[sysshield]系统安全盾

wang6071 · 发表于 2006-9-4 20:52:55

原帖由 longwang 于 2006-9-4 08:29 PM 发表
今天测试了1.0.0.25，和红叶的情况相似，完成清除后服务的状态好像没多大变化。试了下，我的瑞星防火墙服务程序还是原样。重新启动后正常加载。

原因是偶调试时屏蔽了最后的关闭服务的操作,发布时忘了打开了.
现在上传..

传错版本,楼下下载

[ 本帖最后由 wang6071 于 2006-9-4 10:05 PM 编辑 ]

小木头 · 发表于 2006-9-4 21:33:07

刚下了一个 syscheck(1.0.0.26).rar(2006-9-4 08:52 PM, 380.21 K)怎么打开是1.0.0.25版本.疑惑中.........

sck · 发表于 2006-9-4 21:43:09

应是忘记修改版本号了。

longwang · 发表于 2006-9-4 21:46:15

同上，同时“Syscheck修复前备份”里的注册表备份项目也由原来的四个减少到2个。试用后删除服务好像还是不好用，我的瑞星还是干不掉，自动升级好像被干掉了，手动启动出错。

xdg3669 · 发表于 2006-9-4 21:52:37

附件: syscheck(1.0.0.26).rar (2006-9-4 06:23 PM, 373.65 K) 这个改了！

wang6071 · 发表于 2006-9-4 22:04:27

确实上传错了版本,不过功能上都各改了一个,一个是改winsock的,一个是改关闭服务的.

现在重传两个都改了的版本.

wang6071 · 发表于 2006-9-4 22:29:05

A. Windows目录下，可以采取将除系统本身附带的那几个文件以外的其他 EXE 文

件一律改名隔离（当然得在解除病毒的自我文件名保护功能的前提下进行，这已

经不是问题，只是不要忘记程序的操作顺序）；Windows目录的 .com .pif .cmd

.bat .vbs一律删除。
B.System32 目录下非系统自带的 .com 一律删除；与系统EXE同名但扩展名为

.com 的一律删除；其他所有 .pif .cmd .bat .vbs一律删除；将 System32 目

录下只读、隐藏属性、属性无厂商标识（或非微软的？）、且与系统文件日期、

时间都不相同的文件一律改名隔离（有误杀可能，但结合属性日期时间判断后，

基本不会误杀了，而且只是改名隔离，还是极其安全的。正常程序是不会同时满

足这些条件的）。既然净化就净化彻底一点。
C. Program Files 目录下的 .exe 一律改名隔离（极个别菜鸟用户可能把程序直

接安装在这个目录而不创建子目录的，但这只是特例，而且是改名而非删

除）；.com .pif .cmd .bat .vbs 则无条件删除。
通过上述逻辑规则，99%的情况下是不会对正常的系统和应用程序产生不良影响的

，即使万一有影响也容易修复（改名即可）。因此，采取逻辑处理的方式关键一

根据不同位置，分别采取改名隔离和删除两种手段。当然，删除操作可利用一下

回收站

我觉得这个操作应做成重启后的处理过程中.因为如果清理时已经得到了干净的系统,则清理启动项(包括各种钩子)则必然清理得较干净,重启后删除那些没有加载的增圾也较顺利.
如果在快速清理中去清理这些,必然会导致清理时间延长,万一死锁了可能导致对注册表的修改不成功.所以觉得重启后再来清理这些垃圾要好一些.

hzqp · 发表于 2006-9-4 22:40:17

最好的杀流氓、木马软件就是系统没有流氓、木马存在。
如果才能做到，方法有二：一是硬盘还原卡、二是软件还原，如还原精灵、影子系统、GHOST等。
除此之外，我想不到更好的办法。一旦系统染上流氓或木马，再来修复系统，怎么修复都会不如从前。

emca · 发表于 2006-9-4 23:08:05

回楼上兄弟，最和平的世界是没有战争的世界。让美国佬不要到处打仗吧！嘿嘿～～～

还原卡绝对无法解决安全问题的，某些时候反而是安全问题的帮凶！由于还原卡的管理员客观上不可能每天转储一次系统，因此系统及杀毒更新势必就是永远是过时的；万一有新的蠕虫病毒暴发，则安装还原卡的系统会被一锅端！这种情况我在实际工作中见得太多了！其他软件还原效果也相似。但Ghost稍有不同：通常是系统有故障时才Ghost恢复，恢复过程是用户主动干预的，因此也可能会主动或自动得到更新，而随后它并没有每次启动时的还原过程，即升级后的系统和病毒库仍然保持阶段的有效性。

