深山红叶启动光盘（WinPE＆PE Builder）讨论专帖[另开主题一律删除]

wang6071

有没有人尝试过用3721的修复实名删除cnnic,然后再删3721?
http://help.3721.com/activewlsm/fix.html
修复实名
如果您发现自己计算机中的网络实名功能不能使用了，这是因为网络实名功能受到了破坏。当您安装了CNNIC通用网址控件和百度IE搜索伴侣控件以后，就可能会出现此问题。
为了保证修复的效果，在修复网络实名功能之前，3721网络实名开启及修复工具将会删除 CNNIC通用网址控件、百度搜索伴侣控件，然后修复网络实名的功能。网络实名开启及修复工具可以通过控制面板中的“添加/删除程序”完全卸载。
如果准备修复网络实名功能，请下载3721网络实名开启及修复工具，并在本地电脑中运行。
（软件大小 159K，用 56K Modem 下载约需要 1 分钟运行以后，即可修复）
  

rightt

楼上的主人主意实在不错！！

emca

下面引用由wang6071在 2005/06/07 07:53pm 发表的内容：
有没有人尝试过用3721的修复实名删除cnnic,然后再删3721?
http://help.3721.com/activewlsm/fix.html
修复实名
如果您发现自己计算机中的网络实名功能不能使用了，这是因为网络实名功能受到了破坏。当您安装了C ...

饮鸩止渴，引狼入室！！这位兄台不会是 3721 的人吧（开玩笑哦），哈哈

emca

[这个贴子最后由emca在 2005/06/07 08:50pm 第 1 次编辑]

我把前面楼上兄弟的引用转过来吧（简单整理一下），那个坛子不方便注册的：
------------------------------------------------------------
大家把上述内容转给你 QQ好友 及 QQ群中的所有人吧！
您知道您的电脑为什么无缘无故越来越慢吗？
您知道您的隐私被早已出卖了吗？
您知道世界上还有一类新崛起的“插件病毒”吗？
经我们测试，中了三个插件病毒后，系统资源占用上升 60%，
系统稳定性下降，网速下降 30%！
↓↓以下垃圾软件捆绑有大量插件病毒，请勿安装!!↓↓
电脑万能专家  PC防改精灵
网络在线电视专家  脑筋急转弯
全国城市天气预报  手机邮编区号等万能查询
QQ密码防盗专家  QQ自动聊天器
电脑万能加锁专家  私人文件夹
私人驱动器  木马分析专家
电脑防删专家  窗体属性修改专家
电脑定时锁定专家  网吧在线安装系统 (预览)
2000/XP密码查看器  网吧计费专家
EXE文件加密器  全国邮编区号速查
QQ防盗外挂  QQ头像永远在线器(过时)
鼠标自动点击器  EXE文件合并器
虚拟桌面  IE浏览器防改精灵
RM电影修复专家   音乐电子琴
个人网页(Web)服务器   QQ消息验证群发器
E话通密码寻回者  教师工作资源
手机查询吉祥算  Access密码分析器
QQ游戏对对碰外挂  热键专家
连连看3外挂  内存整理
音乐不断网络电台   虚拟硬盘大师
QQ算命   IE修复免疫专家
免费电影专家  QQ在线查看发送精灵
英语朗读复读机  手机短信炸弹
QQ视频非接不可   软件魔法师
★以上垃圾不少出自衡阳水晶情缘软件工作室——正宗垃圾软件制造工作室★
大家把上述内容转给你 QQ好友 及 QQ群中的所有人吧！
--------------------------------------------------------

krell

红叶兄说的对，早发现那个衡阳水晶情缘软件工作室的软件都有捆绑很多垃圾。
万一想用他们的软件的时候，在下载后不要直接运行，点右键用WinRAR解压出来，（它的软件就是WinRAR的自解压自运行文件），将主运行文件留下，其它的全部删除。呵呵，看他怎么捆绑。

