无忧启动论坛

 找回密码
 注册
搜索
系统gho:最纯净好用系统下载站投放广告、加入VIP会员,请联系 微信:wuyouceo
楼主: wang6071
打印 上一主题 下一主题

[sysshield]系统安全盾

[复制链接]
2161#
 楼主| 发表于 2006-10-8 20:11:30 | 只看该作者
原帖由 ok-gao 于 2006-10-8 07:26 PM 发表
哦。可能是这样的。

我开机,一直开着Ad Muncher的(拦广告的,163破解版),在安全盾中,如果点选其它的进程,C:\Program Files\Ad Muncher\AM20163.dll也经常误显示,可能是由于因为是破解后的文件,而且 ...


不是你说的这些,syscheck清理的肯定是系统不需要的文件,删除这些文件不会系统带来任何风险,所谓疑似几乎等同于肯定是了木马了,因为这个用的是经验整理,而不是特征库,不会误判.

清理内容在前面发布时的贴子有说,再贴一次你对照检查:

删除可疑木马文件功能如下:

1:优化删除Autorun.inf及其启动文件的算法,如果存在Autorun.inf启动的文件则删除文件,如果该文件隐藏于回收站下的目录中,则还要将其隐藏目录删除.
  如果修复过Autorun.inf,则修复完毕后还原磁盘的打开方式,并置禁用硬盘的自动播放,同时修复一下"打开方式"

2:对*.com的处理
删除%windows% *.com(系统本身的除外),删除program file下*.com

3:对文件不在其应在的目录的处理
svchost.exe;winlogon.exe;services.exe;lsass.exe;ctfmon.exe;conime.exe;spoolsv.exe;以上文件如非在system32下而在windows下时删除.

4:对高发的假冒系统文件的处理
%windows%及system32下存在如下文件是删除
iexplorer.exe;iexp1orer.exe;iexplorer.exe;iexplore.exe;exp1orer.exe;expl0rer.exe;svhost;svch0st.exe;service.exe;netstart.exe;winlogo.exe;rundll.exe;rundll16.exe;rund1l32.exe;rundl132.exe;systems.exe;windows.exe;wincfgs.exe;

如上处理仅仅是方便在修复前后顺手执行一下清理垃圾之用,分析木马修复系统仍需个人分析.

[ 本帖最后由 wang6071 于 2006-10-8 08:18 PM 编辑 ]
回复

使用道具 举报

2162#
发表于 2006-10-8 22:03:14 | 只看该作者
我也试上www.550011.com 这个网站,很惨啊。
当时机子假死,注销用户后才正常(这时还可上网)。重启后就不能上网,用Syscheck 的Winsock修复根本没用。也试过System Repair Engineer 的Winsock修复也不行。最后把我上星期备份的注册表恢复后才正常。
(我的系统是Win2000,曾试过多次在能上网的情况下用Syscheck 的Winsock修复,重启后就不能上网了。)

[ 本帖最后由 zrfdcs 于 2006-10-8 10:07 PM 编辑 ]
回复

使用道具 举报

2163#
发表于 2006-10-8 22:37:45 | 只看该作者
2000 环境的Winsock修复确实有问题。我想最好是区分XP/2000的不同系统分别修复。
回复

使用道具 举报

2164#
发表于 2006-10-8 22:59:57 | 只看该作者
为什么现在很多网站弹出的木马,广告窗口是IE啊,我默认是TT啊
有办法解决吗(比如修改注册表,还是在那设置),谢谢
回复

使用道具 举报

2165#
发表于 2006-10-8 23:25:48 | 只看该作者
看了下安装目录的说明,对监控规则的理解还不是很透,有说能有个详细的说明,比如说类型过滤指定,选勾后是过滤掉这些指定的文件不监控还是专门就监控这些指定的文件?

另外黑名单我写了个2.EXE,3.exe怎么加不进去?
回复

使用道具 举报

2166#
 楼主| 发表于 2006-10-9 00:32:39 | 只看该作者
安全盾及syscheck都作了一点小更新.

