[sysshield]系统安全盾

wang6071

syscheck(1.0.0.19):
WinSock修复前备份用户当前的Winsock到桌面,以便修复失败后可以双击还原.
进程显示中给各进程加上图标.
加入host查看页

------------------
今天上网发现有一个新病毒通过网页入侵,被安全盾阻止
Documents and Settings\Administrator\Local Settings\Temp\svchost.exe
WINDOWS\System32\Deleteme.bat
WINDOWS\System32\37211.dll
WINDOWS\winupdate.exe
还有一个下载者:system32\download.dll(记不住了,大概是这个名字),后台开启Iexplorer.
桌面上的Mathon的快捷方式路径更改为Iexplorer的路径.

注意37211.dll,不是3721.dll,与3721过不去的病毒,哈哈!

[ 本帖最后由 wang6071 于 2006-8-26 02:35 PM 编辑 ]

推士机

小BUG：“host查看”按钮无法锁定（按下后自动复位）

xdg3669

同上！

wang6071

1323楼已修正楼上报告的bug!

Phexon

wangsea兄，可否把你的sysshield的策略给大家借鉴一下？

wang6071

其实偶用的就是安全盾提供给大家的基础设置,采用的是<自定义目录过滤>方式.
大家可以看看软件的帮助,配出适合自已的方式来.

这里贴一个在基础设置上可以增强的设置,觉得合适就自已定义吧.

emca

看到上面的新版本添加了 HOSTS 查看功能，这里把我最近收集的 HOSTS 内容共享给大家！
几乎所有内容都是本人亲自验证收集的，比较齐全且有效性较高。
更新时间2006.8.26  共计 13603条

另外，建议Syscheck的 HOSTS查看功能顺便增添一项退出时将HOSTS设置为只读属性的功能。我本人的做法是只读+NTFS权限中禁止修改。

下面的 HOSTS文件的功能是禁止打开一些有威胁性、干扰性的网站；用法是解压到 Windows\system32\drivers\etc 目录（Windows目录路径请灵活更改）

wang6071

谢谢红叶兄的hosts,收了.以后谁让我处理机器就给他来一个.

但对于将host文件加只读属性我看还是不必了,程序中处理起来也就是一条API调用,你可以加别人也可以撤消的．

探讨：
当前网站更新频繁,host也就是阶段性可以起到一定作用.所以置为禁止修改似乎起不到好效果，反而会导致以后修改起来麻烦.所以偶自已的host除了屏蔽电信的广告地址外没加任何网站屏蔽．

加host查看的目的是因为有部份木马利用host搞域名重定向.

[ 本帖最后由 wang6071 于 2006-8-26 10:51 PM 编辑 ]

emca

今天给人处理一台机器，几乎所有代表性的流行病毒都中齐了，叹为观止！！
虽然手工杀毒使用十八般兵器也能够顺利搞定，但其中可能要反复重启、修改注册表等，极其烦琐！
因此深切体会到：杀毒目前并不是问题，关键时修复系统所需的时间太长！相信大家都有这个体会的：中毒颇多的系统，不可能在3分钟以内搞定的。因此，我想我们应当设法寻求一招制毒的法宝了，即制作一种工具，在系统配置被病毒改得一塌糊涂时，一次性将系统所有关键设置还原到默认状态；这样由于阻止了病毒的自动加载运行，因此就算不清除病毒文件，其危险性也不太大了——毕竟目前99%都是通过自动加载实现运行的流氓病毒。如此一来，除了文件感染型病毒，这种思路均可一次性快速搞定。当然，有些自动加载的项目是用户所需的，但这并不要紧，毕竟修复自动运行项目相对于杀除病毒要简单得多，并且就算不修复用户的自动加载项目也并不会对系统有严重影响（当然我们可以让Ctfmon等必须的进程自动加载）。至于杀毒软件的实时监控，如果它对病毒视而不见，那么它是否自动运行又有什么影响？

目前，我已经跟踪出几乎所有可能被病毒利用的注册表内容，并分别导出为文件了。现在只需设计一种机制，安装后自动设置以比较高的优先级还原这些默认配置到系统中并且立即重启系统，在启动中途进行还原。

上述做法由于仅仅只处理自动运行以及IE等可能被病毒利用的关键键值，因此象Office等并不需要重装的。

请大家讨论。

目前本人正在进行技术性验证。如果成功，则建议Wangsea兄弟考虑一下：）

longwang

现在很多木马以服务形式加载，还得解决这个问题，可能才能达到emca所说的效果。

xubo1971

把原有的帐户删除，再建立一个新的帐户可以解决大部分问题。
不过在新的帐户下又要重新设置一番。

wang6071

原帖由 emca 于 2006-8-27 01:38 AM 发表
1:
杀毒目前并不是问题，关键时修复系统所需的时间太长！
2:
现在只需设计一种机制，安装后自动设置以比较高的优先级还原这些默认配置到系统中并且立即重启系统，在启动中途进行还原。

关于第1点相信诸位都会完全同意.
关于第2点有难度,关键是如何在"启动中"运行程序/批处理来还原?这个启动中我理解为用户登陆前,但不知如何办到.
另外，如果能办到，还需要删除windows,program files中的*.com文件，防止用同名文件的优先级来感染．
还需要将用户的<启动>菜单中的程序快捷方式给他转移到桌面上来．


关于第2点昨天我找到一个近似的文章,由于该文出处不明,且转载不多,该网页不允许复制,所以偶抓图过来大家研究一下是否可以利用．(看不清图片文字请右键另存到本机看)

[ 本帖最后由 wang6071 于 2006-8-27 10:01 AM 编辑 ]

emca

发现 Sysshield 一个小BUG：
我自己制作了一些针对流氓病毒的较强规则，但只要把Filter.dat复制到其他机器，当机器名与当前这个不一样时，执行Sysshield后就会丢失所有规则，只有软件本身的默认几个目录了。虽然这可能是考虑到不同系统中目录结构的不同，但这非常不方便规则的共享！因此，是否能够考虑让它支持环境变量%ProgramFiles%？这样下面的规则就有通用性了，不管大家将系统安装在哪个分区。


我个人的规则如下：

[SysSheild_UserDir]
Computer=（问题就在这个地方！！！！！！！！！！！！！！！！！！！！！！！！！！！！）
c:\|a
c:\documents and settings\administrator\local settings\|e
c:\program files\|e
c:\program files\3721\
c:\program files\common files\
c:\program files\internet explorer\
c:\program files\messenger\
c:\program files\msn messenger\
c:\program files\netmeeting\
c:\program files\windows nt\
c:\program files\360so\
c:\program files\3721\\
c:\program files\ad4all\
c:\program files\baidu\
c:\program files\baigoo\
c:\program files\caishow tech\
c:\program files\cnet\
c:\program files\cnnic\
c:\program files\coolwebsite\
c:\program files\deskadtop\
c:\program files\desktop media\
c:\program files\dodoorrssfinder\
c:\program files\dudu\
c:\program files\ebay\
c:\program files\fzdown\
c:\program files\gimmysmileys\
c:\program files\google\
c:\program files\hbclient\
c:\program files\hbhdp\
c:\program files\henbang\
c:\program files\huaci\
c:\program files\ibar\
c:\program files\ie-bar\
c:\program files\infofo bar\
c:\program files\letscool\
c:\program files\minippgou\
c:\program files\mmsassist\
c:\program files\mop\
c:\program files\mysec\
c:\program files\netcounter\
c:\program files\netease\
c:\program files\p4p\
c:\program files\pcast\
c:\program files\qqhelper\
c:\program files\qyule\
c:\program files\sandai\
c:\program files\searchnet\
c:\program files\system\
c:\program files\vika\
c:\program files\visionnet\
c:\program files\vvsn\
c:\program files\wint\
c:\program files\wsearch\
c:\program files\yahoo!\
c:\program files\yayad\
c:\program files\yisou\
c:\program files\yulexk\
c:\program files\zcom\
c:\program files\网络猪\
c:\program files\忆多多\
c:\windows\|d
c:\windows\temp\|ac

