[sysshield]系统安全盾

emca

首先，信任列表是有用的，可以让我们快速对当前服务状态有一个初步过滤参考；
但再好的工具也在乎人用，如果你认为直接用信任列表即可解决一切问题，那样倒不如重装系统来得直接。
Syscheck 是同时兼顾菜鸟和高手两类人群的工具，对于高手，要解决的是如何最大限度节省处理故障的时间；对于菜鸟，即可快速解决，也可手工逐项处理以学习一点最基本的系统知识。

当前本人处理得最多的就是利用 Autorun 功能实现激活的病毒，对于没有经验的用户，格式化C盘都无法解决问题！今天我自己也在处理一台机器时，忘记对E盘一个分区进行查杀处理，结果不小心又把病毒激活了！因此，能否在启动 Syscheck 时，默认禁用掉系统的 Autorun 功能？那东西实在烦！使用光盘或U盘时，自己打开一下资源管理器难道就那么困难吗？

尤其是最近的利用 Autorun、结合回收站目录可能不被纳入杀软扫描视线、并且通过移动设备自动感染的病毒，在扩散能力上虽然不比冲击波来得快，但扩散后绝对顽固——因为根本不可能做到全社会的所有人对所有移动设备进行杀毒处理！因此交叉感染、屡除不尽，越感染越多。这种公开的漏洞才是最可怕的，就象中国的管理体制，互联网让人无法无天，美国要灭亡中国，只需将雅虎助手自动升级一下就行了，到时全中国所有上网电脑全部瘫痪，二炮都没有机会出手，国民经济就完蛋了（大家想想千千万万的办公室、办事处的电脑不能使用会是什么样子吧！），但根本没有人管，政府还在那儿心安理得！

紫狐

刚才对1.0.0.32版本进行试用，才发现信任列表的功能虽然不是我原先所说的那样的功能，但是在很大程度可以使检测变得更方便，而是连微软的系统服务和自定义的服务添加进去，这样在快速净化的时候也就更方便了，可以一定程度降低手工检测的难度，现在上传在红叶和wang6071的信任列表的基础上添加诺顿企业版的列表。

wang6071

原帖由 emca 于 2006-9-17 09:39 PM 发表
首先，信任列表是有用的，可以让我们快速对当前服务状态有一个初步过滤参考；
但再好的工具也在乎人用，如果你认为直接用信任列表即可解决一切问题，那样倒不如重装系统来得直接。
Syscheck 是同时兼顾菜鸟和高 ...

安全盾是加了autorun.inf的禁写了,syscheck新版也加了autorun.inf的清理,本来想再清理点东西才发布新版,看红叶兄这么一说autorun.inf有点漫延了，所以先上传吧．．．

syscheck(1.0.0.33)
<敏感键值页>
HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System\Scripts
一般系统中无此键值，只有设置过组策略才有。因此可以一律删除此键值！
命令行自动运行：
HKEY_CURRENT_USER\Software\Microsoft\Command Processor      //正常时不存在autorun
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor //存在AutoRun值,空
上述位置可以有一个 autorun的键项，默认是空白。如果有内容，则执行CMD时会自动执行键值内容。
对威金病毒修改的注册键检查
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\system.ini\boot
键值:Winlogon ,一般不存在，处理是直接删除．
对同主键下键值:Shell,也进行检查,此键若非默认值时可恢复默认值．
加入DisableCMD检测.
<活动文件页>
对%windows%\system32\GroupPolicy\Machine\Scripts\Scripts.ini
也是通过配置scripts.ini实现运行的脚本方式,一般机器都没有Script.ini脚本配置.(处理是只删除script.ini使其无法启动，相关vbs文件请自行到该目录下删除)

托盘右键菜单加入<删除可疑木马文件>,这个功能还未完成,目前仅处理各可写盘(C-Z)根目录的Autorun.inf文件.查找到检测是否有.exe启动,并检测是否在recycled下的目录启动,是就删除整个目录,不是则只删除文件,最后删除autorun.inf(各文件删除是删除到回收站)

