[sysshield]系统安全盾

emca

兄弟是最好的原创者之一，佩服！佩服！佩服技术也佩服人品！今天过节，顺便祝兄弟节日快乐，老婆成群：）

emca

如此原创和奉献，版主置顶吧！！！

emca

很高兴地试用。我不擅长编程，但提几点建议：
1、“当前启动项”的内容框建议改为自动显示横向和纵向滚动条，以方便长路径地查看；
2、“进程监视”中建议添加进程文件对应的路径，则查杀恶意程序时更加方便、实用！而且也是必需的。
3、对于属于系统本身的关键进程，能否以不同颜色显示？如果文件名及所在目录与系统中默认的一致，就可以以绿色显示；其余的以红色显示。如何？
4、“杀进程”功能，如果能够改进一下，改成前面带有复选框，用户可选择多个进程，然后一并查杀，以解决恶意程序的守护进程常规情况下无法关闭的问题；
其他的临时想到临时再提。谢谢！！

emca

请教：
对于 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor 这样带有空格的键项名称，是否直接写入？还是要用引号括起来？

emca

这里提供本人添加的一些监视项目，不知道格式是否正确，请兄弟指教：
; 深山红叶提供
; 启用系统文件保护：
root=HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
rkey=SFCDisable
rval=00000001
; 保护系统初始化程序
root=HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
rkey=Userinit
rval=%SystemRoot%\system32\userinit.exe,
; 保护系统外壳
root=HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
rkey=VmApplet
rval=rundll32 shell32,Control_RunDLL "sysdm.cpl"
root=HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
rkey=Shell
rval=%SystemRoot%\Explorer.exe
; 防范恶意程序彻底隐藏文件（开启显示隐藏文件也不行！）
rem 防范恶意程序彻底隐藏文件：
root=HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
rkey=CheckedValue
rval=00000000
;
root=HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
rkey=ValueName
rval=Hidden
;
root=HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
rkey=DefaultValue
rval=00000002
;
root=HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
rkey=HKeyRoot
rval=80000001
; 防范命令行自动运行参数被添加附加程序：
root=HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor
rkey=AutoRun
rval=
; 防范以登录或注销脚本形式自动加载恶意程序：
root=HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\State\Machine\Scripts
rkey=
rval=
; 修正和防范启动组位置重定向：
root=HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
rkey=Startup
rval="%USERPROFILE%\「开始」菜单\程序\启动"
; 防范通过 load 或 run 自动运行恶意程序和更改可执行文件类型：
root=HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
rkey=load
rval=
root=HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
rkey=run
rval=
;保持pif文件的打开方式
root=HKEY_CLASSES_ROOT\piffile\shell\open\command
rkey=
rval="%1" %*
;保持inf文件的打开方式
root=HKEY_CLASSES_ROOT\inffile\shell\open\command
rkey=
rval=%SystemRoot%\Notepad.exe %1
;保持hlp文件的打开方式
root=HKEY_CLASSES_ROOT\hlpfile\shell\open\command
rkey=
rval=%SystemRoot%\System32\winhlp32.exe %1
;保持cmd批处理文件的打开方式
root=HKEY_CLASSES_ROOT\cmdfile\shell\open\command
rkey=
rval="%1" %*
; 取消碎片文档类型：
;原始键值：rundll32 %SystemRoot%\system32\shscrap.dll,OpenScrap_RunDLL %1
root=HKEY_CURRENT_USER\ShellScrap\shell\open\command
rkey=
rval=
; 防止恶意 DLL 与 Explorer 链接加载：
root=CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32
rkey=
rval=%SystemRoot%\system32\webcheck.dll

