[sysshield]系统安全盾

紫狐 · 发表于 2006-9-6 16:04:17

原帖由 longwang 于 2006-9-6 11:57 AM 发表
呵呵，boot.ini中包含有中文字符，运行msconfig，并点击“确定“，就会出现字符减少现象，看来不是syscheck的问题。

msconfig的这个BUG好像已经存在很久了。

wang6071 · 发表于 2006-9-6 19:15:50

syscheck 1.0.0.27

取消反注册ocx或dll,因为有恶软将反注册变成重复安装,且影响跳出选项会使快速清理中断,
所以改为现的直接删除clsid.

修复快速清理输出信息中的一个小bug,调整代码使重启更可靠.

修复关于驱动器中没有软盘,忽略,继续,取消的系统提示.

将原来快速清中输出禁用的服务报告改为:还原禁用的服务.bat,直接执行还原快速净化后更改
了的服务的启动类型.

修复服务页显示非微软服务时漏判非微软驱动的Bug.

服务管理页的右键增设开启,关闭,禁用,删除服务,要注意的是:

1:因有的服务开启关闭时间过长,故设为3秒后刷新,超过这个时间请在各页面中切换一下手动刷新.
2:如果原服务是禁用,则开启后将会将服务类型改为手动并启动服务.如果是测试,请使用后禁用.
如果要设为自动请在Win的服务管理器中更改.
3:因有的服务需要相关服务启动后才能启用,故由禁用服务不一定能启动成功,但仍将其启动类型改
为了手动.(即原禁用的服务若启动失败,启动类型也更改为手动了)

wang6071 · 发表于 2006-9-6 19:26:21

to 紫狐 :
净化后快速净化按钮是否会重新变成可点击？净化后就直接重启了.
你测试的版本可能是重启不成功(27新版应该没问题了),但不影响净化效果.

syschk /auto的话就自动运行快速净化:参数问题有些人是希望可以用的,但绝非必要.原因是如果程序的优先级低,有无界面都一样.
另外,偶一直不愿做参数的原因是防止程序被木马利用.有很多所谓的黑客就是将各类工具捆绑综合调用过杀软的.想想如果先用syscheck /auto清理干净杀软的监护,再安装木马,然后删除生成的文件,一个批处理完成......

[ 本帖最后由 wang6071 于 2006-9-6 08:42 PM 编辑 ]

wang6071 · 发表于 2006-9-6 20:37:46

原帖由 dell8080 于 2006-9-6 03:01 PM 发表
我使用安全盾(1.29)，但是文件监控设置该如何设置才能不让以下的病毒创建新文件呢

我试过添加windll.dll入黑名单是可以阻止创建在 C:\WINDOWS\system
但是其他的 cvfvuzwyv.exe ， cqbhmknhf.exe 却不能够阻 ...

已测试附件,默认设置下创建的文件都删除了,有何问题?安全盾的原理不是阻止创建文件,而是创建后删除它.
加上注册表监视,断绝了它加载启动途径,即使有一两个文件存在于temp或其它非监视目录下，也是非活动的增圾文件．

那个你注册表监视显示阻止并删除的进程在删除文件列表中之所以不可见，是因为安全盾第一次未删除的文件（比如文件正在运行）,会放一个重复删除列表中，而该列表删除的文件在列表中不会显示．也就是说，即使你点了允许，因为该文件在监视目录下，也会结束进程并删除的．

[ 本帖最后由 wang6071 于 2006-9-6 08:43 PM 编辑 ]

6618 · 发表于 2006-9-6 21:32:33

使用 syscheck(1.0.0.27）版快速净化重启时，我的机子出现蓝屏，选最一次正确配置则能正常启动。估计是服务的问题引起的，图片如下（手机拍的），仅供参考。

wang6071 · 发表于 2006-9-6 21:46:00

原帖由 6618 于 2006-9-6 09:32 PM 发表
使用 syscheck(1.0.0.27）版快速净化重启时，我的机子出现蓝屏，选最一次正确配置则能正常启动。估计是服务的问题引起的，图片如下（手机拍的），仅供参考。

应该在兰屏发生后进试验一下用安全模式能否进入?运行快速净化时有无杀软进程活动?
能进安全模式也许可以找到原因,如不能进则可能是禁用硬件驱动的原因了.

