脑： http://down1.eset.com.cn/faqtools/NOD32_Repiar_Tool.exe

使用Windows *** 作系统的人有时会遇到这样的错误信息： 「“0X????????”指令引用的“0x00000000”内存，该内存不能为“read”或“written”」，然后应用程序被关闭。 如果去请教一些「高手」，得到的回答往往是「Windows就是这样不稳定」之类的义愤和不屑。其实，这个错误并不一定是Windows不稳定造成的。本文就来简单分析这种错误的一般原因。 一、应用程序没有检查内存分配失败 程序需要一块内存用以储存数据时，就需要使用 *** 作系统提供的「功能函数」来申请，如果内存分配成功，函数就会将所新开辟的内存区地址返回给应用程序，应用程序就可以通过这个地址使用这块内存。这就是「动态内存分配」，内存地址也就是编程中的「光标」。内存不是永远都招之即来、用之不尽的，有时候内存分配也会失败。当分配失败时系统函数会返回一个0值，这时返回值「0」已不表示新启用的游标，而是系统向应用程序发出的一个通知，告知出现了错误。作为应用程序，在每一次申请内存后都应该检查返回值是否为0，如果是，则意味着出现了故障，应该采取一些措施挽救，这就增强了程序的「健壮性」。若应用程序没有检查这个错误，它就会按照「思维惯性」认为这个值是给它分配的可用游标，继续在之后的执行中使用袭仔这块内存。真正的0地址内存区储存的是计算机系统中最重要的「中断描述符表」，绝对不允许应用程序使用。在没有保护机制的 *** 作系统下(如DOS)，写数据到这个地址会导致立即当机，而在健壮的 *** 作系统中，如 Windows等，这个 *** 作会马上被系统的保护机制捕获，其结果就是由 *** 作系统强行关闭出错的应用程序，以防止其错误扩大。这时候，就会出现上述的「写内存」错误，并指出被引用的内存地址为「0x00000000」。内存分配失败故障的原因很多，内存不够、系统函数的版本不匹配等都可能有影响。因此，这种分配失败多见于 *** 作系统使用很长时间后，安装了多种应用程序(包括无意中「安装」的病毒程序)，更改了大量的系统参数和系统档源链案之后。 二、应用程序由于自身BUG引用了不正常的内存光标 在使用动态分配的应用程序中，有时会有这样的情况出现：程序试突读写一块「应该可用」的内存，但不知为什么，这个预料中可用的光标已经失效了。有可能是「忘记了」向 *** 作系统要求分配，也可能是程序自己在某个时候已经注销了这块内存而「没有留意」等等。注销了的内存被系统回收，其访问权已经不属于该应用程序，因此读写 *** 作也同样会触发系统的保护机制，企图「违法」的程序唯一的下场就是被 *** 作终止执行，回收全部资源。计算机世界的法律还是要比人类有效和严厉得多啊！像这样的情况都属于程序自身的BUG，你往往可在特定的 *** 作顺序下重现错误。无效光标不一定总是0，因此错误提示中的内存地址也不一定为「0x00000000」，而是其它随机数字。如果系统经常有所提到的错误提示，下面的建议可能会有说明 ： 1.检视系统中是否有木马或病毒。这类程序为了控制系统往往不负责任地修改系统， 从而导致 *** 作系统异常。平常应加强信息安全意识，对来源不明的可执行程序绝不好奇。 2.更新 *** 作系统，让 *** 作系统的安装程序重新拷贝正确版本的系统档案、修正系统参数。 有时候 *** 作系统本身也会有BUG，要注意安装官方发行的升级程序。 3.试用新版本的应用程序。 Mode: 将虚拟内存撤换 答案: 目前为止是肯定的，也就是如在下次冷天到来时亦没再发生，就代表这是主因 追加: 如果你用 Ghost 恢复 OS 后建议 删除WINDOWS＼PREFETCH目录下所有*.PF文件因为需让windows重新收集程序的物理地址 有些应用程序错误 "0x7cd64998" 指令参考的 "0x14c96730" 内存。该内存不能为 "read"推论是此原因 源由: Win XP的「预读取」技术 这种最佳化技术也被用到了应用软件上，系统对每一个应用软件的前几次启动情况进行分析，然后新增一个描述套用需求的虚拟「内存映拍裂汪像」，并把这些信息储存到 WINDOWSPREFETCH数据夹。一旦建立了映像，应用软件的装入速度大大提高。XP的预读取数据储存了最近8次系统启动或应用软件启动的信息。 后叙: 目前此方法亦是独步网络的(其码自己针对此问题查了许久)，也是常见问题，原本几乎每天睡前

网上搜索“eset smart security ”，下载带自动获取ID的 （自动带防火墙），安装完成后，一切都是自动的 ，不用你再 *** 心了。目前最新的版本是447，搜索的时候再加上447就可以了。（如果已经安装过，不用卸载，直接安装就可亏猜毁以兆轮）。 一销备切都是免费的 ，而且特别好用。

---