对文件的安全处理改为重启后的处理过程，这个想法非常周到！赞一个先！！

rufeng12 · 发表于 2006-9-5 08:14:41

感谢提供，辛苦了。

生命过客 · 发表于 2006-9-5 17:46:33

wang6071:
1、能否将SysSheid和Syscheck合而为一，方便使用。
2、Syscheck中有一个注册表备份功能，我怎么找不到？

[ 本帖最后由生命过客于 2006-9-5 06:00 PM 编辑 ]

wang6071 · 发表于 2006-9-5 22:54:24

原帖由 生命过客 于 2006-9-5 05:46 PM 发表
wang6071:
1、能否将SysSheid和Syscheck合而为一，方便使用。
2、Syscheck中有一个注册表备份功能，我怎么找不到？

关于1,不想这么做,安全盾设计的目的就是尽量减少对用户的干扰,所以提示都作得很少.一句话,设计的它的目的就是要建造一个傻瓜型的保护体系．而syscheck对用户的要求有点高，不适全菜鸟操作．

关于2,syscheck中仅在可能因操作对系统造成一定功能性影响时才备份相关的注册表，比如修复winsock前会有一个备份．

－－－－－－－－－－－
安全盾1.29更新文件如下：
1:针对面前修改Winsock,导致网页无法浏览的木马较多,将Winsock锁了.
2:对危害性较大的通过IniFileMapping加载的也锁了.
本更新包为覆盖更新，下载完整包可到我的空间下载．

syscheck 1.0.0.26(修补版)
将syscheck的进程优先级提高到<高>.
更改快速净化完成后的重启函数.

[ 本帖最后由 wang6071 于 2006-9-5 11:02 PM 编辑 ]

longwang · 发表于 2006-9-5 22:59:05

下面是我的净化后的服务程序，我认为服务净化的效果还是不是很彻底的，还是可能被木马利用的，当然鉴别第三方服务是否该禁用，比较困难。我觉得至少应该加入服务功能里的禁用功能，因为有些服务不容易被停止，禁用后重启，一般重启能够生效，从而能够被删除。最好像sreng一样，能够同时显示当前服务的启动方式，并能够在服务管理操作。有了syscheck，不在希望再到控制面板里操作。

emca · 发表于 2006-9-5 23:04:44

结合上述更新后的规则更新。
系统目录遵从Wangsea的规则，另外添加了大量新的流氓病毒规则！

longwang · 发表于 2006-9-5 23:09:10

呵呵，第一时间下载。两位大侠辛苦了。

[ 本帖最后由 longwang 于 2006-9-5 11:17 PM 编辑 ]

longwang · 发表于 2006-9-6 00:28:38

刚才试用了syscheck 1.0.0.26(修补版)版，重新启动功能还是不稳定，原来的1.0.0.26版从来没提示我重新启动。今天的第一次提示了，恢复系统后，第二次测试却没有提示重新启动。附上清除前后的服务变化情况。（系统本来就很干净）。