wang6071

[UploadFile=1_1118151270.jpg][UploadFile=2_1118151286.jpg][UploadFile=6_1118151301.jpg]
实在不行的话，兄弟们还是用我的那个注册表监视器来挡一阵子。
针对emca说玩笑：
饮鸩止渴，引狼入室！！这位兄台不会是 3721 的人吧（开玩笑哦），哈哈
因偶的机器上没有3721,刚才的提议也未经测试，所以偶下了一个3721安装(98下测试),看来它说的什么清除也未见作用，但同时也测试了偶的注册表监视器对新版的3721还是能控制住的。
图一：
    3721成功安装，但我的注册表监视软件实时地删除了它加在启动组中的东西。
图二：
    关闭3721安装成功的对话框，打开我的注册表监视器，看到启动项中并无3721的启动程序，证明确实删除了它加在启动组中的东西。
图三：
    重启，打开IE工具栏，由于3721仅是安装成功而没有启动，所以工具栏中并无上网助手。
    查看添加删除程序，列表中有3721,可以直接卸载了。测试结束。

wang6071

[UploadFile=7_1118151608.jpg]
另外 ，关于实时监测的资源占用并不利害，请看下图：
偶可是开了金山毒6的实时监测及一些必要的软件的情况且，cpu使用也仅为11%

xiamenatc

楼上的你用的是98吗？
用2K或者XP系统再试试吧。

推士机

偶在多数菜鸟的机器上都装了wang6071兄弟的“变化监视”，是有一定效果滴。不过偶认为从“反黑精英”（Trojan Ender）中提取的TERegPct（注册表保护器）效果更好

wang6071

下面引用由推士机在 2005/06/07 09:56pm 发表的内容：
偶在多数菜鸟的机器上都装了wang6071兄弟的“变化监视”，是有一定效果滴。不过偶认为从“反黑精英”（Trojan Ender）中提取的TERegPct（注册表保护器）效果更好

请兄弟给出一个 TERegPct（注册表保护器） 下载地址学习学习。

推士机

下面引用由wang6071在 2005/06/07 10:02pm 发表的内容：
请兄弟给出一个 TERegPct（注册表保护器） 下载地址学习学习。

[UploadFile=D7A2B2E1B1EDB1A3_1118153171.rar]
[UploadFile=D7A2B2E1B1EDB1A3_1118153196.rar]
[UploadFile=D7A2B2E1B1EDB1A3_1118153217.rar]

推士机

[UploadFile=D7A2B2E1B1EDB1A3_1118153306.rar]
[UploadFile=D7A2B2E1B1EDB1A3_1118153319.rar][UploadFile=D7A2B2E1B1EDB1A3_1118153332.rar]

推士机

下载后分别改名为1、2...6解压即可使用

wang6071

[这个贴子最后由wang6071在 2005/06/07 10:37pm 第 1 次编辑]

谢谢推土机兄弟。
试用了一下，感觉这款软件的工作原理与我的那个工作原理是一样的。但不明白为什么它多用了那两个dll,起何作用?
请推土机兄弟讲讲使用后的感觉。（因偶刚试用，不太了解它的优点在哪里）
另外，它好象只监视了run键，对RunServices等运行键值未做监视。
还有一点，请试用的兄弟们删掉压缩包中的RegDat.Sys,那是推土机兄弟机器的配置文件。

emca

我现在的目的是想从根本上解决这个问题。如果您有一点点动手能力，我建议把必须安装的、驻留后台的程序装好后，把那些自动加载的注册表键项全部设置为只读；再在硬盘上创建若干与典型插件安装目录相同的目录名，把访问控制列表权限设置为Everyone拒绝。这样不必使用任何后台驻留程序，因为根本无法落地生根，它有本事安装就让它装吧！只是对于已经感染插件病毒的系统，上述做法则必须先进行极其困难的清除操作！

wang6071

下面引用由emca在 2005/06/07 10:33pm 发表的内容：
我现在的目的是想从根本上解决这个问题。如果您有一点点动手能力，我建议把必须安装的、驻留后台的程序装好后，把那些自动加载的注册表键项全部设置为只读；再在硬盘上创建若干与典型插件安装目录相同的目录名， ...