[ 本帖最后由 wang6071 于 2006-9-6 09:53 PM 编辑 ]

6618 · 发表于 2006-9-6 21:56:33

我的机子是没装杀毒软件的，我再用SYSCHECK检测发现，这个服务能停止，重启后也不会蓝屏：

6618 · 发表于 2006-9-6 21:57:38

还有这个服务，却不能停止：

6618 · 发表于 2006-9-6 22:00:17

第二次净化，不会蓝屏，但cdnprot.sys这个服务仍在运行，另，备份中生成了一个t.reg记事本打开时失去响应：

wang6071 · 发表于 2006-9-6 22:03:57

贴出还原禁用的服务.bat 的内容及HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\cdnprot的键内容,尝试能否修改该键下的start值

另外,还原禁用的服务.bat的内容只有这两项吗?这两个驱动的文件属性中是哪个公司的?是否是你的某个硬件的驱动?
从文件的创建时间来看这两个服务很可疑,9月4日你都装过哪些软件呀?关闭不了服务还可按路径找到该服务,先备份一个,然后加入<重启后删除>,重起后没有问题再删除服务项.

t.reg是偶合并reg输出为一个文件时的临时文件,按理应删除了的,不如为何却留下了,你试试注销一下,可能该文件已经不存了.

[ 本帖最后由 wang6071 于 2006-9-6 10:14 PM 编辑 ]

6618 · 发表于 2006-9-6 22:15:36

cdnprot.sys是cnnic客户端中文域名的服务，结束不了估计是因为有线程保护。
上面说的两个都不是我的系统的硬件驱动，都是2006年9月4日生成的，196781.sys应该是一个病毒，但暂时不知是什么病毒，不过这个东东能禁用，应该很容易解决掉。
我的机子并没有生成”还原禁用的服务.bat “的批理文件。

6618 · 发表于 2006-9-6 22:24:41

原来cnnic这个流氓hook了很多东东，用SYSCHECK恢复后，就能禁用了，第三次使用快速净化，还是只备份了如下图的两个REG，没发现“还原禁用的服务.bat ”

[ 本帖最后由 6618 于 2006-9-6 10:25 PM 编辑 ]

wang6071 · 发表于 2006-9-6 22:41:38

测试版本,删除了.

[ 本帖最后由 wang6071 于 2006-9-6 11:51 PM 编辑 ]

xdg3669 · 发表于 2006-9-6 22:53:08

原帖由 6618 于 2006-9-6 09:32 PM 发表
使用 syscheck(1.0.0.27）版快速净化重启时，我的机子出现蓝屏，选最一次正确配置则能正常启动。估计是服务的问题引起的，图片如下（手机拍的），仅供参考。

我的情况与版主的一模一样！启动后蓝屏，好像错误信息也一样！但启动项目有一项未清除！但把ctfmon.exe清理掉了！也没发现“还原禁用的服务.bat ”

[ 本帖最后由 xdg3669 于 2006-9-6 10:57 PM 编辑 ]

wxdjs · 发表于 2006-9-6 23:03:11

今天我用快速净化，也是出现蓝屏，只能恢复成最后一次正常启动才能进入系统（不过这是在安全模式下），然后再一次快速净化，但没自动重启，手动重启后可以，不过就是显卡的驱动死活装不上，现在只能用默认vga（因为这个才能用真彩），安装显卡驱动后只有4色，郁闷死了。

6618 · 发表于 2006-9-6 23:05:39

用了wangsea兄重新上传的syscheck(1.0.0.27)问题还是一样，且似乎更严重，不会重启。我等下试syscheck(1.0.0.26)再来反馈。

6618 · 发表于 2006-9-6 23:16:30

我把注册表还原到2006年8月17日再试第一个syscheck(1.0.0.27)，同样是蓝屏，和之样的情况一样。想去安全模式同样蓝屏，最后一次正确配置能正常启动。

xdg3669 · 发表于 2006-9-6 23:19:07

cnnic(中文上网)这个文件夹设置了只读+ntfs权限（见图2），但它已经安装进这个文件夹了！真的要防它了！图3.图4是安装cnnic后权限更改与文件。

6618 · 发表于 2006-9-6 23:22:49

一个小建议：不知SYSCHECK再快速净化前有没有恢复HOOK，如果没有，建议先恢复HOOK再实化汪册表的净化。

6618 · 发表于 2006-9-6 23:30:41

原帖由 wxdjs 于 2006-9-6 11:03 PM 发表
今天我用快速净化，也是出现蓝屏，只能恢复成最后一次正常启动才能进入系统（不过这是在安全模式下），然后再一次快速净化，但没自动重启，手动重启后可以，不过就是显卡的驱动死活装不上，现在只能用默认vga（因 ...

