[sysshield]系统安全盾

紫狐

原帖由 freesoft00 于 2007-10-3 02:27 PM 发表
在网上找到了setacl gui 这个程序，但没找到下载，谁找到了，分享一份

这个东东网上能够找到源码，但是没编译。

freesoft00

前两天朋友的机器中毒，我看了一下，中的是威金一类的文件感染型病毒，在进程中有20几个16d.exe 还有好几个异常进程。我想用wsyscheck中的禁止这个程序运行，利用映象劫持使病毒不再运行。我选择了进程中的所有16d.exe，右键，禁止这个程序运行。不是所有的16d.exe进程结束不再运行，而是我鼠标所在行的16d.exe进程结束并禁止运行了。而其它的16d.exe还在运行着，得一个一个的禁止。是不是禁止程序运行也加一个所选进程都禁止的选项。



还有，我想能不能把wsyseheck和MyviKiller 加上命令行参数。实现自动化杀毒。


    我的设想是这样的。因为老有朋友中毒让我去杀，我看简单的病毒杀毒的基本流程都是那样。我去了也不过是用几个软件点几下鼠标，但让朋友自己操做简直比什么都难。

    往往我各个软件都写了详细的说明，按照说明一步一步做菜鸟们也做不来，最后电话联系也没弄成，虽然对我来说简单的不能再简单，但对菜鸟连如何新建文件夹都不会的。我实在是......

    我开始使用 按键精灵一类的软件把我所做的操作录下来。然后让朋友在他的机器上运行一下我录好的，就不用管了。自动回放完成所有的操作。但老是不成功。鼠标聚焦不好。说不定跑到那里了，所做的操作往往完不成。也许是我不会用这一类软件吧。（是不是用AutoIt3会好点）。所以我想要是所用到的软件支持命令行就好了。

比如我用到的软件有wsyseheck和MyviKiller和windows清理助手


我所要做的操作是禁用系统还原，删除还原点，清理系统临时文件和垃圾文件,做syscheck中快速净化所做的操作。构件一个干净的系统环境
MyviKiller扫描并修复感染的文件，可以通过参数选择修复是备份原文件否。
最后windows清理助手扫描并清除恶意文件，也可以通过参数选择是否备份原文件。至此简单的杀毒结束了。

同过批处理完成上面所有的操作，是终端用户运行一个文件就能完成所有的操作。

当然这个只适合于菜鸟用户，系统中没有什么重要资料的用户。修复吧，如果系统修瘫了。大不了从装。省的我来回跑了。给他用这个不行了。我再出马^_^


不知道王兄能否实现。

Alwayshope

厉害厉害。高手啊。学习学习

ybye

虽然安全盾都不更新，但还是忍不住经常过来看看。
用了有半年多了吧。
基本没中过毒。确实是有点强的。

freesoft00

wsyscheck 的进程选择是否可以加入象IceSword那样的鼠标拖选。有时候病毒太多的时候，二三十个，一个一个的点选太慢
模块路径 能否加入全部导出到文件的选项。比如：图中红色部分我想全部导出到文件，以备别的软件应用。现在只能一个一个复制路径。
前两天上网。中了个病毒。有好多dll文件插入到系统的所有进程中。也包括wsyscheck。别的进程中都卸载了后，就省wsyscheck中还有，使用全局卸载模块后，wsyscheck崩溃

freesoft00

近日发现IGM.EXE病毒大范围传播，很多网吧深受其害；大家务必引起重视。



目前发现该病毒不能够穿透还原，但是如果局域网内一有台中该病毒的话（如网游服务器）；整个局域网就会受到影响；甚至瘫痪



该病毒利用MAC地址欺骗进行局域网传播。木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞，用户会感觉上网速度越来越慢，掉线；甚至无法上网，同时造成整个局域网的不稳定。拦截局域网用户打开的网页。加载hxxp://ask.35832.com/main.js从上面的网站下载木马盗号器，然后打开的网页会自动关闭。