[SysSheild_Filter]
onlymon=*.exe;*.com;*.inf;*.vbs;*.sys;*.bat;*.cmd;*.dll;*.txt;*.ini;*.dat;*.bin;*.tmp;*.ocx;*.pif;*.sys;*.log
blurring=0-9.exe;0-9.dll;0-9.com;0-9.pif;baidu.exe;yisou.*;yass.*;toolbar.*;ppgou.*;assist.*;cdn.*;dudu.*;baigoo.*;bind*.exe;*.com;*.sys;*.log

emca

原帖由 xubo1971 于 2006-8-27 09:15 AM 发表
把原有的帐户删除，再建立一个新的帐户可以解决大部分问题。
不过在新的帐户下又要重新设置一番。

-----------------------
不赞同这种做法。
自动运行的注册表项目大致可划分为两大类，一类是针对全局有效的，一类是针对当前用户有效的，重建账户只能解决一半问题。而事实上不少病毒喜欢以全局方式加载！

emca

1、关于注册表加载的自动执行优先级的测定：
    我在各个支持启动CMD命令的地方分别添加一条简单命令：cmd /c echo .>c:\a.txt  不同位置生成的文件名分别不同，以免相互覆盖。重启后，查看生成的文件的时间。这样发现能够执行成功且生成最早的是 HKLM 下面的 RunOnce 位置！因此目前暂定以这个键值作为快速修复命令的自动加载位置。

2、修复原理：
   写一安装批处理脚本实现：
   先用脚本对当前所有可能被病毒利用的键和值一一备份到临时目录下的特定目录，以便高手在必要时恢复（菜鸟就免了，嘿嘿）；
   然后把预先导出好的系统默认注册表文件、自动还原的脚本文件复制到临时目录；
   再将恢复脚本的调用命令添加到 HKLM 的RunOnce中；
   准备好上述操作后，使用 Shutdown -r -t 0 立即重启。
   重启后，在 HKLM 下的 RunOnce 键值作用下，中途开始恢复默认注册表内容（覆盖替换方式，以避免对现有键值的复杂的分析判断。但仅仅只恢复自动加载、IE等可能被病毒利用的键值为系统默认，并不覆盖现有应用程序的相关键值！）；
   恢复完成，立即重启。RunOnce中的键值也被系统自动清除。
   再次重启后，各键值就是干净的了！
   注意：目前没有添加对各键值访问权限的控制。因此如果已经手工进行了保护，可能修复不成功（保护有效的话还会被感染吗？嘿嘿）。

3、相关文件打包为一个自解压文件。高手请自己解压分析。

以上主要供 Wangsea 等兄弟参考。大家顺便看看还有没有被遗漏的可能被病毒利用的注册表键值！

4、关于兼容性：
    目前的目的是快速将系统中所有可能被病毒破坏的键值快速还原到系统默认安装的状态，以求快速切断病毒自动加载的途径，然后再清除病毒文件就易如反掌了。因此用户有用的自动运行项目也可能被清除掉！不过这并不影响系统运行。而自动运行的通常是杀毒软件的实时监控等，而杀毒软件如果监控无效而让病毒进入的话（典型的如牛皮瑞星），是否让它自动运行又有什么影响？那样的杀毒软件至多只是一个安慰剂而已！另外，手工修复自动运行项目比清理病毒键值要容易得多！

5、其他考虑：
    Wangsea 上面提及的 .COM 扩展名的同名文件的问题（如 Notepad.com Regedit.com等），可考虑将常用命令可能被仿冒的一一枚举直接删除（即删除搜索路径中的可能被仿冒的COM文件）；
    增强对用户有用的自动运行项目的兼容性（Ctfmon已经包含在恢复内容中）；
    进一步提高恢复命令的执行优先级。

目前，这个设想已经初步实现，通过上述改进即可进入实用！

wang6071

原帖由 emca 于 2006-8-27 11:23 AM 发表
1、关于注册表加载的自动执行优先级的测定：
    我在各个支持启动CMD命令的地方分别添加一条简单命令：cmd /c echo .>c:\a.txt  不同位置生成的文件名分别不同，以免相互覆盖。重启后，查看生成的文件的时间 ...

红叶兄这样的处理应该可以恢复大部份的木马或插件的修改了，下一步要做就是实机测试效果．（建议大家在修理机器前先导出一份当前注册表，然后用红叶兄提供的恢复来测试效果），看能否减少一些修复系统的时间．

关于安全盾的filter文件中的
Computer=11111111111111111111111111111111111111111
当初就是考虑机器不同系统安装目录不同设计的，即发现Computer不同就删除原有设置生成基础设置．这个可以在下一版式中改进一下（发现Computer不同而又有filter设置时只替换盘符部份即可）．
目前的版本在盘符相同的情况下直接手动复制Computer下的部份覆盖原来的也可以．

[ 本帖最后由 wang6071 于 2006-8-27 11:57 AM 编辑 ]

wang6071

syscheck(1.0.0.20):
模块信息栏的右键菜单加入<卸载模块并删除文件>
这个功能是遍列所有进程中的同名模块(一般是全局HOOK的DLL模块),找到后分别卸载,最后删除文件。（注意，本删除不备份所删除的文件）

longwang

呵呵，syscheck越来越实用了。

longwang

建议各进程、模块、服务加入象autorun那样的google搜索功能。拿不准的时候，还是挺有用的。

wang6071

syscheck(1.0.0.21)
修正文件查找不到时图标显示沿用上一个文件图标的Bug.
修正非进程显示非windows目录微软文件显示为红色的Bug
模块栏右键及服务栏右键加入<使用Google搜索>功能.
在进程管理页加入<输出信息>,进程情况输出到桌面syscheck进程检测.txt中

longwang

呵呵，感觉越来越好用了，wang6071 能不能在服务程序右键也加入“查看文件属性”功能，其实下面的按钮都可以用右键代替的。

emca

自动恢复系统默认配置进展：
1、恢复时可预防常用系统程序被病毒以 .com .pif 等扩展名仿冒，并防止其他病毒文件植入；
2、恢复时能够防范Autorun运行激活的病毒，以避免恢复后只要打开任意磁盘即又重新中毒的情况；
3、当前用户的所有自动运行项目在恢复前会自动导出备份到C:根目录，以方便修复完成后，手工用记事本编辑注册表文件并将有用的自动运行项目导入系统；
4、当前所有可疑注册表键值均改成以 REG 文本格式导出（恢复文件仍然保持二进制格式），以方便日后分析追查病毒行为；

其他一些修改。

打包成自解压文件，好处是如果存在文件感染型病毒，会因CRC校验而立即发现这类病毒的存在 ！另外也方便大家自己解压分析。

附件中可供测试。可以先自己在各自动运行项目中添加一些垃圾项目，然后再试。
另外，所有替换的注册表事先均有备份：%TEMP%\REGBIN_BAK 目录下便是，需要恢复时双击各注册表文件，然后重启即可！
但仍然建议先完全备份自己的注册表。

wang6071

服务程序右键也加入“查看文件属性”功能当然没问题(下一版加入)
关于"下面的按钮都可以用右键代替",这个是一个外观统一的问题.