偶谈一点看法：
   硬盘上创建若干与典型插件安装目录相同的目录名
   这个不太好办呀，如出3721新的安装程序已经改进了安装的位置与程序名这么一来就得跟着他的程序变啦。今天3721变，明天搜霸变，如保解决呢?
   另外，注册表项设只读也只能在xp机器才行呀。
   对于已中毒的，要彻底删除确实不易，希望能有更好的方案。

clwx

下面引用由wang6071在 2005/06/07 10:43pm 发表的内容：
偶谈一点看法：
   硬盘上创建若干与典型插件安装目录相同的目录名
   这个不太好办呀，如出3721新的安装程序已经改进了安装的位置与程序名这么一来就得跟着他的程序变啦。今天3721变，明天搜霸变，如保解决呢?
...

敌变我也变...不怕他...兵来将挡 水来土囤~~~~

z11843730

用PE盘克隆，随时可以恢复。
我痛恨垃极插件。

紫狐

下面引用由wang6071在 2005/06/07 10:32pm 发表的内容：
谢谢推土机兄弟。
试用了一下，感觉这款软件的工作原理与我的那个工作原理是一样的。但不明白为什么它多用了那两个dll,起何作用?
请推土机兄弟讲讲使用后的感觉。（因偶刚试用，不太了解它的优点在哪里）
另外， ...

你的版本能不能再增强些？就是增加可以自己添加监控内容。

wang6071

下面引用由紫狐在 2005/06/08 10:58am 发表的内容：
你的版本能不能再增强些？就是增加可以自己添加监控内容。

当初做这个软件时偶是怕监控太多了对系统有影响，所以写好后一直未改动。
偶自已和朋友都用了N久了，看来资源占用与稳定性都不是个问题，过段日子放个改进版，可自定义的上来。

紫狐

下面引用由wang6071在 2005/06/08 12:27pm 发表的内容：
当初做这个软件时偶是怕监控太多了对系统有影响，所以写好后一直未改动。
偶自已和朋友都用了N久了，看来资源占用与稳定性都不是个问题，过段日子放个改进版，可自定义的上来。

谢！这个应该是delphi调用API的吧？还有是多线程的，是不？不知道能不能公开源码？

推士机

下面引用由wang6071在 2005/06/07 10:32pm 发表的内容：
谢谢推土机兄弟。
试用了一下，感觉这款软件的工作原理与我的那个工作原理是一样的。但不明白为什么它多用了那两个dll,起何作用?
请推土机兄弟讲讲使用后的感觉。（因偶刚试用，不太了解它的优点在哪里）
另外， ...

实际上很难定夺，只是个人使用习惯而已！偶经常安装、测试软件，觉得有些RUN值还是有必要加滴，不必一概删之，应该有所提示加以选择。对于初级用户还是建议用你的监视器！
偶现在用KV＋WinPatrol，许久未中过招了，那个“反黑精英”自带的东东是在偶以前的GHOST文件里提取出来的，未注意把自己的配置文件也一并打包上传，谢谢提醒！

emca

下面引用由wang6071在 2005/06/08 12:27pm 发表的内容：
当初做这个软件时偶是怕监控太多了对系统有影响，所以写好后一直未改动。
偶自已和朋友都用了N久了，看来资源占用与稳定性都不是个问题，过段日子放个改进版，可自定义的上来。