-----------------------------------------------
askai  
默认TT应该不弹IE出来了,可能你的默认后又设回来了.你也可以用用Maxthon一段时间再比较一下哪个更方便安全.

gs971wd  
到偶的空间(http://wangsea.ys168.com)去下载chm的说明,有图示如何操作.

syscheck(1.0.0.44).rar

396.83 KB, 下载次数: 67, 下载积分: 无忧币 -2

SysShield.rar

311.7 KB, 下载次数: 77, 下载积分: 无忧币 -2

安全盾1.4覆盖升级文件

回复

使用道具 举报

2167#
发表于 2006-10-9 11:59:23 | 只看该作者
所有向wang兄提有关弹出广告和流氓软件的问题的网友,请你们不要使用IE 浏览器,因为它太不堪一击了。
目前,对付流氓软件没有太好的办法,建议使用其它浏览器。做的比较好的浏览器有两个大类,一是采用IE内核的,如:maxthon(傲游)、MyIE等。二是采用非IE内核的,如:Opera、火狐等。

[ 本帖最后由 生命过客 于 2006-10-9 12:13 PM 编辑 ]
回复

使用道具 举报

2168#
发表于 2006-10-9 12:33:10 | 只看该作者
1.我发现在WINDOWS任务管理器,点结束进程SYSSHIELD,安全盾就轻易结束了(不象正常退出,还要输几个数字),这就会导致像莫些病毒自动杀杀毒软件进程一样.
2.安全盾是绿色软件,但我觉得要安全盾完全和系统融合(因为作为防护,需要在系统底层运载),还是要有驱动程序存在.世界上好多安全软件都要驱动程序(也许我是菜鸟,SRENG也是绿色的啊,还不是好用,但有个叫冰刃的安全软件,自称在系统底层,什么隐藏的都可以看到.好想每次用要加驱动.还要什么SSM,许多杀软安装后都要重启)当然要做驱动程序会增加不少新的问题,和系统,其他监控软件冲突的概率加大,(是不是加了驱动程序,软件就好呢,我也不知道)
现在的安全盾其实也不错了.如果修改难度太大,不改也行,但第一条好改吗,实在是不想安全盾那么轻易的和EXPLORER,还有drwtsn32系统医生程序错误,而自己退出

[ 本帖最后由 askai 于 2006-10-9 12:34 PM 编辑 ]
回复

使用道具 举报

2169#
发表于 2006-10-9 12:53:08 | 只看该作者
转贴一片好文:
 文件监控做好了,配合严密的规则可以从源头上杜绝木马病毒的入侵,一个病毒连文件都写不到我的磁盘上,更不要去谈运行了,所以我觉得文件监控是最重要的第一道防线。设置好了,应该能杜绝90%以上的木马病毒的入侵,包括已知和未知。

  既使突破第一道防线,还有第二道防线--注册表监控,一个木马病毒写不了注册表和启动项,无法激活,充其量只是一堆没用的垃圾。

  两道防线都突破了,那就交给最后一道防线--应用程序执行监控,控制木马病毒不要运行。从而实现三位一体的全方位监控。

  所以,每一道防线都至关重要,不能轻视。

  而一些软件,比如SSM,虽然做得很好,但缺少了第一道防线,令人不太满意。




不知这3条防线防住了,就是终级防毒了,呵呵
希望syscheck,SysShield能做到
回复

使用道具 举报

2170#
发表于 2006-10-9 18:06:01 | 只看该作者
新版 安全盾1.4 运行时和不信任程序安装时(信任程序安装和退出就没问题):

gpedit.msc.gif (25.38 KB, 下载次数: 146)

gpedit.msc.gif
回复

使用道具 举报

2171#
发表于 2006-10-9 20:57:20 | 只看该作者
为什么有些病毒进程想关也关不掉,还要重启到安全模式杀
建议安全盾进程也学学病毒的顽固作法,呵呵
回复

使用道具 举报

2172#
 楼主| 发表于 2006-10-9 21:32:12 | 只看该作者
进程防杀还没空搞,  bdfcy 贴图说明安全盾保护了组策略的修改.

---------------------------------------------------------------------------------
请使用win2000上网的兄弟帮忙测试一下下面的附件能否正常恢复Winsock.使用步骤内有详述,注意使用前先备份你正常的Winsock键.