关于<删除可疑木马文件>各位有什么好建议尽管提出，前提是不能影响正常的程序，保守点删除．

[ 本帖最后由 wang6071 于 2006-9-17 11:01 PM 编辑 ]

sunkist

昨天去朋友家修电脑，朋友家里的电脑出现以下问题。
EF盘会出出AUTO自动播放的功能，杀毒软件目前还杀不了，不知道是为何。？

happyday2

原帖由 sunkist 于 2006-9-18 08:24 AM 发表
昨天去朋友家修电脑，朋友家里的电脑出现以下问题。
EF盘会出出AUTO自动播放的功能，杀毒软件目前还杀不了，不知道是为何。？

就用你楼上那个工具好了。

emca

建议：添加一个免疫移动磁盘自动激活病毒的免疫功能（创建一个Autorun.inf的隐藏目录，其下面再创建一个带有“ .”号的目录以防止删除 ）。毕竟移动磁盘目前已经成为非常突出的一个交叉感染源。
以下是我制作的免疫脚本，供参考。
另外，发现在一种Autorun病毒仍然在运行时，脚本中的处理无法执行成功，因为病毒对 Autorun.inf 进行了保护，连改名都难。因此最好在处理时检测是否处理成功。目前我下面的脚本并没有检测是否操作成功的功能。

@Echo Off
color 9f
REM title 移动介质病毒免疫工具
:reg
Rem 无条件禁止自动运行特性防范病毒
reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoDriveAutoRun /t REG_BINARY /d ffffff03 /f>nul
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer" /v NoDriveTypeAutoRun /t REG_DWORD /d 0x000000df /f>nul
reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoDriveTypeAutoRun /t REG_DWORD /d 0x000000df /f>nul
reg add "HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoDriveTypeAutoRun /t REG_DWORD /d 0x000000df /f>nul
reg add "HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoDriveTypeAutoRun /t REG_DWORD /d 0x000000df /f>nul
reg add "HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoDriveTypeAutoRun /t REG_DWORD /d 0x000000df /f>nul
reg add "HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoDriveTypeAutoRun /t REG_DWORD /d 0x000000df /f>nul

:menu1
cls
Echo.
Echo.
Echo                        磁盘 Autorun 病毒免疫工具  By 深山红叶
Echo.
Echo                移动磁盘容易受到利用移动设备的自动运行特性而感染和发作的病毒
Echo                的侵袭，而我们无法保证其他的机器中没有这类病毒。
Echo.
Echo                本工具可对移动磁盘进行特别的免疫处理，使得它的自动运行特性完
Echo                失效，从而避免带毒的移动磁盘插入本机后病毒立即自动执行。
Echo                当然，您也完全可以对硬盘分区进行免疫处理。
Echo.
Echo.
Echo                [1] 免疫当前系统中所有磁盘
Echo                [2] 只免疫指定磁盘或移动磁盘
Echo                [3] 退出
Set Choice=
Echo.
Set /P Choice=         请输入要执行的操作，然后按回车：
Echo.
If '%Choice%'=='' goto other
If /I '%Choice%'=='1' GOTO alldisk
If /I '%Choice%'=='2' GOTO setlet
If /I '%Choice%'=='3' GOTO end
Goto menu1

:alldisk
Echo.
Echo                正在免疫！可能需要一小会时间，请稍候……
for %%a in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do echo Y|cacls %%a:\autorun.inf /C /P everyone:F>nul 2>nul
for %%a in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do attrib -s -h -r %%a:\Autorun.inf>nul 2>nul
for %%a in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do Del /F /S /Q %%a:\Autorun.inf>nul 2>nul
for %%a in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do md %%a:\Autorun.inf\>nul 2>nul
for %%a in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do md %%a:\Autorun.inf\病毒免疫目录不要删除！..\>nul 2>nul
for %%a in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do attrib +s +h +r %%a:\Autorun.inf>nul 2>nul
for %%a in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do echo Y|cacls %%a:\autorun.inf /C /P everyone:R>nul 2>nul
cls
Echo.
Echo                当前系统的所有磁盘已经成功地进行了自动运行病毒免疫！
Echo                任意键退出……
pause>nul
goto end