IGM 病毒特征：
进程文件：IGM 或 IGM.exe
进程位置：%windir%\
程序名称：Troj_dl.Win32.Delf.IGM
程序用途：通过IE下载其他病毒，感染文件.盗取QQ.游戏帐号密码 ==
传播方式：局域网 IE  
进程分析：该病毒修改注册表创建Run/WinSysM＝C:\WINDOWS\IGM.exe实现自启动，病毒可能在各盘符下会生成:auto.exe,autorun.inf。并可能将大量病毒模块*****MM.DLL注入进程SVCHOST.EXE开始大量下载木马病毒 木马病毒自相残杀后在临时文件夹下随机生成病毒名并运行。
igm.exe病毒中毒症状：
1.MSconfig的启动项及进程里发现IGM.EXE
2.还自动启动 保护
3.中毒的电脑 劫持路由，修改MAC，IP，并不停的向局域网机器发MAC欺骗包

生成相关文件
系统
%windir%\igm.exe
%windir%\system32\rsjzbpm.dll
%windir%\system32\racvsvc.exe
%windir%\system32\drivers\svchost.exe
%windir%\cmdbcs.exe
%windir%\dbghlp32.exe
%windir%\nvdispdrv.exe
%windir%\upxdnd.exe
%windir%\AVPSrv.exe
%windir%\DiskMan32.exe
%windir%\Kvsc3.exe
%windir%\lqvytv.exe
%windir%\MsIMMs32.exe
%windir%\system32\cmdbcs.dll
%windir%\system32\dbghlp32.dll
%windir%\system32\upxdnd.dll
%windir%\system32\yfmtdiouaf.dll
c:\program files\microsoft activesync\rapiproxystub.dll
临时文件夹下\*.exe
注册表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
     <upxdnd><%windir%\upxdnd.exe>  
     <WinSysM><%windir%\IGM.exe>  
     <NVDispDrv><%windir%\NVDispDrv.exe>  
     <DbgHlp32><%windir%\DbgHlp32.exe>  
     <cmdbcs><%windir%\cmdbcs.exe>  
     <KVP><%windir%\system32\drivers\svchost.exe>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
     <RavRuneip><%windir%\system32\RacvSvc.EXE yfmtdiouaf.dll,HHanMa>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
     <AppInit_DLLs><rsjzbpm.dll>
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
     <{22FAACDE-34DA-CCD4-AB4D-DA34485A3422}><%windir%\system32\rsjzbpm.dll>

freesoft00

插入dll文件到wsyscheck中的，就是这个病毒

ah1283328

好久没有wangsea的消息，很是想念，祝大侠考试过关，早日返回无忧。

小木头

http://free5.ys168.com/?wangsea 已有Wsyscheck 1106更新!大家可以去下载!

freesoft00

系统安全盾好象和跑跑卡叮车有冲突,开着安全盾卡叮车登陆不上,而关了就可以.看了拦截日志没有任何拦截

zjf006cn

我在导入红叶兄及文件关联的注册表是总是提示不能全部成功导入，不知为什么？
我的是1.57版本的

conky606

楼上的，暂停监控再导入就行了！

conky606

好久没来了，王兄最近复出了，所以来看看！王兄近来可好？希望你好好的，能为大家带来更好的软件！
今天偶然想到安全盾的更新问题，程序方面我想没什么好的建议了，发展到现在已经是很完善了！现在做的就是加入各种新的恶意软件列表和目录，网上到处找，呵呵！我有个建议，就是王兄能不能加入一个网络更新的模块，现在什么东西都要联网才会与日俱进。更新的网址可以自己添加，到时候设个服务器把列表放上去供大家更新就OK了。具体做法，我想能不能参考一下“360恶意网站屏蔽器”更新的做法?
这样做有很多好处，一是可以统一列表，二是普通用户可以不用手动添加，实现了免维护。
王兄觉得做么样？谢谢！

zjf006cn

系统安全盾安装时出现如下问题，有图片，
也就是导入不进去注册表，暂停监控也不行呀

zjf006cn

在线等，也许是太小白了，昨晚弄到1点多，也没弄好，达人支个招

紫狐

ls的，是否权限问题？

xubo1971

怎么我机子上装 的安全盾1.57“目录黑名单”功能好像无效。
要是安全盾能够防止恶意线程注入系统进程就好了，虽然用Wsyscheck可以清理掉这些垃圾。

wang6071

原帖由 freesoft00 于 2007-10-21 11:20 AM 发表
wsyscheck 的进程选择是否可以加入象IceSword那样的鼠标拖选。有时候病毒太多的时候，二三十个，一个一个的点选太慢
模块路径 能否加入全部导出到文件的选项。比如：图中红色部分我想全部导出到文件，以备别的 ...