红叶兄的"自动还原注册表"效果应该不错,处理的方方面面细节都考虑到了.

另外,从Ph4nt0m Security Team BBS一个贴子的中毒症状中忽然想起还有一个简单地不能再简单的防范策略一直被大家忽略:
将E:\Program Files\Internet Explorer\IEXPLORE.EXE更名,使用maxthon作默认浏览器,可以饿死一大批以IEXPLORER.EXE(比如灰鸽子)为载体的木马.

emca

一个关键问题：
就是自动恢复注册表时，如果遇到HOOK了注册表操作函数的病毒，则任何修改都是无济于事的！
记得有一个命令行检测和恢复SSDT的小程序，一时找不到了，哪位兄弟知道？如果把它结合上述注册表自动修复功能使用，则效果会没得说的！

[ 本帖最后由 emca 于 2006-8-27 09:49 PM 编辑 ]

xdg3669

原帖由 wang6071 于 2006-8-27 08:53 PM 发表
将E:\Program Files\Internet Explorer\IEXPLORE.EXE更名,使用maxthon作默认浏览器,可以饿死一大批以IEXPLORER.EXE(比如灰鸽子)为载体的木马

我现在基本上都改用opera!   opera9.1已经大有改进。只有上MS的网站才用IE.

wang6071

原帖由 emca 于 2006-8-27 09:45 PM 发表
一个关键问题：
就是自动恢复注册表时，如果遇到HOOK了注册表操作函数的病毒，则任何修改都是无济于事的！
记得有一个命令行检测和恢复SSDT的小程序，一时找不到了，哪位兄弟知道？如果把它结合上述注册表自动修 ...

确实测试过不能恢复吗?ssdt是内核级HOOK注册表,如果是Win32级采用dll全局钩子的能过吗?
这里的关键是RunOnce到底运行在系统的哪个顺序,是驱动加载后,W32 Gdi程序加载前,还是上面两个都加载了再运行.

命令行的ssdt我可以做一个,原来那个命令行要选择才能操作,只支持到xp;我可以修改一个不经检测的完全恢复的,支持到win2003(sp1以下)的版本,但请确定一下是否真的无法恢复!

不想做命令行无选择完全恢复是因为担心这样的工具被木马调用使许多监测工具的实时监测失效.

------------------
安全盾1.26升级文件：
    本次升级允许用户共享Filter.dat(用户设置文件),会自动更改Filter.dat中的监视盘符为当前用户的盘符,并按此目录查询,若目录不存在则删除共享文件中与用户目录不同的目录部份.

本附件仅是覆盖升级文件，完整版本请于http://wangsea.ys168.com获取

emca

我正希望Wangsea能够做一个命令行状态傻瓜化（可以带参数）恢复SSDT的小工具。任何工具都要看人使用，就象刀枪，因此不用担心被病毒利用（而且病毒作者完全可以自己写在病毒中的）。

RunOnce 优先级比较低，应当是驱动和服务加载之后，系统内核已经完全初始化完成之后。

谢谢！！

wang6071

原帖由 emca 于 2006-8-27 11:20 PM 发表
我正希望Wangsea能够做一个命令行状态傻瓜化（可以带参数）恢复SSDT的小工具。任何工具都要看人使用，就象刀枪，因此不用担心被病毒利用（而且病毒作者完全可以自己写在病毒中的）。

RunOnce 优先级比较低，应 ...

其实我主要担心是网页调用,一下就使监测程序失去作用了,能否折衷一下,弹出一个窗口让用户确定是否恢复?有窗口的ssdt恢复也很小的,偶空间上的ssdtrstore(有点小Bug未改,不支持win2000)只有25K.(目前木马使用ssdt恢复的没见过,说明该方法撑握的人并不多)

[ 本帖最后由 wang6071 于 2006-8-27 11:30 PM 编辑 ]

