[sysshield]系统安全盾

yqwy

没用过，试试再回复。

wang6071

原帖由 freesoft00 于 2007-12-3 06:51 PM 发表
发现卸载模块只能一个一个卸载。现在的所谓的下载者病毒，下载的病毒多大惊人，插入到进程中的模块也多多惊人。一个一个卸载实在不方便。以前还可以，现在这样的病毒太多了。也不太好处理。

当观察到病毒文件太多时，参照作如下处理：
1: 批量选择病毒进程，使用“结束进程并删除文件”。
2: 插入到进程中的模块多不可怕，全局钩子在各进程中通常都是相同的，处理进程的模块即可。建议采用“直接删除模块文件”，本功能执行后看不到变化，但文件其实已经删除。不建议使用“卸载模块”功能，原因是卸载系统进程中的模块时有可能造成系统重启而前功尽弃。
3: 执行“清理临时文件”、“清除Autorun.inf”
4：在安全检查中可以修复的修复一下。
5: 重启机器，大部份的病毒应该可以搞定了。
6：重启后再次检查，发现还有少量的顽固病毒才使用“禁用”“线程”“卸载”“重启删除”“Dos删除”等方法。
7: 清理完后切换到文件搜索页，限制文件大小为50K左右，去除“排除微软文件的勾”搜索最近一周的新增的文件，从中选出病毒尸体文件删除。

重启删除和dos删除是否可以支持通配符
另外王兄更新wsyscheck的时候，是否也更新了grub。

不支持,考虑安全性必须要完整配对。要用通配符还不如在wsyscheck中搜索后删除。
grub不用更新，老版未有不兼容报告，出不兼容时的情部是IFS的问题。(发现此情况断电后重新开机就可以了，千万不要Reset后用其它软件修复)

freesoft00

还有在2000下 端口状态 标签 有错误提示。忘了是什么dll了。

freesoft00

今天处理了办公室mm到一台中毒颇深的电脑。2000的。先用windows清理助手扫了一下。恶意软件病毒扫出了50多。好下人。机器慢的要命，还不是弹出dll错误对话框

进程中居然有一个没有进程名和路径的东西。只显示hide。其它什么信息也没有。而且也结束不掉。

发现卸载模块只能一个一个卸载。现在的所谓的下载者病毒，下载的病毒多大惊人，插入到进程中的模块也多多惊人。一个一个卸载实在不方便。以前还可以，现在这样的病毒太多了。也不太好处理。

我是在管理员权限下杀的。


另外，犯了一个不大不小的错误。进程中有一个C:\WINDOWS\system32\drivers目录下的svchost.exe进程。我直接给禁止运行了。加入到了映像劫持中。这下可好。系统从启后登录没有了桌面。
幸亏有系统备份，还原了镜像，要不就在mm面前丢大人了。
还有一次给朋友杀毒。也把一个粉红色的services.exe给禁止运行了。系统过到滚动条后就没有了反应。最后从装了系统。
我想能不能wsyscheck设置一下，影响系统正常启动和运行的进程都不可以加入到 禁止运行 中，这样使使用者少犯错误。

freesoft00

另外王兄更新wsyscheck的时候，是否也更新了grub。好像dos删除是用grub引导的吧。新版本的grub肯定bug少，兼容性好。看到王兄的更新日志中没有提到，不知道更新没。所以提醒一下。

freesoft00

好的，今天又在一台有管理员权限的机器上试了一下。软件没有问题。确实是权限不够。

从启删除和dos删除是否可以支持通配符

另外，还是觉得命令行支持加上syscheck的快速净化的功能强点。这样在gui界面没有这项操作。用户不会误操作。而命令行有，是用户知道结果后才用的。省好多事。

wang6071

不是管理员身份权限不够，这种情况下可以用管理员身份登陆或安全模式下登陆后处理。

如果没有管理员权限(没管理员权限杀毒太困难，还不如记下病毒名到PE启动清除)，可以使用内置的Dos删除功能直接删除病毒文件。有管理员权限可以用结束进程并删除文件直接处理，新版的结束并删除文件后它就无法重建启动了。