另外发现msconfig修改启动项目，会破坏我的boot.ini文件，不知与syscheck是否有关，有点晕。
清除前：
当前运行中的服务情况:
  第三方服务
  1[NOMS]Sentinel  E:\WINDOWS\SYSTEM32\DRIVERS\SENTINEL.SYS  2002年12月16日
  2[NOMS]SafeReg  E:\PROGRAM FILES\系统安全盾\SAFEREG.SYS  2006年6月1日
  3[NOMS]RTL8023xp  E:\WINDOWS\SYSTEM32\DRIVERS\RTNICXP.SYS  2005年9月30日
  4[NOMS]RsFwDrv  E:\PROGRAM FILES\RISING\RFW\RSFWDRV.SYS  2006年5月23日
  5[NOMS]RfwService  e:\program files\rising\rfw\rfwsrv.exe  2006年5月23日
  6[NOMS]Ptilink  E:\WINDOWS\SYSTEM32\DRIVERS\PTILINK.SYS  2004年8月8日
  7[NOMS]nv3  E:\WINDOWS\SYSTEM32\DRIVERS\NV3.SYS  2004年8月24日
  8[NOMS]npkcrypt  C:\PROGRAM FILES\TENCENT\QQ\TMDLLS\NPKCRYPT.SYS  2005年9月27日
  9[NOMS]mProcRs  E:\PROGRAM FILES\RISING\RFW\MPROCRS.SYS  2006年5月23日
  10[NOMS]HookUrl  E:\PROGRAM FILES\RISING\RFW\HOOKURL.SYS  2006年5月23日
  11[NOMS]cmpci  E:\WINDOWS\SYSTEM32\DRIVERS\CMAUDIO.SYS  2002年11月18日
  12[NOMS]BaseTDI  E:\WINDOWS\SYSTEM32\DRIVERS\BASETDI.SYS  2006年5月23日
  微软服务
  1[IsMS]ACPI  E:\WINDOWS\SYSTEM32\DRIVERS\ACPI.SYS  2004年8月8日
  2[IsMS]agp440  E:\WINDOWS\SYSTEM32\DRIVERS\AGP440.SYS  2004年8月24日
  3[IsMS]AudioSrv  E:\WINDOWS\SYSTEM32\AUDIOSRV.DLL  2004年8月8日
  4[IsMS]audstub  E:\WINDOWS\SYSTEM32\DRIVERS\AUDSTUB.SYS  2004年8月24日
  5[IsMS]Cdrom  E:\WINDOWS\SYSTEM32\DRIVERS\CDROM.SYS  2004年8月8日
  6[IsMS]CryptSvc  E:\WINDOWS\SYSTEM32\CRYPTSVC.DLL  2004年8月8日
  7[IsMS]DcomLaunch  E:\WINDOWS\SYSTEM32\RPCSS.DLL  2005年7月26日
  8[IsMS]Disk  E:\WINDOWS\SYSTEM32\DRIVERS\DISK.SYS  2004年8月8日
  9[IsMS]dmio  E:\WINDOWS\SYSTEM32\DRIVERS\DMIO.SYS  2004年8月8日
  10[IsMS]dmload  E:\WINDOWS\SYSTEM32\DRIVERS\DMLOAD.SYS  2004年8月8日
  11[IsMS]dmserver  E:\WINDOWS\SYSTEM32\DMSERVER.DLL  2004年8月8日
  12[IsMS]Eventlog  E:\WINDOWS\SYSTEM32\SERVICES.EXE  2004年11月1日
  13[IsMS]EventSystem  E:\WINDOWS\system32\es.dll  2005年7月26日
  14[IsMS]Fdc  E:\WINDOWS\SYSTEM32\DRIVERS\FDC.SYS  2004年8月8日
  15[IsMS]Flpydisk  E:\WINDOWS\SYSTEM32\DRIVERS\FLPYDISK.SYS  2004年8月8日
  16[IsMS]FltMgr  E:\WINDOWS\SYSTEM32\DRIVERS\FLTMGR.SYS  2004年8月8日
  17[IsMS]FsVga  E:\WINDOWS\SYSTEM32\DRIVERS\FSVGA.SYS  2004年8月8日
  18[IsMS]Ftdisk  E:\WINDOWS\SYSTEM32\DRIVERS\FTDISK.SYS  2004年8月8日
  19[IsMS]gameenum  E:\WINDOWS\SYSTEM32\DRIVERS\GAMEENUM.SYS  2004年8月24日
  20[IsMS]Gpc  E:\WINDOWS\SYSTEM32\DRIVERS\MSGPC.SYS  2004年8月8日
  21[IsMS]IntelIde  E:\WINDOWS\SYSTEM32\DRIVERS\INTELIDE.SYS  2004年8月8日
  22[IsMS]IpFilterDriver  E:\WINDOWS\SYSTEM32\DRIVERS\IPFLTDRV.SYS  2004年8月8日
  23[IsMS]IPSec  E:\WINDOWS\SYSTEM32\DRIVERS\IPSEC.SYS  2004年8月8日
  24[IsMS]kmixer  E:\WINDOWS\SYSTEM32\DRIVERS\KMIXER.SYS  2004年8月24日