emca

我跟踪到的系统加载文件顺序，供 Wangsea 等参考：

Service Pack 2 8 27 2006 02:22:40.500
Loaded driver \WINDOWS\system32\ntoskrnl.exe
Loaded driver \WINDOWS\system32\hal.dll
Loaded driver \WINDOWS\system32\KDCOM.DLL
Loaded driver \WINDOWS\system32\BOOTVID.dll
Loaded driver ACPI.sys
Loaded driver \WINDOWS\system32\DRIVERS\WMILIB.SYS
Loaded driver pci.sys
Loaded driver isapnp.sys
Loaded driver compbatt.sys
Loaded driver \WINDOWS\system32\DRIVERS\BATTC.SYS
Loaded driver pciide.sys
Loaded driver \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
Loaded driver intelide.sys
Loaded driver pcmcia.sys
Loaded driver MountMgr.sys
Loaded driver ftdisk.sys
Loaded driver PartMgr.sys
Loaded driver VolSnap.sys
Loaded driver atapi.sys
Loaded driver disk.sys
Loaded driver \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
Loaded driver fltMgr.sys
Loaded driver KSecDD.sys
Loaded driver Ntfs.sys
Loaded driver NDIS.sys
Loaded driver Mup.sys
Loaded driver \SystemRoot\system32\DRIVERS\intelppm.sys
Loaded driver \SystemRoot\system32\DRIVERS\CmBatt.sys
Loaded driver \SystemRoot\system32\DRIVERS\ati2mtag.sys
Loaded driver \SystemRoot\system32\DRIVERS\b57xp32.sys
Loaded driver \SystemRoot\system32\DRIVERS\usbuhci.sys
Loaded driver \SystemRoot\system32\DRIVERS\usbehci.sys
Loaded driver \SystemRoot\system32\DRIVERS\gtipci21.sys
Loaded driver \SystemRoot\system32\DRIVERS\w29n51.sys
Loaded driver \SystemRoot\system32\drivers\STAC97.sys
Loaded driver \SystemRoot\system32\DRIVERS\i8042prt.sys
Loaded driver \SystemRoot\system32\DRIVERS\Apfiltr.sys
Loaded driver \SystemRoot\system32\DRIVERS\mouclass.sys
Loaded driver \SystemRoot\system32\DRIVERS\kbdclass.sys
Loaded driver \SystemRoot\system32\DRIVERS\serial.sys
Loaded driver \SystemRoot\system32\DRIVERS\serenum.sys
Loaded driver \SystemRoot\system32\DRIVERS\imapi.sys
Loaded driver \SystemRoot\system32\DRIVERS\cdrom.sys
Loaded driver \SystemRoot\system32\DRIVERS\redbook.sys
Loaded driver \SystemRoot\system32\DRIVERS\fsvga.sys
Loaded driver \SystemRoot\system32\DRIVERS\audstub.sys
Loaded driver \SystemRoot\system32\DRIVERS\rasl2tp.sys
Loaded driver \SystemRoot\system32\DRIVERS\ndistapi.sys
Loaded driver \SystemRoot\system32\DRIVERS\ndiswan.sys
Loaded driver \SystemRoot\system32\DRIVERS\raspppoe.sys
Loaded driver \SystemRoot\system32\DRIVERS\raspptp.sys
Loaded driver \SystemRoot\system32\DRIVERS\msgpc.sys
Loaded driver \SystemRoot\system32\DRIVERS\psched.sys
Loaded driver \SystemRoot\system32\DRIVERS\ptilink.sys
Loaded driver \SystemRoot\system32\DRIVERS\raspti.sys
Loaded driver \SystemRoot\system32\DRIVERS\rdpdr.sys
Loaded driver \SystemRoot\system32\DRIVERS\termdd.sys
Loaded driver \SystemRoot\system32\DRIVERS\swenum.sys
Loaded driver \SystemRoot\system32\DRIVERS\update.sys
Loaded driver \SystemRoot\system32\DRIVERS\mssmbios.sys
Loaded driver \SystemRoot\system32\DRIVERS\vmnetadapter.sys
Loaded driver \SystemRoot\System32\Drivers\NDProxy.SYS
Did not load driver \SystemRoot\System32\Drivers\NDProxy.SYS
Loaded driver \SystemRoot\system32\DRIVERS\usbhub.sys
Did not load driver \SystemRoot\System32\Drivers\lbrtfdc.SYS
Did not load driver \SystemRoot\System32\Drivers\Fdc.SYS
Did not load driver \SystemRoot\System32\Drivers\Flpydisk.SYS
Did not load driver \SystemRoot\System32\Drivers\Sfloppy.SYS
Did not load driver \SystemRoot\System32\Drivers\i2omgmt.SYS
Did not load driver \SystemRoot\System32\Drivers\Changer.SYS
Did not load driver \SystemRoot\System32\Drivers\Cdaudio.SYS
Loaded driver \SystemRoot\System32\Drivers\Fs_Rec.SYS
Loaded driver \SystemRoot\System32\Drivers\Null.SYS
Loaded driver \SystemRoot\System32\Drivers\Beep.SYS
Loaded driver \SystemRoot\System32\drivers\vga.sys
Loaded driver \SystemRoot\System32\Drivers\mnmdd.SYS
Loaded driver \SystemRoot\System32\DRIVERS\RDPCDD.sys
Loaded driver \SystemRoot\System32\Drivers\Msfs.SYS
Loaded driver \SystemRoot\System32\Drivers\Npfs.SYS
Loaded driver \SystemRoot\system32\DRIVERS\rasacd.sys
Loaded driver \SystemRoot\system32\DRIVERS\ipsec.sys
Loaded driver \SystemRoot\system32\DRIVERS\tcpip.sys
Loaded driver \SystemRoot\system32\DRIVERS\netbt.sys
Loaded driver \SystemRoot\system32\DRIVERS\ipnat.sys
Loaded driver \SystemRoot\System32\drivers\afd.sys
Loaded driver \SystemRoot\system32\DRIVERS\netbios.sys
Did not load driver \SystemRoot\System32\Drivers\PCIDump.SYS
Loaded driver \SystemRoot\System32\Drivers\VD_FileDisk.SYS
Loaded driver \SystemRoot\system32\DRIVERS\rdbss.sys
Loaded driver \SystemRoot\system32\DRIVERS\mrxsmb.sys
Loaded driver \SystemRoot\System32\Drivers\Fips.SYS
Loaded driver \??\C:\WINDOWS\system32\Drivers\BODSys.sys
Loaded driver \SystemRoot\system32\DRIVERS\wanarp.sys
Loaded driver \SystemRoot\System32\Drivers\LHidUsb.Sys
Loaded driver \SystemRoot\system32\DRIVERS\LHidFlt2.Sys
Loaded driver \SystemRoot\system32\DRIVERS\mouhid.sys
Loaded driver \SystemRoot\system32\DRIVERS\LMouFlt2.Sys
Loaded driver \SystemRoot\System32\Drivers\Cdfs.SYS
Loaded driver \SystemRoot\system32\DRIVERS\vmnetbridge.sys
Loaded driver \SystemRoot\system32\DRIVERS\ndisuio.sys
Did not load driver \SystemRoot\System32\Drivers\Parport.SYS
Loaded driver \??\C:\WINDOWS\system32\Drivers\hcmon.sys
Loaded driver \??\C:\WINDOWS\system32\Drivers\vmx86.sys
Loaded driver \SystemRoot\System32\Drivers\HTTP.sys
Loaded driver \SystemRoot\system32\DRIVERS\ipfltdrv.sys
Loaded driver \??\C:\Program Files\!SysTools\DataKeeper\PqFsmonNt.sys
Loaded driver \??\C:\WINDOWS\system32\drivers\vmnetuserif.sys