:setlet
Echo.
Echo                请插入移动磁盘，确定盘符已经分配完毕后，任意键继续……
pause>nul
Echo.
Set Choice=
Set /P Choice=         请输入要免疫的移动磁盘的盘符，如 F: 然后按回车：
If '%Choice%'=='' goto setlet
echo Y|cacls %Choice%\autorun.inf /C /P everyone:F>nul 2>nul
If Exist %Choice%\Autorun.inf Del /F /S /Q %Choice%\Autorun.inf>nul 2>nul
md %Choice%\Autorun.inf\>nul 2>nul
md %Choice%\Autorun.inf\病毒免疫目录不要删除！..\>nul 2>nul
attrib +s +h +r %Choice%\Autorun.inf>nul 2>nul
echo Y|cacls %Choice%\Autorun.inf /P everyone:R>nul


cls
Echo.
Echo                指定的磁盘　%Choice%　已经成功地进行了病毒免疫！

:other
Echo.
Echo                [1] 继续免疫其他的磁盘        [2] 退出
Set Choice=
Echo.
Set /P Choice=         请输入要执行的操作，然后按回车：
Echo.
If '%Choice%'=='' goto other
If /I '%Choice%'=='1' GOTO setlet
If /I '%Choice%'=='2' GOTO end
Goto other

:End
cls
Echo.
Echo                友情提示：
Echo                如果系统中已经感染了打开磁盘分区即自动运行的病毒，请用本工具
Echo                对所有磁盘进行免疫处理后，立即重启计算机，然后这类病毒就不会
Echo                在打开磁盘时自动运行了。此时只需直接删除病毒文件即可！
Echo.
Echo                任意键退出……
pause>nul
Exit


-------------------------------
至于删除可疑木马文件，处理流程初步考虑如下：
首选提醒用户关闭所有工作窗口。确定后，首选由程序试图关闭桌面已经打开并处于显示状态的窗口。这点非常重要，可给后面的判断带来极大方便！
1.将所有可能自动运行的位置的值收集到一起，其中有多条路径和文件名；
2.对上述条目进行判断，只要不是系统启动所必须的EXE文件，一律杀除进程；
3.对于Windows目录及子目录中加载的 EXE，除系统必须的几个外，一律重命名（此时被误杀的只有极个别的鼠标驱动等可能从Windows目录加载的程序）；对于以Rundll32加载的模块，一律重命名（或删除到回收站）；对于注入到系统关键进程中的隐藏进程，如果加载路径在Windows目录及子目录，则一律卸载模块并改名；
4.对于Program Files目录中的EXE模块，如果在Program Files的根目录，则一律清除到回收站（误杀的只有极个别菜鸟把所有应用程序都安装到程序目录的情况。那种人通常反正是死，不在乎误杀一次）；如果在程序目录的子目录，则改名（由于已经关闭所有用户窗口，因此误杀日常工作程序的可能性几乎就是0，只有极个别的情况下可能导致误杀，一时还真想不出来关闭所有窗口后必须存在的EXE的关键进程。我的机器上只有笔记本触摸屏驱动程序被我安装在程序目录。结束后也并不影响使用）。
5. 对于回收站和系统还原目录（需要系统权限），由于正常删除的程序全部是以D开头，因此非D开头的EXE一律直接删除；其他EXE程序，如果不怕速度缓慢一点的话，可以将文件名在回收站的info文件中搜索，如果能够匹配，则是正常的删除的文件，否则一律删除。
6. 所有C以后磁盘的根目录的Autorun功能：先禁用系统注册表中的自动运行功能（不要手软！菜鸟再菜，打开磁盘的操作并不复杂！与屡次中毒、时时受威胁相比，这个代价实在太值得！）；然后检测所有非只读介质中的Autorun.inf并删除，然后创建假目录免疫之（当然设置为系统和隐藏属性。方便时可设置访问权限）。由于前面已经结束了所有可疑进程，因此病毒的守护功能会失效，这些操作可一次成功的。最后，把注册表中的Mountpoint2键值删除一次以避免有病毒修改了磁盘的打开方式。

上述操作，很多信息可借助现有的已经收集到的资料，技术难度虽然有一些，但可以慢慢一步步实现。

说得不妥之处还望大家指正！

emca

另，Wangsea在完成上述功能后，可以考虑做一个英文版本，放到国外，赚点美元去！因此前期功能实现后，可设计成资源模式，以便于翻译成多语言传播。

非常人

原帖由 emca 于 2006-9-18 09:33 发表
另，Wangsea在完成上述功能后，可以考虑做一个英文版本，放到国外，赚点美元去！因此前期功能实现后，可设计成资源模式，以便于翻译成多语言传播。