  25[IsMS]lanmanserver  E:\WINDOWS\SYSTEM32\SRVSVC.DLL  2004年12月8日
  26[IsMS]lanmanworkstation  E:\WINDOWS\SYSTEM32\WKSSVC.DLL  2004年8月8日
  27[IsMS]MDM  E:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe  2001年2月23日
  28[IsMS]mssmbios  E:\WINDOWS\SYSTEM32\DRIVERS\MSSMBIOS.SYS  2004年8月8日
  29[IsMS]Netman  E:\WINDOWS\SYSTEM32\NETMAN.DLL  2005年8月23日
  30[IsMS]P3  E:\WINDOWS\SYSTEM32\DRIVERS\P3.SYS  2004年8月8日
  31[IsMS]Parport  E:\WINDOWS\SYSTEM32\DRIVERS\PARPORT.SYS  2004年8月8日
  32[IsMS]PlugPlay  E:\WINDOWS\SYSTEM32\SERVICES.EXE  2004年11月1日
  33[IsMS]PptpMiniport  E:\WINDOWS\SYSTEM32\DRIVERS\RASPPTP.SYS  2004年8月8日
  34[IsMS]ProtectedStorage  E:\WINDOWS\SYSTEM32\LSASS.EXE  2004年11月1日
  35[IsMS]Rasl2tp  E:\WINDOWS\SYSTEM32\DRIVERS\RASL2TP.SYS  2004年8月8日
  36[IsMS]RasPppoe  E:\WINDOWS\SYSTEM32\DRIVERS\RASPPPOE.SYS  2004年8月8日
  37[IsMS]Raspti  E:\WINDOWS\SYSTEM32\DRIVERS\RASPTI.SYS  2004年8月8日
  38[IsMS]Rdbss  E:\WINDOWS\SYSTEM32\DRIVERS\RDBSS.SYS  2006年5月5日
  39[IsMS]RDPCDD  E:\WINDOWS\SYSTEM32\DRIVERS\RDPCDD.SYS  2004年8月8日
  40[IsMS]rdpdr  E:\WINDOWS\SYSTEM32\DRIVERS\RDPDR.SYS  2004年8月24日
  41[IsMS]redbook  E:\WINDOWS\SYSTEM32\DRIVERS\REDBOOK.SYS  2004年8月24日
  42[IsMS]RpcSs  E:\WINDOWS\SYSTEM32\RPCSS.DLL  2005年7月26日
  43[IsMS]SamSs  E:\WINDOWS\SYSTEM32\LSASS.EXE  2004年11月1日
  44[IsMS]SDI  E:\WINDOWS\SYSTEM32\DRIVERS\SDI.SYS  2002年9月4日
  45[IsMS]SENS  E:\WINDOWS\SYSTEM32\SENS.DLL  2004年8月8日
  46[IsMS]serenum  E:\WINDOWS\SYSTEM32\DRIVERS\SERENUM.SYS  2004年8月8日
  47[IsMS]ShellHWDetection  E:\WINDOWS\SYSTEM32\SHSVCS.DLL  2004年8月8日
  48[IsMS]Srv  E:\WINDOWS\SYSTEM32\DRIVERS\SRV.SYS  2006年4月21日
  49[IsMS]stisvc  E:\WINDOWS\SYSTEM32\WIASERVC.DLL  2004年8月8日
  50[IsMS]swenum  E:\WINDOWS\SYSTEM32\DRIVERS\SWENUM.SYS  2004年8月8日
  51[IsMS]sysaudio  E:\WINDOWS\SYSTEM32\DRIVERS\SYSAUDIO.SYS  2004年8月24日
  52[IsMS]TDDI  E:\WINDOWS\SYSTEM32\DRIVERS\TDDI.SYS  2004年11月13日
  53[IsMS]TermDD  E:\WINDOWS\SYSTEM32\DRIVERS\TERMDD.SYS  2004年8月24日
  54[IsMS]TrkWks  E:\WINDOWS\SYSTEM32\TRKWKS.DLL  2004年8月8日
  55[IsMS]Update  E:\WINDOWS\SYSTEM32\DRIVERS\UPDATE.SYS  2004年8月8日
  56[IsMS]usbhub  E:\WINDOWS\SYSTEM32\DRIVERS\USBHUB.SYS  2004年8月8日
  57[IsMS]usbuhci  E:\WINDOWS\SYSTEM32\DRIVERS\USBUHCI.SYS  2004年8月8日
  58[IsMS]VgaSave  E:\WINDOWS\SYSTEM32\DRIVERS\VGA.SYS  2004年8月8日
  59[IsMS]Wanarp  E:\WINDOWS\SYSTEM32\DRIVERS\WANARP.SYS  2004年8月8日
  60[IsMS]wdmaud  E:\WINDOWS\SYSTEM32\DRIVERS\WDMAUD.SYS  2004年8月24日
  61[IsMS]winmgmt  E:\WINDOWS\SYSTEM32\WBEM\WMISVC.DLL  2004年8月8日
  62[IsMS]wuauserv  E:\WINDOWS\system32\wuauserv.dll  2004年8月8日