你用红叶的“快速净化系统”试试，我懒得去找在哪一楼有下了，我这里传一个给你，你试试吧，说不定用了以后能装上你的显卡驱动。

6618 · 发表于 2006-9-6 23:32:00

如果还不行，再用这个把服务恢复到默认值，应该就能装上你的显卡驱动了：

6618 · 发表于 2006-9-6 23:37:54

如果不行，请跟帖——我猜测一般都行的。

xdg3669 · 发表于 2006-9-6 23:40:31

用了最新的附件: syscheck(1.0.0.27).rar (2006-9-6 10:41 PM, 381.31 K)测试：

1.安装了：图1

2.启动快速净化后弹出图2

3.点确定后也不会重启，手动重启，用正常模式，安全模式均出现6618的蓝屏信息！只有用最后一次正确配置可以启动！

4.备份的文件只有图3中3个。

wang6071 · 发表于 2006-9-6 23:44:34

现在可能搞定了,原来是一个隐藏得很深的执行时序问题.
清进程过程这步中出错解决了,但后续还有问题,本附件删除.

-----------------------
提醒一下:修复系统能力不强的不要参加这个快速修复功能的测试了.

其实出错后的修复很简单:

如果备份中有.reg备份就双击,.bat也双击,然后打开msconfig 将禁用的项目恢复,
然后重启就可以了,千万不要重复执行,因为会将备份覆盖.(当然,作为测试可以将第一个备份文件夹改名)

[ 本帖最后由 wang6071 于 2006-9-7 12:11 AM 编辑 ]

wxdjs · 发表于 2006-9-6 23:47:16

原帖由 6618 于 2006-9-6 11:37 PM 发表
如果不行，请跟帖——我猜测一般都行的。

因为是公司同事电脑，明天试了反馈。谢谢了，整年潜水，刚提出问题就这么热心帮助解决。

6618 · 发表于 2006-9-6 23:51:34

原帖由 wxdjs 于 2006-9-6 11:47 PM 发表

因为是公司同事电脑，明天试了反馈。谢谢了，整年潜水，刚提出问题就这么热心帮助解决。

不用客气，大家互相帮助，互相学习，欢迎朋友你跟帖。

6618 · 发表于 2006-9-6 23:59:36

试了第三个syscheck(1.0.0.27)，快速净化后不会自动重启，我手动重启后生成下面的两个注册表文件——这次不会蓝屏！从xdg3669朋友提供的信息看，SYSCHECK在快速净化系统的时候应该是没有还原SSTD的，建议还原SSTD再净化注册表。

[ 本帖最后由 6618 于 2006-9-7 12:02 AM 编辑 ]

longwang · 发表于 2006-9-7 00:05:26

syscheck(1.0.0.27).rar (2006-9-6 11:44 PM, 381.37 K)对停止的服务操作，没反应。

[ 本帖最后由 longwang 于 2006-9-7 12:09 AM 编辑 ]

wang6071 · 发表于 2006-9-7 00:09:48

原帖由 6618 于 2006-9-6 11:59 PM 发表
试了第三个syscheck(1.0.0.27)，快速净化后不会自动重启，我手动重启后生成下面的两个注册表文件——这次不会蓝屏！从xdg3669朋友提供的信息看，SYSCHECK在快速净化系统的时候应该是没有还原SSTD的，建议还原SSTD ...

ssdt是还原了的,现在上传第4个修改版,这个版本提示出出错在哪个部位.

=============
syscheck(1.0.0.27).rar (2006-9-6 11:44 PM, 381.37 K)对停止的服务操作，没反应

是哪种操作,如果无反应请先测试一下win的看是否也是不行.

[ 本帖最后由 wang6071 于 2006-9-7 12:14 AM 编辑 ]

longwang · 发表于 2006-9-7 00:18:21

我试着对瑞星防火墙的一个驱动RsFwDrv.sys，进行操作，注册表里没什么变化。上一个1.0.0.27我还禁用过的。上一次它是运行状态。

[ 本帖最后由 longwang 于 2006-9-7 12:28 AM 编辑 ]

		自动登录	找回密码
密码			注册