进程结束后重新创建是因为有进程互锁保护，应该用批量结束功能或用禁止选择的程序运行功能。

重启删除列表，可以直接用复制粘贴上去就行，也可以直接书写。所以无需导入了。环境变量可以在事先替换后贴入列表。

你可以用新版的功能脚本处理(不过权限不够是无法关闭系统进程的,所以最好用管理员身份登陆) ，如 killvir.bat
wsyscheck -s      //让wsyscheck结束大部份的病毒进程
call delvir.bat      //你的删除脚本delvir.bat
shutdown -t 0   //重启

[ 本帖最后由 wang6071 于 2007-12-2 01:43 AM 编辑 ]

freesoft00

从启删除和dos删除可否加上环境变量和通配符的支持。还有支持从文件导入待删除的文件。
这样的话，就可以写脚本实现很强的功能。例如：
%progromfiles%\*.*
%systemroot%\?.*
%systemroot%\*1*.exe
%systemroot%\*2*.exe
%system32%\drivers\*.exe
%system32%\drivers\*.com
............
等等，这样是不是很强。脚本文件外置。他人可以共享别人写好的脚本实现删除。




从文件导入待删除的文件

比如红叶盘里有一个 恶意软件免疫 里面有好多恶意软件的名单 这样的话 可以之际从他的名单中导入而删除之。

freesoft00

下面的好多个进程我结束掉了，转眼又出现了。勾选 禁止进程和文件创建也不行

freesoft00

内核检查 和 服务管理 都是空白 什么也没有

freesoft00

除了上面的几个带路径，下面的都不带。
而且。安全检查 活动文件 中 在 开始菜单 启动 中有一个 启动项。我在wsyscheck 中点修复没有什么反应

是不是我的当前用户不是管理员的原因

freesoft00

用了一下最新版的wsyscheck。但进程中怎么有这么多的无路径的进程呀。
系统是xp的。系统有毒。

queyao

已经更新到1129V2了

采薇蒹葭

但是这个好东西会阻止锐捷的上网认证，，提示初始化网卡失败。。退出之后才能够认证。。

wangsea应该知道红叶所在学校，，能否去除对锐捷Ruijie Supplicant的监视。。？？

*:\Program Files\锐捷网络\Ruijie Supplicant\RuijieSupplicant.exe

[ 本帖最后由 采薇蒹葭 于 2007-11-25 10:05 PM 编辑 ]

xdg3669

今天又有更新了！不知有什么变化？

freesoft00

命令行觉得作用不是很大,为支持又得写不少代码增大体积

-------------------------------------------------------------------------
也可以单做一个，只要有syscheck的快速净化功能就可以了（功能可以不要太保守）。主要是想和其它工具配合简单杀毒删恶意软件。
如把其加入批处理中，先运行这个快速净化，然后在运行windows清理助手（助手现在也支持命令行了）。基本上小毒就搞定了。有时候帮朋友杀毒，实在不愿意跑一趟，也没什么重要数据。就先这样搞一下，不行了再去。大不了从装系统。

barton

无驱系统检测工具0816


刚刚发现这个好东西哦，很好用

只是说明不太详细。。。

wang6071

原帖由 freesoft00 于 2007-11-20 02:40 PM 发表
文件搜索 中加入右键菜单就好了。
王兄能否加入命令行运行。

文件搜索感觉右键有点多余,所认就不做了.选择是可以支持Ctrl,shift多选的.
命令行觉得作用不是很大,为支持又得写不少代码增大体积,所以也就不考虑了.其实想想同类工具除了单一功能的是命令行用,绝大多数都是Gui操作的,可能也是从安全角度考虑吧.
比如增加一个 wsyscheck -ressdt,制作木马的可以打包到某安装程序中,后台运行一下再安装木马,后果是可想而知.