红叶兄，以后发批处理文件，建议使用编辑模式的代码功能，否则，DZ的表情经常会出来干扰！：）

或者，把“禁用 Smilies”勾起来也可以！:handshake

ah1283328

桌面上不知什么时候多了三个文件，用各种工具均删除不掉，包括syscheck的文件浏览及红叶盘上的工具。看属性没有异常，无隐藏等属性，但syscheck看有其他属性，字节数为零，移动、改名也不可以。出现提示“无法删除文件：无法读源文件或磁盘”。
不知如何解决。请各位大侠诊断一下。谢谢。

[ 本帖最后由 ah1283328 于 2006-9-18 01:48 PM 编辑 ]

emca

那是典型的带“.”的文件，普通方法无法删除。以下是解决方法：
1. 使用深山红叶PE工具盘中“密码破解”类别中的“特殊目录访问管理”工具，可直接删除这种文件；
2. 进入命令行，再进入到桌面所在的目录，输入
dir /x
可看到带点的顽固文件对应的真实的8-3格式的文件名，然后用 del XXXXX 的命令格式删除（这里的XXX用真实文件名替换）。
3.最好追查一下产生这个文件的原因。如果上述办法仍然不能删除，则可能是内存中有病毒进程，请试图逐一结束可疑进程后反复删除测试，看看是哪个可疑进程搞的鬼。

happyday2

原帖由 emca 于 2006-9-18 09:30 AM 发表
...
至于删除可疑木马文件，处理流程初步考虑如下：
...

　　红叶大侠的这个方案应该是一剂良药，但我不太赞同，因为下药太猛了，会妨碍用户的自由的。作为一款工具软件，不管你的功能有多强大，你也不能强迫别人一定按照你的规则来使用计算机，既使这个规则是一个好的规范。一定要考虑到我们的国情：十个有九个半都是菜鸟呀。一个好的防护工具应该是：既能最大程度的保障计算机的安全，又不能让用户感觉到你的存在。

　　如果仅是提示，不妨严一些，误报一两个也无所谓，如果是要删除，那就绝对不能仅是可疑，必须做到确定。

　　我有两个方案，供参考一下。

　　一、使用黑名单。

　　1、分析进程模块和服务，先过滤掉系统的和一些确认没问题的模块和服务。这样可以降低黑名单有误时导致正常文件被删除的风险。

　　2、将剩下的模块和服务与黑名单核对，一致则卸载模块、服务并删除文件。

　　这个方案的优点是：可以做到删除的确定性，不会误删用户的有用程序，不妨碍用户的个性设置。这也是目前各种杀软为何采用病毒库方案的原因。

　　缺点是：需要不断更新黑名单，麻烦，同时，只有黑名单中有了，才能起作用，具有滞后性。

　　二、用户自定义法（白名单）。

　　1、为模块和服务创建信任列表，服务信任列表功能已有，只需为进程模块也建立同样的列表即可，进程的信任由模块决定，如果一个进程的所有模块都是信任的，则进程就是信任的，如果进程（不管系统或非系统的）中，有一个模块是不信任的，则此进程就是不可信任的。

　　2、使用第一个方案，对进程和服务进行分析，当查出黑名单中的文件时，如果此文件被加入信任列表，则给出提示，让用户决定是否删除，如果删除，则一并删除信任列表中的项目；如果查出的文件不在信任列表中，则直接删除。（这个步骤是为了提高程序的智能化，减少第3步所列的项目数量，如果设计麻烦或影响效率，可以不要这一步）

　　3、列出所有不信任的模块和服务，并给出提示，允许用户将选中模块或服务转入信任列表、删除选中模块、服务和文件、删除所有模块、服务和文件。

　　这个方案的优点是：灵活、强大，有预防性，可以杀除未知病毒。

　　缺点是：需要用户有一定的计算机知识和经验，不易普及。

　　我个人的意见是，两个方案都要，默认开启第一个方案，高级用户可以使用第二个方案，就像安全盾的文件监视规则一样，菜鸟老鸟统统照顾。（想要冲出国门，赚取美元，就得方方面面都照顾到）

　　盼望安全盾和反黑工具早日普及，冲出国门，赚取美元。不过，到时论坛的兄弟们可得享受免费哟。

ah1283328

原帖由 emca 于 2006-9-18 01:58 PM 发表
那是典型的带“.”的文件，普通方法无法删除。以下是解决方法：
1. 使用深山红叶PE工具盘中“密码破解”类别中的“特殊目录访问管理”工具，可直接删除这种文件；
2. 进入命令行，再进入到桌面所在的目录，输入 ...