2000WinsockFix.rar

3.58 KB, 下载次数: 19, 下载积分: 无忧币 -2

回复

使用道具 举报

2173#
发表于 2006-10-9 21:39:39 | 只看该作者
原帖由 bdfcy 于 2006-10-9 06:06 PM 发表
新版 安全盾1.4 运行时和不信任程序安装时(信任程序安装和退出就没问题):

安全盾1.4 运行时和不信任程序安装时,我的XP系统运行组策略正常.
回复

使用道具 举报

2174#
发表于 2006-10-9 21:57:33 | 只看该作者
原帖由 wang6071 于 2006-10-9 09:32 PM 发表

---------------------------------------------------------------------------------
请使用win2000上网的兄弟帮忙测试一下下面的附件能否正常恢复Winsock.


测试了一下,OK了。

[ 本帖最后由 zrfdcs 于 2006-10-9 09:58 PM 编辑 ]
回复

使用道具 举报

2175#
发表于 2006-10-9 22:22:25 | 只看该作者
wang6071 :
有一个按钮位置应放上一点。

未命名.JPG (38.69 KB, 下载次数: 123)

未命名.JPG
回复

使用道具 举报

2176#
发表于 2006-10-9 23:17:10 | 只看该作者
我觉得自己定义规则很好,还有,能不能做个能导出规则的,比如文件监控设置这里,弄个导出规则的,这样可以方便给朋友或者自己恢复安装时候不必一个个添加...
回复

使用道具 举报

2177#
发表于 2006-10-10 07:25:42 | 只看该作者
开关机脚本还有一处要监视:


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\State\Machine\Scripts
回复

使用道具 举报

2178#
发表于 2006-10-10 07:35:33 | 只看该作者
原帖由 张汉疯 于 2006-10-9 11:17 PM 发表
我觉得自己定义规则很好,还有,能不能做个能导出规则的,比如文件监控设置这里,弄个导出规则的,这样可以方便给朋友或者自己恢复安装时候不必一个个添加...

这个规则不就是该程序的文件夹下的文本文件吗?
回复

使用道具 举报

2179#
发表于 2006-10-10 09:07:25 | 只看该作者
绿色软件的是直接复制粘贴过来就可以用了,这个安全盾也可以吗?
回复

使用道具 举报

2180#
发表于 2006-10-10 09:09:25 | 只看该作者
这个是纯绿色的,环保节能咧...
回复

使用道具 举报

2181#
发表于 2006-10-10 16:02:09 | 只看该作者
原帖由 wang6071 于 2006-10-9 09:32 PM 发表
进程防杀还没空搞,  bdfcy 贴图说明安全盾保护了组策略的修改.

---------------------------------------------------------------------------------
请使用win2000上网的兄弟帮忙测试一下下面的附件能否正常 ...



手头有一台计算机系统2000server,网关能ping通,局域网能正常连同,用syscheck修复,将可疑服务、进程及红色模块都删除。用win2000fix也修复winsock,用红叶系统修复第2、3项修复ie,360、RogueCleaner查杀木马、恶意软件,用红叶版傲游,现在还是不能上网。请问还要做什么工作。

请各位高人指点。
谢谢。

[ 本帖最后由 ah1283328 于 2006-10-10 04:06 PM 编辑 ]
回复

使用道具 举报

2182#
发表于 2006-10-10 16:39:44 | 只看该作者
下载北京图为先科技有限公司的地图小软件
其安装目录下的xMTool.dll会在系统启动时自动加载

但用syscheck(1.0.0.44)不能检测出来,建议增加对注册表下面的键值增加检测
HKEY_CLASSES_ROOT\CLSID\*\InprocServer32

这个dll就是在这里被加载的
HKEY_CLASSES_ROOT\CLSID\{954F618B-0DEC-4D1A-9317-E0FC96F87865}\InprocServer32
回复

使用道具 举报

2183#
发表于 2006-10-10 17:03:29 | 只看该作者
用TASKLIST 和TASKKILL组合,显示出PID号,再KILL,显示已终止进程,但任务栏上还有安全盾的图标,到底是KILL成功了还是没成功?