做成可以由用户自定义监视项目的模式比较好。一方面不同用户的需求不相同，另一方面，随着形势的变化，可能需要监视的项目也有所变化。比如是否可以考虑让程序读取一个文本配置文件？

xubo1971

没想到我的一项提议引来这么热烈地讨论，有点激动。
本人的编程水平太次，在这里只能表示支持了！
反黑精英里的注册表监视工具我以前用过，后来因为频繁的提示而嫌麻烦没用了。这回把wang6071兄弟的工具用用看，毕竟安装软件不是天天都会有的。

emca

我可以提供多达 30 多处的自动加载的项目位置！目前所有同类工具没有一个我看上眼的，因为可以查看和监视的项目太少了！这也是某些情况下一些恶性病毒不能有效对付的原因之一。

xubo1971

下面引用由wang6071在 2005/06/08 12:27pm 发表的内容：
当初做这个软件时偶是怕监控太多了对系统有影响，所以写好后一直未改动。
偶自已和朋友都用了N久了，看来资源占用与稳定性都不是个问题，过段日子放个改进版，可自定义的上来。

建议在“进程监视”里把系统进程和用户进程分开，便于操作。

wang6071

下面引用由emca在 2005/06/08 06:31pm 发表的内容：
我可以提供多达 30 多处的自动加载的项目位置！目前所有同类工具没有一个我看上眼的，因为可以查看和监视的项目太少了！这也是某些情况下一些恶性病毒不能有效对付的原因之一。

谢谢红叶兄，我还担心过多地在这个贴子中谈监视会引起红叶兄反感呢(毕竟这是红叶兄的贴子)
推土机兄弟:
反黑精英里的注册表监视工具表工具仅监视了run值，未监视RunServices，及user下的run值，单独用可能会漏监视掉东西。用kv后可以不使用反黑精英的监视了，kv监视得挺全的。
(偶的2003+kv就没用监视了)。
xubo1971所说的：建议在“进程监视”里把系统进程和用户进程分开，便于操作。
其实原软件就实现了，关闭进程时你只需选择变化监视进程后的进程一定是安全的。
紫狐兄弟问的：这个应该是delphi调用API的吧？还有是多线程的，是不？不知道能不能公开源码？
是调用了api,但不是多线程的(用多线程在这个软件中无多大用还可能带来软件的不稳定).至于源码请等我改好程序后一起发布吧.
其实我最想写的是一个能够在中了恶意软件后的清除工具,可惜一直未找到好的方法.对三级跳软件如何关闭它一直没找到相应的对策,大家一起集思广益来寻找最佳的方案吧.  

tansy211

深山红叶V10的时候，进入DOS工具箱就是一个集成各种DOS工具的图形菜单，而且进入DOS界面后还能方便的输入“menu”就回到图形菜单界面。但是怎么V20进入DOS工具箱后就是命令行界面了呢？是没有图形菜单了吗？这样使用起来很不方便啊。

紫狐

就wang6071兄弟提到的关于编写中了恶意软件后的清除工具的问题，我提一下想法，目前恶意软件已经不仅仅加入启动项，就我目前所知道的，除了加入启动项、服务项，还有COM+方式的，加入BHOs、使用ActiveX、Bands和关联菜单等，部分还在启动项导入注册表文件，以便进程在停止后下次启动可以再加入的，一些是同时加入几个进程，相互监控，那一个被终止了，马上自动再生成一个进程，还有修改EXE关联、记事本关联等等，目前要完全智能化的去清除的可能性不大，我认为要采取软件配合手工的方式进行处理才能比较彻底，然后在一定程度上配合防御措施，这样才能比较好的对付恶意软件，不知道大家有什么看法呢？
同时推荐一下System Safety Monitor这个软件，这个软件对于系统的监控方面做得很不错，建议大家试一试这个东东。

emca

几点建议：
1、将功能大体划分为几块：
   ①常用自动加载入口监视
   ②不常用加载项锁定（如EXE/TXT文件关联/IE设置的相关键值等）
   ③强行无条件清除和复位（回系统默认状态）所有加载项
   ④由用户手工指定特定文件名，并监视其读写，以便无法复制这些加入黑名单的文件到系统中
   ⑤高级用户自定义监视和锁定项目
2、总体动作分为以下几类：
   ①监视（可选择是否启用！）
   ②锁定（可选择是否访问时询问）
   ③强行清除和复位默认值
   ④加入黑名单（白名单）
相信实现上述功能的一个启动保护和监视程序应当极其实用了！