清除后：
  当前运行中的服务情况:
  第三方服务
  1[NOMS]Sentinel  E:\WINDOWS\SYSTEM32\DRIVERS\SENTINEL.SYS  2002年12月16日
  2[NOMS]SafeReg  E:\PROGRAM FILES\系统安全盾\SAFEREG.SYS  2006年6月1日
  3[NOMS]RTL8023xp  E:\WINDOWS\SYSTEM32\DRIVERS\RTNICXP.SYS  2005年9月30日
  4[NOMS]RsFwDrv  E:\PROGRAM FILES\RISING\RFW\RSFWDRV.SYS  2006年5月23日
  5[NOMS]Ptilink  E:\WINDOWS\SYSTEM32\DRIVERS\PTILINK.SYS  2004年8月8日
  6[NOMS]nv3  E:\WINDOWS\SYSTEM32\DRIVERS\NV3.SYS  2004年8月24日
  7[NOMS]npkcrypt  C:\PROGRAM FILES\TENCENT\QQ\TMDLLS\NPKCRYPT.SYS  2005年9月27日
  8[NOMS]mProcRs  E:\PROGRAM FILES\RISING\RFW\MPROCRS.SYS  2006年5月23日
  9[NOMS]HookUrl  E:\PROGRAM FILES\RISING\RFW\HOOKURL.SYS  2006年5月23日
  10[NOMS]cmpci  E:\WINDOWS\SYSTEM32\DRIVERS\CMAUDIO.SYS  2002年11月18日
  11[NOMS]BaseTDI  E:\WINDOWS\SYSTEM32\DRIVERS\BASETDI.SYS  2006年5月23日
  微软服务
  1[IsMS]ACPI  E:\WINDOWS\SYSTEM32\DRIVERS\ACPI.SYS  2004年8月8日
  2[IsMS]agp440  E:\WINDOWS\SYSTEM32\DRIVERS\AGP440.SYS  2004年8月24日
  3[IsMS]audstub  E:\WINDOWS\SYSTEM32\DRIVERS\AUDSTUB.SYS  2004年8月24日
  4[IsMS]Cdrom  E:\WINDOWS\SYSTEM32\DRIVERS\CDROM.SYS  2004年8月8日
  5[IsMS]DcomLaunch  E:\WINDOWS\SYSTEM32\RPCSS.DLL  2005年7月26日
  6[IsMS]Disk  E:\WINDOWS\SYSTEM32\DRIVERS\DISK.SYS  2004年8月8日
  7[IsMS]dmio  E:\WINDOWS\SYSTEM32\DRIVERS\DMIO.SYS  2004年8月8日
  8[IsMS]dmload  E:\WINDOWS\SYSTEM32\DRIVERS\DMLOAD.SYS  2004年8月8日
  9[IsMS]Eventlog  E:\WINDOWS\SYSTEM32\SERVICES.EXE  2004年11月1日
  10[IsMS]EventSystem  E:\WINDOWS\system32\es.dll  2005年7月26日
  11[IsMS]Fdc  E:\WINDOWS\SYSTEM32\DRIVERS\FDC.SYS  2004年8月8日
  12[IsMS]Flpydisk  E:\WINDOWS\SYSTEM32\DRIVERS\FLPYDISK.SYS  2004年8月8日
  13[IsMS]FltMgr  E:\WINDOWS\SYSTEM32\DRIVERS\FLTMGR.SYS  2004年8月8日
  14[IsMS]FsVga  E:\WINDOWS\SYSTEM32\DRIVERS\FSVGA.SYS  2004年8月8日
  15[IsMS]Ftdisk  E:\WINDOWS\SYSTEM32\DRIVERS\FTDISK.SYS  2004年8月8日
  16[IsMS]gameenum  E:\WINDOWS\SYSTEM32\DRIVERS\GAMEENUM.SYS  2004年8月24日
  17[IsMS]Gpc  E:\WINDOWS\SYSTEM32\DRIVERS\MSGPC.SYS  2004年8月8日
  18[IsMS]IntelIde  E:\WINDOWS\SYSTEM32\DRIVERS\INTELIDE.SYS  2004年8月8日
  19[IsMS]IpFilterDriver  E:\WINDOWS\SYSTEM32\DRIVERS\IPFLTDRV.SYS  2004年8月8日
  20[IsMS]IPSec  E:\WINDOWS\SYSTEM32\DRIVERS\IPSEC.SYS  2004年8月8日
  21[IsMS]kmixer  E:\WINDOWS\SYSTEM32\DRIVERS\KMIXER.SYS  2004年8月24日