emca

几点探讨和说明:
①root=HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
rkey=Shell    //这个也可以,但偶的win2003下 rval=Explorer.exe  不需要%SystemRoot%路径(以注册表中所见为准,不知xp是否有路径)
rval=%SystemRoot%\Explorer.exe
——加上%SystemRoot%是强行指定系统外壳路径，Windows默认是没有的。如果恶意程序用Explorer.exe为文件名，并放到System（NT为System32）目录，则由于后者的路径优先级要高，因此病毒可以优先于系统外壳被加载！
②; 防范恶意程序彻底隐藏文件（开启显示隐藏文件也不行！）
rem 防范恶意程序彻底隐藏文件：//不能用rem开头做注释,注释全部以;开头
root=HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
rkey=Checkedvalue   //这个偶的注册表中无此键值名,看值的样子好象不是REG_SZ型
rval=00000000
——这个不是Windows的默认键值。如果对此处进行修改，则即使在资源管理器文件夹选项中启用显示系统及隐藏文件，资源管理器也不会显示的！某些病毒就是用此法隐蔽自己，效果不错。本人用的是TotalCommander，因此经常可以在别人机器上找到好多类似的隐蔽恶意程序！
③; 修正和防范启动组位置重定向：
root=HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
rkey=Startup  
;这个偶不确定,因为我的是rval=E:\Documents and Settings\Administrator\「开始」菜单\程序\启动
;各个机器可能会不同吧,以注册表中所见为准
rval="%USERPROFILE%\「开始」菜单\程序\启动"
——修改此处键值可以重定向启动组位置，此时开始菜单中的启动组却仍然指向原来的位置。这给恶意程序自动加载提供了隐蔽的手法。
----------------------------------------
其实恶意程序可以利用的地方还有许多，现在知道了方法，以后就好办了！希望大家经常交流配置文件！
感谢Wang兄的热心指导！希望大家献计献策，让大家都能够用上一个方便无比的好东西！
再次感谢、致敬！

emca

感觉兄弟这一个小工具应当是顺应目前的潮流的一个极其实用、极其宝贵的一个工具！理由：
1、开放接口的结构，使得在实现基本功能之后，能够在用户（或高手）指导下，轻而易举地完成程序功能的无限升级；
2、小巧方便，远非那些标榜自己的大公司的软件所能比；
3、开放源代码，顺应潮流，前途不可估量！目前许多小工具还没有成熟就先吵着注册什么的，但用户并非全是傻瓜，真正成功的又有几何？些工具完美后，我想应当在互联网上凭借其真正的实用性一定会取得一席之地，此时作者的品牌也就自然形成。以后再如何发挥，就是下一步的事情了，并非完全没有回报的！但这种凭借实力取得的成绩和口碑，与非法捆绑的网络猪、3721等相比，根本是不可同日而语的！
4、一点建议：一切以实现主要的防御目的为重，技术上一定要有前瞻性，千万不要添加任何无关紧要的功能！
5、建议将锁定启动项目作为默认被选定。
6、在完善基本功能的基础上，再考虑更灵活的选项。
7、目前，本人已经确定互联网上的一种全新的“网络黑社会型”病毒类型，某杂志已经刊登了预告，目前正在紧张的证据收集和文章撰写之中。我将从技术和法律的双重角度来探讨目前的网络黑社会问题。些问题一经提出，相信兄弟的这款工具也可以借势更进一步！到时可以独成一统，也可以考虑与知名品牌合作……嘿嘿嘿嘿~

emca

转一个帖子：

下面引用由紫狐在 2005/06/14 10:33pm 发表的内容：
昨晚处理了一台中了CNNIC的机器，那个垃圾CNNIC真的很讨厌，加入了几个进程，还使用DLL加载，而且还在IE的BHOs加入内容，我要出动Browser Sentinel、IceSword、ComeXp等才解决掉，看来确实得增加对付这些东东的　...

现在处理这类问题的过程中，我发现即使系统中进行了免疫，但对捆绑式安装无效；即使安装了监视程序，但许多人在出现对话框时经常不加考虑地选择了“是”……
因此，一般的防范方法对这类东西应当是没有理想的效果了！
目前我发现真正有效的仍然是用NTFS的目录和文件权限功能，将相关垃圾文件和目录的ACL设置为Everyone拒绝访问，只有这样才既可防，也可杀（设置并重启后垃圾插件就无法加载运行了）。我们不妨把这个功能定义为“静态锁定”。
-------------------------------------
因此我想Wang兄是否可以考虑日后添加一项“静态锁定非法项目”（包括文件名/目录名以及注册表键值）的功能？比如把这个功能做成一个独立的选项卡……

emca

1、“册除”应当为“删除”，笔误请修正；
2、建议添加程序自身的保护能力，比如退出时确认一下，甚至可以考虑日后添加用口令才能退出的功能（实现是否麻烦，对系统是否有影响？仅供参考）
3、我试用新版本时，两个选项默认是未被选定的，是否改为默认选定好些？

emca

口令可以是明文。我想如果要设置口令，唯一的目的就是为了防范监视器被不小心随意关闭。我就不小心关闭了一次。

emca

下面引用由wang6071在 2005/06/16 07:59pm 发表的内容：
上一个匆忙改的版本有一个BUG,不能使用用户定义文件userset.ini，所以改进了一下，其的更新见下面。下载还是在我的空间：http://wangsea.ys168.com/
口令下次的版本中加入。
最新增加的说明：
   调整了一下功能 ...