谢谢emca，原来一直考虑用类似“顽固文件删除”工具，没有注意到红叶盘上的“密码破解”类别中的“特殊目录访问管理”工具，惭愧！对红叶光盘的使用看来还是一知半解，还要提高自身水平，向各位高人多学习。

[ 本帖最后由 ah1283328 于 2006-9-18 02:24 PM 编辑 ]

紫狐

原帖由 ah1283328 于 2006-9-18 01:42 PM 发表
桌面上不知什么时候多了三个文件，用各种工具均删除不掉，包括syscheck的文件浏览及红叶盘上的工具。看属性没有异常，无隐藏等属性，但syscheck看有其他属性，字节数为零，移动、改名也不可以。出现提示“无法删除 ...

直接用冰刃删除就可以了。不过这几个文件名字好像是某个病毒产生的，最好查查来源。

sck

冰刃进程分析工具也可以的，我以前试过。

sck

原帖由 sck 于 2006-9-18 04:01 PM 发表
用红叶工具箱中的“冰刃进程分析”工具也可以的，我以前试过。

wang6071

syscheck(1.0.0.34)
删除可疑木马文件功能如下:

1:优化删除Autorun.inf及其启动文件的算法,如果存在Autorun.inf启动的文件则删除文件,如果该文件隐藏于回收站下的目录中,则还要将其隐藏目录删除.
  如果修复过Autorun.inf,则修复完毕后还原磁盘的打开方式,并置禁用硬盘的自动播放,同时修复一下"打开方式"

2:对*.com的处理
删除%windows% *.com(系统本身的除外),删除program file下*.com

3:对文件不在其应在的目录的处理
svchost.exe;winlogon.exe;services.exe;lsass.exe;ctfmon.exe;conime.exe;spoolsv.exe;以上文件如非在system32下而在windows下时删除.

4:对高发的假冒系统文件的处理
%windows%及system32下存在如下文件则删除
iexplorer.exe;iexp1orer.exe;iexplorer.exe;iexplore.exe;exp1orer.exe;expl0rer.exe;svhost;svch0st.exe;service.exe;netstart.exe;winlogo.exe;rundll.exe;rundll16.exe;rund1l32.exe;rundl132.exe;systems.exe;windows.exe;wincfgs.exe;

如上处理仅仅是方便在修复前后顺手执行一下清理垃圾之用,分析木马修复系统仍需个人分析.

个人觉得还是不要盲目急求效果,稳定安全第一.

本楼的1.0.0.34版存在bug,已修正在楼下.

--------------------------------------------------------------------------------
册除 ca8xg9wj.文件的方法：
mkdir ca8xg9wj      
//先创建同名文件夹(注意，是文件夹)，不进dos，直接创建文件夹好象也行,时间久了，以前试过的.
rd ca8xg9wj           
//直接删除刚创建的这个文件夹就删除了带.的文件．此步可在资源管理器中执行

[ 本帖最后由 wang6071 于 2006-9-18 10:13 PM 编辑 ]

freesoft00

syscheck和安全盾越来越强了。
更新好快，记得软件刚出来时真的，感觉这样的软件一大堆，没什么特色。现在真是翻天覆地的变化。
我发现软件这样发布有个好处，交互性强，问题反馈及时，当然，软件越来越好和王兄的勤谨和认真也分不开。

xdg3669

删除program file下*.com

是否把program file下子文件夹下的*.com也删除了？好像有的程序的确也包含有*.com,如easyboot、卡巴杀软kis6.0等。

[ 本帖最后由 xdg3669 于 2006-9-18 09:51 PM 编辑 ]

namejm

原帖由 emca 于 2006-9-18 01:58 PM 发表
那是典型的带“.”的文件，普通方法无法删除。以下是解决方法：
1. 使用深山红叶PE工具盘中“密码破解”类别中的“特殊目录访问管理”工具，可直接删除这种文件；
2. 进入命令行，再进入到桌面所在的目录，输入
dir /x
可看到带点的顽固文件对应的真实的8-3格式的文件名，然后用 del XXXXX 的命令格式删除（这里的XXX用真实文件名替换）。