  22[IsMS]mssmbios  E:\WINDOWS\SYSTEM32\DRIVERS\MSSMBIOS.SYS  2004年8月8日
  23[IsMS]Netman  E:\WINDOWS\SYSTEM32\NETMAN.DLL  2005年8月23日
  24[IsMS]P3  E:\WINDOWS\SYSTEM32\DRIVERS\P3.SYS  2004年8月8日
  25[IsMS]Parport  E:\WINDOWS\SYSTEM32\DRIVERS\PARPORT.SYS  2004年8月8日
  26[IsMS]PlugPlay  E:\WINDOWS\SYSTEM32\SERVICES.EXE  2004年11月1日
  27[IsMS]PptpMiniport  E:\WINDOWS\SYSTEM32\DRIVERS\RASPPTP.SYS  2004年8月8日
  28[IsMS]ProtectedStorage  E:\WINDOWS\SYSTEM32\LSASS.EXE  2004年11月1日
  29[IsMS]Rasl2tp  E:\WINDOWS\SYSTEM32\DRIVERS\RASL2TP.SYS  2004年8月8日
  30[IsMS]RasPppoe  E:\WINDOWS\SYSTEM32\DRIVERS\RASPPPOE.SYS  2004年8月8日
  31[IsMS]Raspti  E:\WINDOWS\SYSTEM32\DRIVERS\RASPTI.SYS  2004年8月8日
  32[IsMS]Rdbss  E:\WINDOWS\SYSTEM32\DRIVERS\RDBSS.SYS  2006年5月5日
  33[IsMS]RDPCDD  E:\WINDOWS\SYSTEM32\DRIVERS\RDPCDD.SYS  2004年8月8日
  34[IsMS]rdpdr  E:\WINDOWS\SYSTEM32\DRIVERS\RDPDR.SYS  2004年8月24日
  35[IsMS]redbook  E:\WINDOWS\SYSTEM32\DRIVERS\REDBOOK.SYS  2004年8月24日
  36[IsMS]RpcSs  E:\WINDOWS\SYSTEM32\RPCSS.DLL  2005年7月26日
  37[IsMS]SamSs  E:\WINDOWS\SYSTEM32\LSASS.EXE  2004年11月1日
  38[IsMS]SDI  E:\WINDOWS\SYSTEM32\DRIVERS\SDI.SYS  2002年9月4日
  39[IsMS]SENS  E:\WINDOWS\SYSTEM32\SENS.DLL  2004年8月8日
  40[IsMS]serenum  E:\WINDOWS\SYSTEM32\DRIVERS\SERENUM.SYS  2004年8月8日
  41[IsMS]ShellHWDetection  E:\WINDOWS\SYSTEM32\SHSVCS.DLL  2004年8月8日
  42[IsMS]Srv  E:\WINDOWS\SYSTEM32\DRIVERS\SRV.SYS  2006年4月21日
  43[IsMS]stisvc  E:\WINDOWS\SYSTEM32\WIASERVC.DLL  2004年8月8日
  44[IsMS]swenum  E:\WINDOWS\SYSTEM32\DRIVERS\SWENUM.SYS  2004年8月8日
  45[IsMS]sysaudio  E:\WINDOWS\SYSTEM32\DRIVERS\SYSAUDIO.SYS  2004年8月24日
  46[IsMS]TDDI  E:\WINDOWS\SYSTEM32\DRIVERS\TDDI.SYS  2004年11月13日
  47[IsMS]TermDD  E:\WINDOWS\SYSTEM32\DRIVERS\TERMDD.SYS  2004年8月24日
  48[IsMS]Update  E:\WINDOWS\SYSTEM32\DRIVERS\UPDATE.SYS  2004年8月8日
  49[IsMS]usbhub  E:\WINDOWS\SYSTEM32\DRIVERS\USBHUB.SYS  2004年8月8日
  50[IsMS]USBSTOR  E:\WINDOWS\SYSTEM32\DRIVERS\USBSTOR.SYS  2004年8月24日
  51[IsMS]usbuhci  E:\WINDOWS\SYSTEM32\DRIVERS\USBUHCI.SYS  2004年8月8日
  52[IsMS]VgaSave  E:\WINDOWS\SYSTEM32\DRIVERS\VGA.SYS  2004年8月8日
  53[IsMS]Wanarp  E:\WINDOWS\SYSTEM32\DRIVERS\WANARP.SYS  2004年8月8日
  54[IsMS]wdmaud  E:\WINDOWS\SYSTEM32\DRIVERS\WDMAUD.SYS  2004年8月24日
  55[IsMS]winmgmt  E:\WINDOWS\SYSTEM32\WBEM\WMISVC.DLL  2004年8月8日