看得出，Wang兄不但有不错的编程水平，而且有极好的编程习惯！

emca

我在使用Mcafee的时候，发现一个非常实用的功能：锁定系统目录，禁止向Windows和System32目录写入EXE或DLL文件。如果这个工具能够实现这个功能，则多数情况下不是用户自己安装程序时，其他试图感染系统目录的企图都应当可以防范的。大家认为如何？当然操作的方便性上大家可以讨论。在此基础上，甚至可以考虑锁定Program Files目录，禁止在其中生成空目录（这可能对于安装新软件有些不便），而如果能够由用户指定不生成哪些文件名或目录就更好了！这就相当于一套特殊的防毒软件，通过作者和热心人对恶意程序特征目录和文件名的提供和收集，把它写入配置文件清单，则我们就拥有对付 3721 之流这类恶意网络黑社会病毒的利器了！这是传统的杀毒软件都不具备的功能！

emca

建议：
设置两三个可复选的选项——
   ■ 禁止在Windows目录创建以下类型文件：
      □ *.Dll    □ *.EXE   □ *.SYS  □ *.COM   □ *.CMD  □ *.VBS
      （注意：安装某些大型软件时可能需要临时取消限制！）
   ■ 禁止在系统目录和程序目录创建指定的文件或目录（多个项目以半角分号隔开，不区分大小写。如 3721;Dudu;……）
      ————————————（用输入框）
      □同时也禁止访问这些目录或文件
通过上述设置，加上提供一些典型的配置方案（特别是后面那个，相当于病毒特征码了），应当有一定效果。前面一个可宽松一些，默认为选定；后面一个默认可以为选定状态。
大家认为如何？

emca

目前的目录监视已经不错了，但有个难以解决的问题：对于那些以捆绑方式安装的垃圾程序，如果不开放系统目录，则正常的程序安装可能受到影响；如果开放系统目录吧，则那些捆绑程序又会乘虚而入。因此仍然建议添加一个黑名单功能。

emca

路径最好要考虑进去。如果恶意程序弄个与系统文件相同的名字但路径不同，是否会被删除？还是系统文件也被误删除？这个得慎重考虑。
恶意程序的黑名单程序随后我整理一些提供。
另外，还可以考虑试图将含有某些特定字符串的文件名视为恶意文件，如含有数字 1 、0 等的程序文件和动态链接库文件。因为绝大多数情况下极少有程序会这样命名，但恶意程序经常冒充，如 expl1rer.exe  rund1132.exe  ntdll.dll ……

emca

up

emca

以下是我收集整理的黑名单，供大家参考，基本上覆盖了目前绝大部分已知恶意程序代表性文件或其安装目录。用记事本打开注册表监视器目录下的FILTER.DAT文件并全部替换原有内容即可（以下已经包含所有原有内容）：
3721;CnsMin.cab;Baidu;CNNIC;CdnIEHlp.dll;cdn.dll;cdnhook.sys;cdnprot.sys;cdntran.sys;meobjsdt.dll;IdnMail.exe;zunins.exe;Dudu;CnMinPK.sys;msetup.exe;miniddd.exe;hmcab.cab;Explorer.exe;Exp1orer.exe;Exiorer.exe;IExplorer.exe;Rundll32.exe;Rund1132.exe;Rund1l32.exe;Rundl132.exe;Ntdll.dll;Ntd11.dll;Ntdl1.dll;Ntd1l.dll;System32.exe;ahook.sys;SERINIT32.EXE;Dvldr32.exe;wsearch;ahook.sys;Sandai;NetBar;hookdll.dll;henbang.exe;webad.dll;winhtp.dll;BaiDuBar.dll;PluginENLOG.DLL;WORLD2;rasvss.dll;tutuag32.exe;netpig;dddupdate.exe;Qyule.exe;Adcache;Ads;windows.exe;softreg50.exe;softreg20.exe;softreg38.exe;SobarNetInstaller.exe;NBar.exe;yisou_znmq.exe