安全盾应有防TASKKILL功能就好了.
回复

使用道具 举报

2184#
发表于 2006-10-10 17:07:46 | 只看该作者
用 /F参数可强行终止进程,刚试了,不用参数终止系统盾进程是假像.
回复

使用道具 举报

2185#
发表于 2006-10-10 20:38:35 | 只看该作者
今天试用了一下新版本的syscheck,发现进程检测有的进程的 进程模块 信息什么也没有显示。但有的有显示
(模块简洁显示已取消钩选。)
没有显示的进程是:smss    csrss    winlogon  lsass  svchost   alg   万象幻镜的一个进程   等
有显示的进程有  iexplore.exe   EXPLORER.EXE  CONIME.EXE  Syscheck2.exe   

系统是xp 没有杀毒软件,网吧的机器  ,基本正常, 没有病毒。
回复

使用道具 举报

2186#
发表于 2006-10-10 20:42:08 | 只看该作者
当前活动文件情况:
nvcpl.dll,nvstartup [启动值] rundll32.exe c:\windows\system32\nvcpl.dll,nvstartup
clsmn.exe [启动值] c:\windows\system32\clsmn.exe
refresh_service.exe [启动值] c:\windows\system32\refresh_service.exe
rundll32.exe [启动值] c:\windows\command\rundll32.exe
mswdm.exe [启动值] c:\windows\system32\mswdm.exe
ctfmon.exe [启动值] c:\windows\system32\ctfmon.exe
rundl132.exe [启动值] c:\windows\rundl132.exe
logondll.dll [启动项] logondll.dll
gameclient.exe [IE按钮] d:\浩方对战平台\gameclient.exe
msmsgs.exe [IE按钮] c:\program files\messenger\msmsgs.exe
ydrags~1.dll [BHO钩子] c:\progra~1\yahoo!\assist~1\assist\ydrags~1.dll
rarext.dll [文件右键] c:\program files\winrar\rarext.dll
ywiper.dll [文件右键] c:\progra~1\yahoo!\assist~1\assist\ywiper.dll
rarext.dll [文件右键] c:\program files\winrar\rarext.dll


第三方服务
  [NOMS]wxNDA  C:\WINDOWS\SYSTEM32\DRIVERS\WXNDA.SYS  2005-11-10
  [NOMS]sicentnetsync  C:\WINDOWS\system32\wxsyncli.exe  2005-10-28
  [NOMS]Ptilink  C:\WINDOWS\SYSTEM32\DRIVERS\PTILINK.SYS  2004-06-06
  [NOMS]NVSvc  C:\WINDOWS\SYSTEM32\NVSVC32.EXE  2005-12-14
  [NOMS]nv  C:\WINDOWS\SYSTEM32\DRIVERS\NV4_MINI.SYS  2005-12-14
  [NOMS]FETNDIS  C:\WINDOWS\SYSTEM32\DRIVERS\FETND5.SYS  2001-08-17
  [NOMS]DF5Serv  C:\Program Files\Faronics\Deep Freeze\Install C-0\DF5Serv.exe  2005-12-17
  [NOMS]ALCXWDM  C:\WINDOWS\SYSTEM32\DRIVERS\ALCXWDM.SYS  2006-08-18


看了启动项,有异常启动项,但中毒没有,不知道
回复

使用道具 举报

2187#
 楼主| 发表于 2006-10-10 21:28:06 | 只看该作者
原帖由 freesoft00 于 2006-10-10 08:38 PM 发表
今天试用了一下新版本的syscheck,发现进程检测有的进程的 进程模块 信息什么也没有显示。但有的有显示
(模块简洁显示已取消钩选。)
没有显示的进程是:smss    csrss    winlogon  lsass  svchost   alg   万 ...


模块信息不全可能你非管理员身份登陆,权限不够所致.另外,启动项中明显有非常常项目,可能已中木马!

原帖由 ah1283328 于 2006-10-10 04:02 PM 发表
手头有一台计算机系统2000server,网关能ping通,局域网能正常连同,用syscheck修复,将可疑服务、进程及红色模块都删除。用win2000fix也修复winsock,用红叶系统修复第2、3项修复ie,360、RogueCleaner查杀 ...