　　红叶的解决方法挺不错的，其实还有更简洁的方案，请参考下面这个帖子的第8条：[超级技巧]畸形目录[5-21更新]
http://www.cn-dos.net/forum/view ... =%E7%95%B8%E5%BD%A2

xdg3669

报告一个bug:

启动syscheck后点其他项目后，再点回进程管理时没有内容！

[ 本帖最后由 xdg3669 于 2006-9-18 10:38 PM 编辑 ]

wang6071

原帖由 xdg3669 于 2006-9-18 09:50 PM 发表



是否把program file下子文件夹下的*.com也删除了？好像有的程序的确也包含有*.com,如easyboot、卡巴杀软kis6.0等。

确实如此,想来现在已进入了xp时代,没想到还原那么多*.com存在,请等一下我取消这条删除.

wang6071

修正版,修改了上面不小心出现的Bug,
修正删除 program file下所有的*.com为删除program file一级目录下*.com,*.exe

[ 本帖最后由 wang6071 于 2006-9-19 12:08 AM 编辑 ]

wang6071

不好意思,发现将进程的自动刷新弄丢了,再更新一次syscheck(1.0.0.34)

chujiafu

请教Wnag6071兄一个菜问题，SysShield可以禁止在C:或D:的根目录下创建任何文件，如何禁止在C:或D:的根目录下创建目录？

比如：在C:\Program Files目录下禁止创建任何目录，这样可以防止在不知情的情况下，流氓软件自动安装。

happyday2

原帖由 wang6071 于 2006-9-18 09:14 PM 发表
syscheck(1.0.0.34)
删除可疑木马文件功能如下:

1:优化删除Autorun.inf及其启动文件的算法,如果存在Autorun.inf启动的文件则删除文件,如果该文件隐藏于回收站下的目录中,则还要将其隐藏目录删除.
  如果修复 ...

此功能不够透明，没有任何提示，如果不看这个说明，根本不知道软件做了些什么？既使看了说明，具体到我的机器上，也不知道到底删了些什么文件。

wang6071

原帖由 happyday2 于 2006-9-19 08:37 AM 发表


此功能不够透明，没有任何提示，如果不看这个说明，根本不知道软件做了些什么？既使看了说明，具体到我的机器上，也不知道到底删了些什么文件。

都说是顺手帮您清了,有就清除,没有就什么也不做,每步都要提示,你点得累我写得也累呀!

要测试该功能按楼上贴子中所删除的文件伪照几个放到那几个目录中去.
autorun.inf测试必须含有shellexecute（或open）行指定的程序.(没有shellexecute或open的无害,不做删除)

[ 本帖最后由 wang6071 于 2006-9-19 12:23 PM 编辑 ]

6618

原帖由 wang6071 于 2006-9-19 12:15 PM 发表


都说是顺手帮您清了,有就清除,没有就什么也不做,每步都要提示,你点得累我写得也累呀!

要测试该功能按楼上贴子中所删除的文件伪照几个放到那几个目录中去.
autorun.inf测试必须含有shellexecute（或open） ...

说得有理，这也提示，那也提示的，看到就烦。

[ 本帖最后由 6618 于 2006-9-19 01:11 PM 编辑 ]

namejm

　　呵呵，wang6071说的不错，写代码是非常累人的。但是，happyday2说的好象也没错，因为用户确实对一些操作心里没底，都不知道按下某些按钮之后，执行的是一个什么样的操作。如果用户都不知道究竟做了些什么，那么，就算程序的功能再强悍，我想，很多人都会望而却步的——如果心里没底，从某种程度上来说，一个软件功能越是强大，对用户来说就越是一种灾难。如果在一些重要的地方加上一些鼠标指向提示的话，效果可能会好得多，实现起来估计也不难吧？如果觉得这个建议既不实用又会令你写代码的时候分心，那不考虑也罢。

namejm

　　经过测试，当autorun.inf内容中没有shellexecute或open行内容的时候，照样被删除了。

wang6071

原帖由 namejm 于 2006-9-19 01:32 PM 发表
　　经过测试，当autorun.inf内容中没有shellexecute或open行内容的时候，照样被删除了。

我说的是不会删除 Icon这样指定的从程序中提取图标的程序本身,不是autorun.inf,autorun.inf掉了算什么,还可重建,程序掉了可能就找不回来了.

[ 本帖最后由 wang6071 于 2006-9-19 02:34 PM 编辑 ]