原帖由 freesoft00 于 2007-11-20 03:32 PM 发表
数据安全实验室退出的这一款进程软件也有点剽窃王兄wsyscheck的嫌疑。
ASTToolsLoader
http://www.dswlab.com
没仔细看，只是怀疑

这个不是,只是界面相仿,大部份沿用了超级巡警的文件，可能他的一个宣传版．

[ 本帖最后由 wang6071 于 2007-11-21 12:11 AM 编辑 ]

freesoft00

数据安全实验室退出的这一款进程软件也有点剽窃王兄wsyscheck的嫌疑。
ASTToolsLoader

http://www.dswlab.com


没仔细看，只是怀疑

freesoft00

文件搜索 中加入右键菜单就好了。
王兄能否加入命令行运行。

wang6071

原帖由 freesoft00 于 2007-11-19 07:26 PM 发表
新版本试用没有什么问题

Wsyscheck1119(v1.67.16)

修正文件搜索中的匹配符问题,注意,默认是搜索最近最近一周内的新文件且过滤微软的。要搜索所有文件请取消这两个默认勾选。
多个搜索选项用;号分隔,匹配规则以abc.cmd文件为例说明如下：
注意:abc(只匹配abc,无扩展名,故搜不到abc.cmd)

可以搜到abc.cmd的情况有:
1:完全匹配
abc.cmd
2:使用*号匹配
*.*
*.cmd
abc.*或abc.c*
a*.cmd
abc.*
a*.*
3:使用?号匹配指定位置
a?b.?md
a*.cm?
?b?.*(以中间的b模糊匹配)

http://zhushui.uu1001.com/job.php?action=download&pid=tpc&tid=33&aid=160

[ 本帖最后由 wang6071 于 2007-11-19 11:07 PM 编辑 ]

freesoft00

新版本试用没有什么问题

tingyuqian

原帖由 wang6071 于 2007-11-19 01:10 AM 发表


谢谢关心，是被人盗用了作品，新版从v1.67.14后在程序内做小校验避免被那种毫无技术含量的改资源盗用。



可能您更新的较快，那个版本有点小BUG(是18日版为优化检测分类造成的),新版已修正，这里是新版 ...

晕倒！这样也行？！这种人……·#·@#@@!

gdlgh

有段时间没来，wang兄恢复更新了，下了！！！

wang6071

原帖由 emca 于 2007-11-18 07:28 PM 发表
http://www.china-antivirus.com/Html/zuixinbingdu/82327.html
这里的那个程序SystemSword 是怎么回事？作者也改为少爷了？

谢谢关心，是被人盗用了作品，新版从v1.67.14后在程序内做小校验避免被那种毫无技术含量的改资源盗用。

原帖由 freesoft00 于 2007-11-18 10:14 PM 发表
ie 安全 项 打开修复，wsyscheck进程死掉
还有。我用系统修复又键的时候有好多时候第一次没有反映，第二次又键修复才管用

可能您更新的较快，那个版本有点小BUG(是18日版为优化检测分类造成的),新版已修正，这里是新版v1.67.15
http://zhushui.uu1001.com/job.php?action=download&pid=tpc&tid=33&aid=158

[ 本帖最后由 wang6071 于 2007-11-19 01:14 AM 编辑 ]

freesoft00

ie 安全 项 打开修复，wsyscheck进程死掉
还有。我用系统修复又键的时候有好多时候第一次没有反映，第二次又键修复才管用

emca

http://www.china-antivirus.com/Html/zuixinbingdu/82327.html
这里的那个程序SystemSword 是怎么回事？作者也改为少爷了？

瑶哥

好东西，学习了~~~~~~

freesoft00

今天在网吧上网，机器中的病毒，cpu100%。根本就来不及让你运行wsyscheck。windows的任务管理器真的很菜，几乎在病毒面前无能为力，进程中的毒多的了不得。

这些变态的病毒和作者，咳...

ybye

原帖由 zhaoyun444 于 2007-11-14 09:28 PM 发表
前几天中了毒，把机器上D，E，F盘的EXE文件全部感染了，EXE文件受到破坏无法杀毒修复，惨呀！！

就是因为系统安全盾没有禁止U盘上的程序运行，别人U盘上的程序感染了病毒，把我的硬盘的EXE文件破坏了呀！！恨 ...

这病毒也挺厉害的啊。是什么病毒？