这种情况可以重新安装Tcp/IP,步骤如下:
第 1 步:删除损坏的注册表项
1. 单击“开始”,然后单击“运行”。
2. 在“打开”框中,键入“regedit”,然后单击“确定”。
3. 在注册表编辑器中,找到以下注册表项,右键单击每一项,然后单击“删除”:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Winsock
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Winsock2  
4. 当提示您确认删除时,单击“是”。
注意:删除 Winsock 注册表项后请重新启动计算机。这样做可以让 Windows XP 操作系统为这两个注册表项创建新的 shell 条目。如果在删除 Winsock 注册表项后未重新启动计算机,则下一步将无法正常进行。
第 2 步:安装 TCP/IP
1. 右键单击网络连接,然后单击“属性”。  
2. 单击“安装”。
3. 单击“协议”,然后单击“添加”。  
4. 单击“从磁盘安装”。  
5. 键入 C:\Windows\inf,然后单击“确定”。  
6. 在可用协议列表中,单击“Internet 协议 (TCP/IP)”,然后单击“确定”。
7. 重新启动计算机。

原帖由 xdg3669 于 2006-10-10 07:25 AM 发表
开关机脚本还有一处要监视:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\State\Machine\Scripts

这个键下写脚本好象是不能直接启动的吧?需配合system32\Group\Policy\Machine\Scripts下的scripts.ini才能工作,而syscheck已经检测了scripts.ini文件是否存在.

原帖由 258 于 2006-10-10 04:39 PM 发表
下载北京图为先科技有限公司的地图小软件
其安装目录下的xMTool.dll会在系统启动时自动加载
但用syscheck(1.0.0.44)不能检测出来,建议增加对注册表下面的键值增加检测
HKEY_CLASSES_ROOT\CLSID\*\InprocSer ...

HKEY_CLASSES_ROOT\CLSID\*\InprocServer32下的内容是什么?
可能的话导个这个键的.reg或抓个图给我

[ 本帖最后由 wang6071 于 2006-10-10 09:52 PM 编辑 ]
回复

使用道具 举报

2188#
发表于 2006-10-11 00:24:39 | 只看该作者
原帖由 ah1283328 于 2006-10-10 04:02 PM 发表



手头有一台计算机系统2000server,网关能ping通,局域网能正常连同,用syscheck修复,将可疑服务、进程及红色模块都删除。用win2000fix也修复winsock,用红叶系统修复第2、3项修复ie,360、RogueCleaner查杀 ...

再用win2000fix修复,修复完后什么都别做,重启机子后看能否上网。
回复

使用道具 举报

2189#
发表于 2006-10-11 10:36:00 | 只看该作者
这种情况可以重新安装Tcp/IP,步骤如下:
第 1 步:删除损坏的注册表项
1. 单击“开始”,然后单击“运行”。
2. 在“打开”框中,键入“regedit”,然后单击“确定”。
3. 在注册表编辑器中,找到以下注册表项,右键单击每一项,然后单击“删除”:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Winsock
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Winsock2  
4. 当提示您确认删除时,单击“是”。
注意:删除 Winsock 注册表项后请重新启动计算机。这样做可以让 Windows XP 操作系统为这两个注册表项创建新的 shell 条目。如果在删除 Winsock 注册表项后未重新启动计算机,则下一步将无法正常进行。
第 2 步:安装 TCP/IP
1. 右键单击网络连接,然后单击“属性”。  
2. 单击“安装”。
3. 单击“协议”,然后单击“添加”。  
4. 单击“从磁盘安装”。  
5. 键入 C:\Windows\inf,然后单击“确定”。  
6. 在可用协议列表中,单击“Internet 协议 (TCP/IP)”,然后单击“确定”。
7. 重新启动计算机。

照wang6071 大侠的方法处理,已经解决问题。又学了一招。谢谢。
回复

使用道具 举报

2190#
发表于 2006-10-11 12:34:38 | 只看该作者
系统在卡巴的文件保护状态下,安全盾的退出、应用规则设置占用太高的cpu和内存导致假死的情况在V1.37以后一直都没得到解决。好像是V1.36后吧。

[ 本帖最后由 xdg3669 于 2006-10-12 07:18 AM 编辑 ]
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

小黑屋|手机版|Archiver|捐助支持|无忧启动 ( 闽ICP备05002490号-1 )

闽公网安备 35020302032614号

GMT+8, 2024-12-5 11:29

Powered by Discuz! X3.3

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表