在使用360系统急救箱（也就是之前的360顽固木马专杀大全）扫描木马的时候，发现一个可疑的文件CVPNDRVA.sys，360报告为病毒木马程序，可以隔离清除。扫描信息如下：
文件名称:CVPNDRV.SYS
公司名称:Cisco Systems, Inc.
文件描述信息:Cisco Systems VPN Client IPSec Driver
名称:AutoRuns 类别:可疑启动项
文件路径:C:\WINDOWS\system32\Drivers\CVPNDRVA.sys
修复情况:禁止自启动
注册表路径:SYSTEM\CurrentControlSet\Services\CVPNDRVA
注册表的项名:ImagePath

可以看出这个CVPNDRVA.sys文件是思科的VPN拨入客户端的相关驱动文件，那到底这个文件是否为木马呢？sys后缀的文件一般都是系统文件，但是好多病毒木马就是利用这一点伪装成系统文件，在C:\WINDOWS\system32\drivers这个目录存放了系统和相关软件的驱动文件都是sys格式。
Cisco VPN Client之前有一个拒绝服务器攻击的漏洞就涉及到CVPNDRVA.sys这个文件，制定输入缓冲区大小小于8+31字节，可导致本地内核非页面池METHOD_BUFFERED被通过内联memcpy的非法内核内存破坏。思科官方对这个漏洞一直没有提供解决方案。由此可以看出360系统急救箱报CVPNDRVA.sys木马应该是和这个文件存在漏洞有关。我尝试删除这个CVPNDRVA.sys这个文件，然后启动Cisco VPN Client没有发现任何问题，但是不排除产生非预知性错误，请酌情尝试，注意备份文件。