[ 本帖最后由 longwang 于 2006-9-6 12:40 AM 编辑 ]

emca · 发表于 2006-9-6 07:24:10

我整理转发到Winzheng，让更多的人能够用上Wangsea的反流氓工具吧！一律在工具前面标明 Wangsea 字样：）
大家有空时经常去顶一帖，把Wangsea的好东东普及给普天下的可怜菜鸟们吧！
http://bbs.winzheng.com/viewthre ... &extra=page%3D1

[ 本帖最后由 emca 于 2006-9-6 07:48 AM 编辑 ]

gdlgh · 发表于 2006-9-6 08:25:25

非常值得分享，已在赢政强烈要求置顶！！！wang兄也会高兴越来越多的人用上！！！

free123456 · 发表于 2006-9-6 08:30:48

太感谢,正在使用

ncne · 发表于 2006-9-6 08:32:05

运行快速净化后出现出错提示，没有原来的重启提示，重启电脑后不能进入系统并反复重启，最后只有用最后一次的正确配置才进入系统。

[ 本帖最后由 ncne 于 2006-9-6 09:02 AM 编辑 ]

紫狐 · 发表于 2006-9-6 09:42:30

就我昨天使用syschk 1.0.0.25进行清理木马后对syschk提的一些建议：
1、在执行<快速净化>的时候没有进度提示，所以状态栏的提示建议改成当前已经净化到那的提示；
2、Windsock的恢复好像没有起作用，我在清理的时候提示清理被阻止，必需到安全模式恢复，启动到安全模式运行的时候也出现这个提示，在启动后依然无法上网，然后在正常模式使用WINSOCKXPFIX修复后上网就正常了，所以希望这个功能能够进一步完善；
3、希望能够支持命令行参数，这样对于一些在启动后过一会就几乎不能操作的机器可以手工添加一个bat在启动菜单，让机器在启动后自动执行<快速净化>；
4、服务管理的设置项比较少，没有启动、设置手动、设置自动启动；驱动方面没有以上项目和引导启动、系统启动；
5、希望能把文件关联修复制作成单独的界面；
6、Hosts不要清空，而是设置为默认的127.0.0.1 localhost；

sunkist · 发表于 2006-9-6 10:50:02

晕。。install驱动不了。

紫狐 · 发表于 2006-9-6 11:07:37

原帖由 sunkist 于 2006-9-6 10:50 AM 发表
晕。。install驱动不了。

把这个服务删除掉，然后重新按照该服务。

longwang · 发表于 2006-9-6 11:57:20

呵呵，boot.ini中包含有中文字符，运行msconfig，并点击“确定“，就会出现字符减少现象，看来不是syscheck的问题。

[ 本帖最后由 longwang 于 2006-9-6 12:34 PM 编辑 ]

wang6071 · 发表于 2006-9-6 13:08:08

原帖由紫狐于 2006-9-6 09:42 AM 发表
1、在执行<快速净化>的时候没有进度提示，所以状态栏的提示建议改成当前已经净化到那的提示；
2、Windsock的恢复好像没有起作用，我在清理的时候提示清理被阻止，必需到安全模式恢复，启动到安全模式运行的时候也出现这个提示，在启动后依然无法上网，然后在正常模式使用WINSOCKXPFIX修复后上网就正常了，所以希望这个功能能够进一步完善；
3、希望能够支持命令行参数，这样对于一些在启动后过一会就几乎不能操作的机器可以手工添加一个bat在启动菜单，让机器在启动后自动执行<快速净化>；
4、服务管理的设置项比较少，没有启动、设置手动、设置自动启动；驱动方面没有以上项目和引导启动、系统启动；
5、希望能把文件关联修复制作成单独的界面；
6、Hosts不要清空，而是设置为默认的127.0.0.1 localhost；