Loaded driver \??\C:\Program Files\Common Files\VMware\VMware Virtual Image Editing\vstor2.sys
Did not load driver \SystemRoot\system32\DRIVERS\ipnat.sys
Loaded driver \SystemRoot\system32\drivers\wdmaud.sys
Loaded driver \SystemRoot\system32\drivers\sysaudio.sys
Loaded driver \SystemRoot\system32\drivers\splitter.sys
Loaded driver \SystemRoot\system32\drivers\aec.sys
Loaded driver \SystemRoot\system32\drivers\swmidi.sys
Loaded driver \SystemRoot\system32\drivers\DMusic.sys
Loaded driver \SystemRoot\system32\drivers\kmixer.sys
Loaded driver \SystemRoot\system32\drivers\drmkaud.sys
Service Pack 2 8 27 2006 02:24:20.500
Loaded driver \WINDOWS\system32\ntoskrnl.exe
Loaded driver \WINDOWS\system32\hal.dll
Loaded driver \WINDOWS\system32\KDCOM.DLL
Loaded driver \WINDOWS\system32\BOOTVID.dll
Loaded driver ACPI.sys
Loaded driver \WINDOWS\system32\DRIVERS\WMILIB.SYS
Loaded driver pci.sys
Loaded driver isapnp.sys
Loaded driver compbatt.sys
Loaded driver \WINDOWS\system32\DRIVERS\BATTC.SYS
Loaded driver pciide.sys
Loaded driver \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
Loaded driver intelide.sys
Loaded driver pcmcia.sys
Loaded driver MountMgr.sys
Loaded driver ftdisk.sys
Loaded driver PartMgr.sys
Loaded driver VolSnap.sys
Loaded driver atapi.sys
Loaded driver disk.sys
Loaded driver \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
Loaded driver fltMgr.sys
Loaded driver KSecDD.sys
Loaded driver Ntfs.sys
Loaded driver NDIS.sys
Loaded driver Mup.sys
Loaded driver \SystemRoot\system32\DRIVERS\intelppm.sys
Loaded driver \SystemRoot\system32\DRIVERS\CmBatt.sys
Loaded driver \SystemRoot\system32\DRIVERS\ati2mtag.sys
Loaded driver \SystemRoot\system32\DRIVERS\b57xp32.sys
Loaded driver \SystemRoot\system32\DRIVERS\usbuhci.sys
Loaded driver \SystemRoot\system32\DRIVERS\usbehci.sys
Loaded driver \SystemRoot\system32\DRIVERS\gtipci21.sys
Loaded driver \SystemRoot\system32\DRIVERS\w29n51.sys
Loaded driver \SystemRoot\system32\drivers\STAC97.sys
Loaded driver \SystemRoot\system32\DRIVERS\i8042prt.sys
Loaded driver \SystemRoot\system32\DRIVERS\Apfiltr.sys
Loaded driver \SystemRoot\system32\DRIVERS\mouclass.sys
Loaded driver \SystemRoot\system32\DRIVERS\kbdclass.sys
Loaded driver \SystemRoot\system32\DRIVERS\serial.sys
Loaded driver \SystemRoot\system32\DRIVERS\serenum.sys
Loaded driver \SystemRoot\system32\DRIVERS\imapi.sys
Loaded driver \SystemRoot\system32\DRIVERS\cdrom.sys
Loaded driver \SystemRoot\system32\DRIVERS\redbook.sys
Loaded driver \SystemRoot\system32\DRIVERS\fsvga.sys
Loaded driver \SystemRoot\system32\DRIVERS\audstub.sys
Loaded driver \SystemRoot\system32\DRIVERS\rasl2tp.sys
Loaded driver \SystemRoot\system32\DRIVERS\ndistapi.sys
Loaded driver \SystemRoot\system32\DRIVERS\ndiswan.sys
Loaded driver \SystemRoot\system32\DRIVERS\raspppoe.sys
Loaded driver \SystemRoot\system32\DRIVERS\raspptp.sys
Loaded driver \SystemRoot\system32\DRIVERS\msgpc.sys
Loaded driver \SystemRoot\system32\DRIVERS\psched.sys
Loaded driver \SystemRoot\system32\DRIVERS\ptilink.sys
Loaded driver \SystemRoot\system32\DRIVERS\raspti.sys
Loaded driver \SystemRoot\system32\DRIVERS\rdpdr.sys
Loaded driver \SystemRoot\system32\DRIVERS\termdd.sys
Loaded driver \SystemRoot\system32\DRIVERS\swenum.sys
Loaded driver \SystemRoot\system32\DRIVERS\update.sys
Loaded driver \SystemRoot\system32\DRIVERS\mssmbios.sys
Loaded driver \SystemRoot\system32\DRIVERS\vmnetadapter.sys
Loaded driver \SystemRoot\System32\Drivers\NDProxy.SYS
Did not load driver \SystemRoot\System32\Drivers\NDProxy.SYS
Loaded driver \SystemRoot\system32\DRIVERS\usbhub.sys
Did not load driver \SystemRoot\System32\Drivers\lbrtfdc.SYS
Did not load driver \SystemRoot\System32\Drivers\Fdc.SYS
Did not load driver \SystemRoot\System32\Drivers\Flpydisk.SYS
Did not load driver \SystemRoot\System32\Drivers\Sfloppy.SYS
Did not load driver \SystemRoot\System32\Drivers\i2omgmt.SYS
Did not load driver \SystemRoot\System32\Drivers\Changer.SYS
Did not load driver \SystemRoot\System32\Drivers\Cdaudio.SYS
Loaded driver \SystemRoot\System32\Drivers\Fs_Rec.SYS
Loaded driver \SystemRoot\System32\Drivers\Null.SYS
Loaded driver \SystemRoot\System32\Drivers\Beep.SYS
Loaded driver \SystemRoot\System32\drivers\vga.sys
Loaded driver \SystemRoot\System32\Drivers\mnmdd.SYS
Loaded driver \SystemRoot\System32\DRIVERS\RDPCDD.sys
Loaded driver \SystemRoot\System32\Drivers\Msfs.SYS
Loaded driver \SystemRoot\System32\Drivers\Npfs.SYS
Loaded driver \SystemRoot\system32\DRIVERS\rasacd.sys
Loaded driver \SystemRoot\system32\DRIVERS\ipsec.sys
Loaded driver \SystemRoot\system32\DRIVERS\tcpip.sys
Loaded driver \SystemRoot\system32\DRIVERS\netbt.sys
Loaded driver \SystemRoot\system32\DRIVERS\ipnat.sys
Loaded driver \SystemRoot\System32\drivers\afd.sys
Loaded driver \SystemRoot\system32\DRIVERS\netbios.sys
Did not load driver \SystemRoot\System32\Drivers\PCIDump.SYS
Loaded driver \SystemRoot\System32\Drivers\VD_FileDisk.SYS
Loaded driver \SystemRoot\system32\DRIVERS\rdbss.sys
Loaded driver \SystemRoot\system32\DRIVERS\mrxsmb.sys
Loaded driver \SystemRoot\System32\Drivers\Fips.SYS
Loaded driver \??\C:\WINDOWS\system32\Drivers\BODSys.sys
Loaded driver \SystemRoot\system32\DRIVERS\wanarp.sys
Loaded driver \SystemRoot\System32\Drivers\LHidUsb.Sys
Loaded driver \SystemRoot\system32\DRIVERS\LHidFlt2.Sys
Loaded driver \SystemRoot\system32\DRIVERS\mouhid.sys
Loaded driver \SystemRoot\system32\DRIVERS\LMouFlt2.Sys
Loaded driver \SystemRoot\System32\Drivers\Cdfs.SYS