这个是考虑到了导出的，方便的方法是右键加入到＂添加到重启并删除列表＂，这样你就可以很快得到一个导出的列表了。

原帖由 zjf006cn 于 2007-11-10 02:24 PM 发表
系统安全盾安装时出现如下问题，有图片，
也就是导入不进去注册表，暂停监控也不行呀

这个问题是因为导注册表时安全盾会自动暂停一下监控并自动恢复监控,由于设置的时间不是很长,所以如果点击win提示是否确定要导入时慢一点就可能导入不全,解决方案是导入失败后,不要使用界面上的导入,而是先手动暂停监控,然后进入安全盾安全盾安装目录,单击目录下的temp.reg来导入就可以了.

[ 本帖最后由 wang6071 于 2007-11-11 04:43 PM 编辑 ]

wang6071

原帖由 xubo1971 于 2007-11-11 12:11 PM 发表
怎么我机子上装 的安全盾1.57“目录黑名单”功能好像无效。
要是安全盾能够防止恶意线程注入系统进程就好了，虽然用Wsyscheck可以清理掉这些垃圾。

一般我不依赖黑名单与目录黑名单，监控设置严点就行了，我的设置如下供参考：

[ 本帖最后由 wang6071 于 2007-11-11 04:38 PM 编辑 ]

ybye

看到绿色软件站有Wsyscheck 20071111下载，赶紧来看一下，是不是wang6071 考好试了。呵呵。

ybye

原帖由 freesoft00 于 2007-10-24 10:00 PM 发表
近日发现IGM.EXE病毒大范围传播，很多网吧深受其害；大家务必引起重视。



目前发现该病毒不能够穿透还原，但是如果局域网内一有台中该病毒的话（如网游服务器）；整个局域网就会受到影响；甚至瘫痪


...

看来我同事也是中这个病毒了，明天上班去看看。

超无限

王兄不打算更新安全盾了？

xubo1971

原帖由 wang6071 于 2007-11-11 04:33 PM 发表


一般我不依赖黑名单与目录黑名单，监控设置严点就行了，我的设置如下供参考：

这个功能还是很有用的。我记得用以前的版本此功能可以正常使用的。

freesoft00

Wsyscheck和MyviKiller1.25能加上命令行运行就好了。

zhaoyun444

前几天中了毒，把机器上D，E，F盘的EXE文件全部感染了，EXE文件受到破坏无法杀毒修复，惨呀！！

就是因为系统安全盾没有禁止U盘上的程序运行，别人U盘上的程序感染了病毒，把我的硬盘的EXE文件破坏了呀！！恨！！

能不能加这个功能呀：禁止在移动设备上运行可执行程序。？？

ybye

原帖由 zhaoyun444 于 2007-11-14 09:28 PM 发表
前几天中了毒，把机器上D，E，F盘的EXE文件全部感染了，EXE文件受到破坏无法杀毒修复，惨呀！！

就是因为系统安全盾没有禁止U盘上的程序运行，别人U盘上的程序感染了病毒，把我的硬盘的EXE文件破坏了呀！！恨 ...

这病毒也挺厉害的啊。是什么病毒？

freesoft00

今天在网吧上网，机器中的病毒，cpu100%。根本就来不及让你运行wsyscheck。windows的任务管理器真的很菜，几乎在病毒面前无能为力，进程中的毒多的了不得。

这些变态的病毒和作者，咳...

瑶哥

好东西，学习了~~~~~~

emca

http://www.china-antivirus.com/Html/zuixinbingdu/82327.html
这里的那个程序SystemSword 是怎么回事？作者也改为少爷了？

freesoft00

ie 安全 项 打开修复，wsyscheck进程死掉
还有。我用系统修复又键的时候有好多时候第一次没有反映，第二次又键修复才管用