关于1:快速净化的速度很快,状态栏有提示,但因速度太快无法显示.
关于2:昨天已修复winsock的问题,往楼上翻一下下载1.0.0.26版即可.
关于3:似乎作用不大,1.0.0.26版的优先级已提高.
关于4:服务项功能已经在添加(只添加启动,停止,禁用,删除),因为大部份是win的服务可调整的,没必要为功能的完整写大量的代码增大程序体积.
关于5:从第一版的syscheck2中就有了此功能,在活动文件页,仅在被修改后才会显示,正常值不显示.
关于6:您一定没查看过修复后的host!

谢谢您的建议.

--------------------------------------------------------------------
关于syscheck2快速清理后的还原及木马残值的处理:
1:如果发现服务出了问题,可双击备份中的服务备份.reg,导入后重启可还原.(对于有木马的系统也可以在重启后导入它,然后再在syscheck中删除不要的服务,此时这些服务都没有启动,删除很容易)
2:对注册表启动项,可在运行中输入msconfig,勾选禁用的启动项,然后msconfg会提示是否重启,此时先不重启.打开syscheck删除木马的启动项再重启.

[ 本帖最后由 wang6071 于 2006-9-6 01:18 PM 编辑 ]

sunkist · 发表于 2006-9-6 14:11:05

原帖由紫狐于 2006-9-6 11:07 AM 发表

把这个服务删除掉，然后重新按照该服务。

版主，用那个软件？

只看该作者 · 发表于 2006-9-6 15:01:29

提示: 作者被禁止或删除内容自动屏蔽

紫狐 · 发表于 2006-9-6 15:46:53

原帖由 sunkist 于 2006-9-6 02:11 PM 发表

版主，用那个软件？

SRVADMIN.EXE

紫狐 · 发表于 2006-9-6 16:01:43

原帖由 wang6071 于 2006-9-6 01:08 PM 发表

关于1:快速净化的速度很快,状态栏有提示,但因速度太快无法显示.
关于2:昨天已修复winsock的问题,往楼上翻一下下载1.0.0.26版即可.
关于3:似乎作用不大,1.0.0.26版的优先级已提高.
关于4:服务项功能已经在添 ...

1、那么在净化后快速净化按钮是否会重新变成可点击？我昨天测试的时候发现在运行5-6分钟后那个按钮依然是灰色的，所以不知道净化了没有，就重新启动了，如果不添加提示，那么应该在处理完了按钮再恢复过来或者自动重启或者给个提示，昨天处理的时候没有自动重启，我使用了三次都没有；
3、你可能没有碰到过一些机器是启动后按个开始菜单都要几分钟才出来的机器，在那样的情况下要运行syschk恐怕没有半个钟头以上是运行不了的，我就多次见得中毒这么严重的机器，连安全模式也会，清理起来巨痛苦，所以才希望有这个功能，就是syschk /auto的话就自动运行快速净化；
6、昨天的机器的hosts就是空白的，有可能是机器原来的问题，我没有仔细查看，呵呵；

紫狐 · 发表于 2006-9-6 16:04:17

原帖由 longwang 于 2006-9-6 11:57 AM 发表
呵呵，boot.ini中包含有中文字符，运行msconfig，并点击“确定“，就会出现字符减少现象，看来不是syscheck的问题。

msconfig的这个BUG好像已经存在很久了。

		自动登录	找回密码
密码			注册

dell8080 该用户已被删除	1527^# 发表于 2006-9-6 15:01:29 \| 只看该作者提示: 作者被禁止或删除内容自动屏蔽
dell8080 该用户已被删除
	回复使用道具举报显身卡

[sysshield]系统安全盾

syscheck 1.0.0.26(修补版)还得修正