Loaded driver \SystemRoot\system32\DRIVERS\vmnetbridge.sys
Loaded driver \SystemRoot\system32\DRIVERS\ndisuio.sys
Did not load driver \SystemRoot\System32\Drivers\Parport.SYS
Loaded driver \??\C:\WINDOWS\system32\Drivers\hcmon.sys
Loaded driver \??\C:\WINDOWS\system32\Drivers\vmx86.sys
Loaded driver \SystemRoot\System32\Drivers\HTTP.sys
Loaded driver \SystemRoot\system32\DRIVERS\ipfltdrv.sys
Loaded driver \??\C:\Program Files\!SysTools\DataKeeper\PqFsmonNt.sys
Loaded driver \??\C:\WINDOWS\system32\drivers\vmnetuserif.sys
Loaded driver \??\C:\Program Files\Common Files\VMware\VMware Virtual Image Editing\vstor2.sys
Did not load driver \SystemRoot\system32\DRIVERS\ipnat.sys
Loaded driver \SystemRoot\system32\drivers\wdmaud.sys
Loaded driver \SystemRoot\system32\drivers\sysaudio.sys
Loaded driver \SystemRoot\system32\drivers\splitter.sys
Loaded driver \SystemRoot\system32\drivers\aec.sys
Loaded driver \SystemRoot\system32\drivers\swmidi.sys
Loaded driver \SystemRoot\system32\drivers\DMusic.sys
Loaded driver \SystemRoot\system32\drivers\kmixer.sys
Loaded driver \SystemRoot\system32\drivers\drmkaud.sys
Loaded driver \SystemRoot\system32\drivers\kmixer.sys
Loaded driver \SystemRoot\system32\drivers\kmixer.sys
Service Pack 2 8 27 2006 08:23:16.500
Loaded driver \WINDOWS\system32\ntoskrnl.exe
Loaded driver \WINDOWS\system32\hal.dll
Loaded driver \WINDOWS\system32\KDCOM.DLL
Loaded driver \WINDOWS\system32\BOOTVID.dll
Loaded driver ACPI.sys
Loaded driver \WINDOWS\system32\DRIVERS\WMILIB.SYS
Loaded driver pci.sys
Loaded driver isapnp.sys
Loaded driver compbatt.sys
Loaded driver \WINDOWS\system32\DRIVERS\BATTC.SYS
Loaded driver pciide.sys
Loaded driver \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
Loaded driver intelide.sys
Loaded driver pcmcia.sys
Loaded driver MountMgr.sys
Loaded driver ftdisk.sys
Loaded driver PartMgr.sys
Loaded driver VolSnap.sys
Loaded driver atapi.sys
Loaded driver disk.sys
Loaded driver \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
Loaded driver fltMgr.sys
Loaded driver KSecDD.sys
Loaded driver Ntfs.sys
Loaded driver NDIS.sys
Loaded driver Mup.sys
Loaded driver \SystemRoot\system32\DRIVERS\intelppm.sys
Loaded driver \SystemRoot\system32\DRIVERS\CmBatt.sys
Loaded driver \SystemRoot\system32\DRIVERS\ati2mtag.sys
Loaded driver \SystemRoot\system32\DRIVERS\b57xp32.sys
Loaded driver \SystemRoot\system32\DRIVERS\usbuhci.sys
Loaded driver \SystemRoot\system32\DRIVERS\usbehci.sys
Loaded driver \SystemRoot\system32\DRIVERS\gtipci21.sys
Loaded driver \SystemRoot\system32\DRIVERS\w29n51.sys
Loaded driver \SystemRoot\system32\drivers\STAC97.sys
Loaded driver \SystemRoot\system32\DRIVERS\i8042prt.sys
Loaded driver \SystemRoot\system32\DRIVERS\Apfiltr.sys
Loaded driver \SystemRoot\system32\DRIVERS\mouclass.sys
Loaded driver \SystemRoot\system32\DRIVERS\kbdclass.sys
Loaded driver \SystemRoot\system32\DRIVERS\serial.sys
Loaded driver \SystemRoot\system32\DRIVERS\serenum.sys
Loaded driver \SystemRoot\system32\DRIVERS\imapi.sys
Loaded driver \SystemRoot\system32\DRIVERS\cdrom.sys
Loaded driver \SystemRoot\system32\DRIVERS\redbook.sys
Loaded driver \SystemRoot\system32\DRIVERS\fsvga.sys
Loaded driver \SystemRoot\system32\DRIVERS\audstub.sys
Loaded driver \SystemRoot\system32\DRIVERS\rasl2tp.sys
Loaded driver \SystemRoot\system32\DRIVERS\ndistapi.sys
Loaded driver \SystemRoot\system32\DRIVERS\ndiswan.sys
Loaded driver \SystemRoot\system32\DRIVERS\raspppoe.sys
Loaded driver \SystemRoot\system32\DRIVERS\raspptp.sys
Loaded driver \SystemRoot\system32\DRIVERS\msgpc.sys
Loaded driver \SystemRoot\system32\DRIVERS\psched.sys
Loaded driver \SystemRoot\system32\DRIVERS\ptilink.sys
Loaded driver \SystemRoot\system32\DRIVERS\raspti.sys
Loaded driver \SystemRoot\system32\DRIVERS\rdpdr.sys
Loaded driver \SystemRoot\system32\DRIVERS\termdd.sys
Loaded driver \SystemRoot\system32\DRIVERS\swenum.sys
Loaded driver \SystemRoot\system32\DRIVERS\update.sys
Loaded driver \SystemRoot\system32\DRIVERS\mssmbios.sys
Loaded driver \SystemRoot\system32\DRIVERS\vmnetadapter.sys
Loaded driver \SystemRoot\System32\Drivers\NDProxy.SYS
Did not load driver \SystemRoot\System32\Drivers\NDProxy.SYS
Loaded driver \SystemRoot\system32\DRIVERS\usbhub.sys
Did not load driver \SystemRoot\System32\Drivers\lbrtfdc.SYS
Did not load driver \SystemRoot\System32\Drivers\Fdc.SYS
Did not load driver \SystemRoot\System32\Drivers\Flpydisk.SYS
Did not load driver \SystemRoot\System32\Drivers\Sfloppy.SYS
Did not load driver \SystemRoot\System32\Drivers\i2omgmt.SYS
Did not load driver \SystemRoot\System32\Drivers\Changer.SYS
Did not load driver \SystemRoot\System32\Drivers\Cdaudio.SYS
Loaded driver \SystemRoot\System32\Drivers\Fs_Rec.SYS
Loaded driver \SystemRoot\System32\Drivers\Null.SYS
Loaded driver \SystemRoot\System32\Drivers\Beep.SYS
Loaded driver \SystemRoot\System32\drivers\vga.sys
Loaded driver \SystemRoot\System32\Drivers\mnmdd.SYS
Loaded driver \SystemRoot\System32\DRIVERS\RDPCDD.sys
Loaded driver \SystemRoot\System32\Drivers\Msfs.SYS
Loaded driver \SystemRoot\System32\Drivers\Npfs.SYS
Loaded driver \SystemRoot\system32\DRIVERS\rasacd.sys
Loaded driver \SystemRoot\system32\DRIVERS\ipsec.sys
Loaded driver \SystemRoot\system32\DRIVERS\tcpip.sys
Loaded driver \SystemRoot\system32\DRIVERS\netbt.sys
Loaded driver \SystemRoot\system32\DRIVERS\ipnat.sys
Loaded driver \SystemRoot\System32\drivers\afd.sys
Loaded driver \SystemRoot\system32\DRIVERS\netbios.sys
