防毒軟體出包！誤判系統檔案 wextract.exe 為木馬，導致系統不穩！

這幾天感覺網路變得有些不穩定，連線速度明顯下降，偶爾還會發生沒有回應、出現DNS錯誤等怪現象，因為忙，也就沒去理它；剛剛正想關切毒奶粉事件的進展時，又出現網路反應遲鈍，就

查看了一下事件檢視器(本機)的Windows紀錄，發現"應用程式"與"系統"欄之下都沒有出現任何錯誤，卻在已往從來沒出過甚麼問題的"安全性"一項看到一堆因為稽核失敗而出現的驚嘆號，出現的次數非常頻繁，根據其說明是因為..Windows\system32\drivers\tcpip.sys 檔案損毀或是經過不當修改導致無法認證而稽核失敗。

奇怪了，明明這一個月來都沒有更動過這台工作站網路相關的設定啊！tcpip.sys 也只有以往在使用 XP 或者 Vista 的作業環境之下，因為"特殊"的原因才會去更動，到了 Server 2008 就不再有更動的需要了，稽核失敗是甚麼原因呢？

回想在開始出現問題的這幾天電腦有過甚麼異常嗎？啊~~想起來了！前幾天 Outpost Security Suite Pro 2009 曾經出現提示，說在執行例行系統安全掃描時發現木馬/間諜檔案，且已經隔離。因為 Outpost 會定期掃除具有安全疑慮的 cookies，這些檔案也會被當成木馬/間諜，所以很少去注意；但是之前有個叫 wextract.exe 的檔案也被當成木馬隔離了，這個是 Windows 用來解自家壓縮檔用的系統工具，當時被 Outpost 判定是木馬時，我還用線上掃毒工具 VirusTotal 檢查過，結果當時36種掃毒引擎只有一家判定這是木馬工具，雖然我不大認為這是木馬，但既然除了 Outpost 還有別家防毒軟體也判定這是木馬，那就相信專業，讓它隔離吧。

趕緊去找被隔離區這個檔案，挖哩，已經被刪除掉了！

只好到 mureen 的工作站去借這個檔案，都是 Server 2008 x64的版本，這種系統工具軟體微軟也不會無聊到還去為每個系統做出不同的版本，還原之前先再次用 VirusTotal 掃一掃，奇怪，這次掃描結果是 0/36，檔案安全無慮，再用 Outpost 掃描，一樣 OK！讓它物歸原"處"之後，果然！事件檢視器裡安全稽核失敗的問題消失了！

用 Google 搜尋一下，顯然防毒軟體誤判系統檔案 wextract.exe 為木馬，而將之隔離或刪除已不是頭一遭，兩年前代號"灰鴿子"的國產木馬/病毒就會感染 wextract.exe，防毒軟體刪除受感染的檔案之後解決的辦法是利用系統安裝光碟復原這個檔案。