Did not load driver \SystemRoot\System32\Drivers\PCIDump.SYS
Loaded driver \SystemRoot\System32\Drivers\VD_FileDisk.SYS
Loaded driver \SystemRoot\system32\DRIVERS\rdbss.sys
Loaded driver \SystemRoot\system32\DRIVERS\mrxsmb.sys
Loaded driver \SystemRoot\System32\Drivers\Fips.SYS
Loaded driver \??\C:\WINDOWS\system32\Drivers\BODSys.sys
Loaded driver \SystemRoot\system32\DRIVERS\wanarp.sys
Loaded driver \SystemRoot\System32\Drivers\LHidUsb.Sys
Loaded driver \SystemRoot\system32\DRIVERS\LHidFlt2.Sys
Loaded driver \SystemRoot\system32\DRIVERS\mouhid.sys
Loaded driver \SystemRoot\system32\DRIVERS\LMouFlt2.Sys
Loaded driver \SystemRoot\System32\Drivers\Cdfs.SYS
Loaded driver \SystemRoot\system32\DRIVERS\vmnetbridge.sys
Loaded driver \SystemRoot\system32\DRIVERS\ndisuio.sys
Did not load driver \SystemRoot\System32\Drivers\Parport.SYS
Loaded driver \??\C:\WINDOWS\system32\Drivers\hcmon.sys
Loaded driver \??\C:\WINDOWS\system32\Drivers\vmx86.sys
Loaded driver \SystemRoot\System32\Drivers\HTTP.sys
Loaded driver \SystemRoot\system32\DRIVERS\ipfltdrv.sys
Loaded driver \??\C:\Program Files\!SysTools\DataKeeper\PqFsmonNt.sys
Loaded driver \??\C:\WINDOWS\system32\drivers\vmnetuserif.sys
Loaded driver \??\C:\Program Files\Common Files\VMware\VMware Virtual Image Editing\vstor2.sys
Did not load driver \SystemRoot\system32\DRIVERS\ipnat.sys
Loaded driver \SystemRoot\system32\drivers\wdmaud.sys
Loaded driver \SystemRoot\system32\drivers\sysaudio.sys
Loaded driver \SystemRoot\system32\drivers\splitter.sys
Loaded driver \SystemRoot\system32\drivers\aec.sys
Loaded driver \SystemRoot\system32\drivers\swmidi.sys
Loaded driver \SystemRoot\system32\drivers\DMusic.sys
Loaded driver \SystemRoot\system32\drivers\kmixer.sys
Loaded driver \SystemRoot\system32\drivers\drmkaud.sys
Loaded driver \SystemRoot\system32\drivers\kmixer.sys
Loaded driver \SystemRoot\system32\DRIVERS\USBSTOR.SYS
Loaded driver \SystemRoot\System32\Drivers\Fastfat.SYS
Loaded driver \SystemRoot\system32\DRIVERS\USBSTOR.SYS
Loaded driver \SystemRoot\system32\DRIVERS\USBSTOR.SYS
Loaded driver \SystemRoot\system32\drivers\kmixer.sys
Loaded driver \??\C:\Program Files\系统安全盾\SafeReg.sys
Loaded driver \??\C:\Program Files\系统安全盾\SafeReg.sys
Loaded driver \??\C:\Program Files\系统安全盾\SafeReg.sys
Loaded driver \??\C:\Program Files\系统安全盾\SafeReg.sys
Loaded driver \??\C:\Program Files\系统安全盾\SafeReg.sys
Loaded driver \??\C:\Program Files\系统安全盾\SafeReg.sys
Loaded driver \SystemRoot\system32\drivers\kmixer.sys
Loaded driver \SystemRoot\system32\drivers\kmixer.sys
Service Pack 2 8 27 2006 17:55:46.500
Loaded driver \WINDOWS\system32\ntoskrnl.exe
Loaded driver \WINDOWS\system32\hal.dll
Loaded driver \WINDOWS\system32\KDCOM.DLL
Loaded driver \WINDOWS\system32\BOOTVID.dll
Loaded driver ACPI.sys
Loaded driver \WINDOWS\system32\DRIVERS\WMILIB.SYS
Loaded driver pci.sys
Loaded driver isapnp.sys
Loaded driver compbatt.sys
Loaded driver \WINDOWS\system32\DRIVERS\BATTC.SYS
Loaded driver pciide.sys
Loaded driver \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
Loaded driver intelide.sys
Loaded driver pcmcia.sys
Loaded driver MountMgr.sys
Loaded driver ftdisk.sys
Loaded driver PartMgr.sys
Loaded driver VolSnap.sys
Loaded driver atapi.sys
Loaded driver disk.sys
Loaded driver \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
Loaded driver fltMgr.sys
Loaded driver KSecDD.sys
Loaded driver Ntfs.sys
Loaded driver NDIS.sys
Loaded driver Mup.sys
Loaded driver \SystemRoot\system32\DRIVERS\intelppm.sys
Loaded driver \SystemRoot\system32\DRIVERS\CmBatt.sys
Loaded driver \SystemRoot\system32\DRIVERS\ati2mtag.sys
Loaded driver \SystemRoot\system32\DRIVERS\b57xp32.sys
Loaded driver \SystemRoot\system32\DRIVERS\usbuhci.sys
Loaded driver \SystemRoot\system32\DRIVERS\usbehci.sys
Loaded driver \SystemRoot\system32\DRIVERS\gtipci21.sys
Loaded driver \SystemRoot\system32\DRIVERS\w29n51.sys
Loaded driver \SystemRoot\system32\drivers\STAC97.sys
Loaded driver \SystemRoot\system32\DRIVERS\i8042prt.sys
Loaded driver \SystemRoot\system32\DRIVERS\Apfiltr.sys
Loaded driver \SystemRoot\system32\DRIVERS\mouclass.sys
Loaded driver \SystemRoot\system32\DRIVERS\kbdclass.sys
Loaded driver \SystemRoot\system32\DRIVERS\serial.sys
Loaded driver \SystemRoot\system32\DRIVERS\serenum.sys
Loaded driver \SystemRoot\system32\DRIVERS\imapi.sys
Loaded driver \SystemRoot\system32\DRIVERS\cdrom.sys
Loaded driver \SystemRoot\system32\DRIVERS\redbook.sys
Loaded driver \SystemRoot\system32\DRIVERS\fsvga.sys
Loaded driver \SystemRoot\system32\DRIVERS\audstub.sys
Loaded driver \SystemRoot\system32\DRIVERS\rasl2tp.sys
Loaded driver \SystemRoot\system32\DRIVERS\ndistapi.sys
Loaded driver \SystemRoot\system32\DRIVERS\ndiswan.sys
Loaded driver \SystemRoot\system32\DRIVERS\raspppoe.sys
Loaded driver \SystemRoot\system32\DRIVERS\raspptp.sys
Loaded driver \SystemRoot\system32\DRIVERS\msgpc.sys
Loaded driver \SystemRoot\system32\DRIVERS\psched.sys
Loaded driver \SystemRoot\system32\DRIVERS\ptilink.sys
Loaded driver \SystemRoot\system32\DRIVERS\raspti.sys
Loaded driver \SystemRoot\system32\DRIVERS\rdpdr.sys
Loaded driver \SystemRoot\system32\DRIVERS\termdd.sys
Loaded driver \SystemRoot\system32\DRIVERS\swenum.sys
Loaded driver \SystemRoot\system32\DRIVERS\update.sys
Loaded driver \SystemRoot\system32\DRIVERS\mssmbios.sys
Loaded driver \SystemRoot\system32\DRIVERS\vmnetadapter.sys
Loaded driver \SystemRoot\System32\Drivers\NDProxy.SYS
Did not load driver \SystemRoot\System32\Drivers\NDProxy.SYS
Loaded driver \SystemRoot\system32\DRIVERS\usbhub.sys
Did not load driver \SystemRoot\System32\Drivers\lbrtfdc.SYS
Did not load driver \SystemRoot\System32\Drivers\Fdc.SYS
Did not load driver \SystemRoot\System32\Drivers\Flpydisk.SYS
Did not load driver \SystemRoot\System32\Drivers\Sfloppy.SYS
Did not load driver \SystemRoot\System32\Drivers\i2omgmt.SYS
Did not load driver \SystemRoot\System32\Drivers\Changer.SYS
Did not load driver \SystemRoot\System32\Drivers\Cdaudio.SYS
Loaded driver \SystemRoot\System32\Drivers\Fs_Rec.SYS
Loaded driver \SystemRoot\System32\Drivers\Null.SYS
Loaded driver \SystemRoot\System32\Drivers\Beep.SYS
Loaded driver \SystemRoot\System32\drivers\vga.sys
Loaded driver \SystemRoot\System32\Drivers\mnmdd.SYS
Loaded driver \SystemRoot\System32\DRIVERS\RDPCDD.sys
Loaded driver \SystemRoot\System32\Drivers\Msfs.SYS
Loaded driver \SystemRoot\System32\Drivers\Npfs.SYS
Loaded driver \SystemRoot\system32\DRIVERS\rasacd.sys
Loaded driver \SystemRoot\system32\DRIVERS\ipsec.sys
Loaded driver \SystemRoot\system32\DRIVERS\tcpip.sys
Loaded driver \SystemRoot\system32\DRIVERS\netbt.sys
Loaded driver \SystemRoot\system32\DRIVERS\ipnat.sys
Loaded driver \SystemRoot\System32\drivers\afd.sys
Loaded driver \SystemRoot\system32\DRIVERS\netbios.sys
Did not load driver \SystemRoot\System32\Drivers\PCIDump.SYS
Loaded driver \SystemRoot\System32\Drivers\VD_FileDisk.SYS
Loaded driver \SystemRoot\system32\DRIVERS\rdbss.sys
Loaded driver \SystemRoot\system32\DRIVERS\mrxsmb.sys
Loaded driver \SystemRoot\System32\Drivers\Fips.SYS
Loaded driver \??\C:\WINDOWS\system32\Drivers\BODSys.sys
Loaded driver \SystemRoot\system32\DRIVERS\wanarp.sys
Loaded driver \SystemRoot\system32\DRIVERS\USBSTOR.SYS
Loaded driver \SystemRoot\System32\Drivers\LHidUsb.Sys
Loaded driver \SystemRoot\system32\DRIVERS\LHidFlt2.Sys
Loaded driver \SystemRoot\system32\DRIVERS\mouhid.sys
Loaded driver \SystemRoot\system32\DRIVERS\LMouFlt2.Sys
Loaded driver \SystemRoot\System32\Drivers\Cdfs.SYS
Loaded driver \SystemRoot\System32\Drivers\Fastfat.SYS
Loaded driver \SystemRoot\system32\DRIVERS\vmnetbridge.sys
Loaded driver \SystemRoot\system32\DRIVERS\ndisuio.sys
Did not load driver \SystemRoot\System32\Drivers\Parport.SYS
Loaded driver \??\C:\WINDOWS\system32\Drivers\hcmon.sys
Loaded driver \??\C:\WINDOWS\system32\Drivers\vmx86.sys
Loaded driver \SystemRoot\System32\Drivers\HTTP.sys
Loaded driver \SystemRoot\system32\DRIVERS\ipfltdrv.sys
Loaded driver \??\C:\Program Files\!SysTools\DataKeeper\PqFsmonNt.sys
Loaded driver \??\C:\WINDOWS\system32\drivers\vmnetuserif.sys
Loaded driver \??\C:\Program Files\Common Files\VMware\VMware Virtual Image Editing\vstor2.sys
Did not load driver \SystemRoot\system32\DRIVERS\ipnat.sys
Loaded driver \SystemRoot\system32\drivers\wdmaud.sys
Loaded driver \SystemRoot\system32\drivers\sysaudio.sys
Loaded driver \SystemRoot\system32\drivers\splitter.sys
Loaded driver \SystemRoot\system32\drivers\aec.sys
Loaded driver \SystemRoot\system32\drivers\swmidi.sys
Loaded driver \SystemRoot\system32\drivers\DMusic.sys
Loaded driver \SystemRoot\system32\drivers\kmixer.sys
Loaded driver \SystemRoot\system32\drivers\drmkaud.sys
Loaded driver \SystemRoot\system32\drivers\swmidi.sys
Loaded driver \SystemRoot\system32\drivers\kmixer.sys
Loaded driver \SystemRoot\system32\drivers\splitter.sys
Loaded driver \SystemRoot\system32\drivers\aec.sys
Loaded driver \SystemRoot\system32\drivers\swmidi.sys
Loaded driver \SystemRoot\system32\drivers\DMusic.sys
Loaded driver \SystemRoot\system32\drivers\kmixer.sys
Loaded driver \SystemRoot\system32\drivers\swmidi.sys
Loaded driver \SystemRoot\system32\drivers\kmixer.sys
Loaded driver \SystemRoot\system32\drivers\kmixer.sys
Loaded driver \SystemRoot\system32\rspsc.sys
Loaded driver \??\E:\软件备份\系统工具\自动还原注册表\Rootkit\ast1.2.1\AST.sys
Loaded driver \??\E:\软件备份\系统工具\自动还原注册表\Rootkit\ast1.2.1\AST.sys
Did not load driver \??\C:\WINDOWS\system32\DarkSpyKernel.sys
Did not load driver \??\C:\WINDOWS\system32\DarkSpyKernel.sys
Did not load driver \??\C:\WINDOWS\system32\DarkSpyKernel.sys
Did not load driver \??\C:\WINDOWS\system32\DarkSpyKernel.sys
Did not load driver \??\C:\WINDOWS\system32\DarkSpyKernel.sys
Did not load driver \??\C:\WINDOWS\system32\DarkSpyKernel.sys
Did not load driver \??\C:\WINDOWS\system32\DarkSpyKernel.sys
Did not load driver \??\C:\WINDOWS\system32\DarkSpyKernel.sys
Did not load driver \??\C:\WINDOWS\system32\DarkSpyKernel.sys
Did not load driver \??\C:\WINDOWS\system32\DarkSpyKernel.sys
Loaded driver \??\C:\WINDOWS\system32\DarkSpyKernel.sys
Loaded driver \SystemRoot\system32\rspsc.sys
Loaded driver \SystemRoot\system32\drivers\kmixer.sys
Loaded driver \??\C:\WINDOWS\TEMP\F-Secure\BlackLight\fsbldrv.sys
Loaded driver \??\C:\WINDOWS\system32\Drivers\RKREVEAL150.SYS
Loaded driver \??\C:\WINDOWS\system32\drivers\Swk0217.sys
Loaded driver \SystemRoot\System32\Drivers\IsDrv118.sys
Loaded driver \??\E:\软件备份\系统工具\自动还原注册表\Rootkit\FileMgr\FileMgr.sys
Loaded driver \??\C:\Program Files\系统安全盾\SafeReg.sys
Loaded driver \??\C:\Program Files\系统安全盾\SafeReg.sys

-----------------------------
Wangsea兄弟能否给我个人定制一个SSDT的命令行傻瓜化版本？yll@hfut.edu.cn
或者可弹出一个提示：现在将开始恢复系统设置，是否确定？
另外，就算病毒利用 SSDT，但 SSDT 恢复后，病毒木马本身的HOOK也同样会失效的。

namejm

　　加入了host查看功能，这个东西太好了。
　　但是，面对emac大侠13603条的封杀内容，现在的查看功能尚未实现查询、替换，如果以后想在里面添加或者删除内容，以适应个性化的需求，恐怕会有大量的重复或者遗漏，所以，希望下个版本能对host查看这块实现像记事本那样的查询、替换操作。