emca

好东西希望Wang';兄弟不要放弃！
再顶一把！
以下是个人用的最新Filter数据，添加了部分系统文件中经常容易被冒名顶替的文件名。供大家参考：
3721;VisionNet;APIHOOKDLL.DLL;Adcache;Ads;BaiDuBar.dll;Baidu;CNNIC;CdnIEHlp.dll;CnMinPK.sys;CnsMin.cab;Dudu;Dvldr32.exe;Exiorer.exe;Exp1orer.exe;Explorer.exe;IExplorer.exe;IdnMail.exe;NBar.exe;NetBar;Ntd11.dll;Ntd1l.dll;Ntdl1.dll;Ntdll.dll;PluginENLOG.DLL;Qyule.exe;Rund1132.exe;Rund1l32.exe;Rundl132.exe;Rundll32.exe;SERINIT32.EXE;Saga.sys;Sandai;SobarNetInstaller.exe;System32.exe;WORLD2;ahook.sys;ahook.sys;asbar.dll;asiesec.dll;asnoad.dll;assist.dll.adfilter.dll;aswipe.dll;autolive.dll;cdn.dll;cdnhook.sys;cdnprot.sys;cdntran.sys;contmenu.dll;dddupdate.exe;helper.dll;henbang.exe;hmcab.cab;hookdll.dll;meobjsdt.dll;miniddd.exe;msetup.exe;netpig;optimum.dll;rasvss.dll;repair.dll;softreg20.exe;softreg38.exe;softreg50.exe;tutuag32.exe;vml;webad.dll;windows.exe;winhtp.dll;wsearch;xpstyle.dll;yisou_znmq.exe;zunins.exe;visionnet.dll;17lele.ex_;Rundll32.exe;visionnet.dll;windcheck2.exe;NMWizardA14.exe;dhelp.dll;comime.exe;msinthk.dll;wmimgr.exe;EXPLORER.EXE;iexplore.exe;notepad.exe

emca

用实际行动，顶！！！
顶！！！！！！
3721;VisionNet;APIHOOKDLL.DLL;Adcache;Ads;BaiDuBar.dll;Baidu;CNNIC;CdnIEHlp.dll;CnMinPK.sys;CnsMin.cab;Dudu;Dvldr32.exe;Exiorer.exe;Exp1orer.exe;Explorer.exe;IExplorer.exe;IdnMail.exe;NBar.exe;NetBar;Ntd11.dll;Ntd1l.dll;Ntdl1.dll;Ntdll.dll;PluginENLOG.DLL;Qyule.exe;Rund1132.exe;Rund1l32.exe;Rundl132.exe;Rundll32.exe;SERINIT32.EXE;Saga.sys;Sandai;SobarNetInstaller.exe;System32.exe;WORLD2;ahook.sys;ahook.sys;asbar.dll;asiesec.dll;asnoad.dll;assist.dll.adfilter.dll;aswipe.dll;autolive.dll;cdn.dll;cdnhook.sys;cdnprot.sys;cdntran.sys;contmenu.dll;dddupdate.exe;helper.dll;henbang.exe;hmcab.cab;hookdll.dll;meobjsdt.dll;miniddd.exe;msetup.exe;netpig;optimum.dll;rasvss.dll;repair.dll;softreg20.exe;softreg38.exe;softreg50.exe;tutuag32.exe;vml;webad.dll;windows.exe;winhtp.dll;wsearch;xpstyle.dll;yisou_znmq.exe;zunins.exe;visionnet.dll;17lele.ex_;Rundll32.exe;visionnet.dll;windcheck2.exe;NMWizardA14.exe;dhelp.dll;comime.exe;msinthk.dll;wmimgr.exe;EXPLORER.EXE;iexplore.exe;notepad.exe;KNQTWZ]`.dll;pnpsvc.inf;_huytam_.dll;_huytam_.exe;_abbca_.dll;_abbca_.exe;tgbrfv_.exe;TGBRFV_5.dll;HMAPI.dll;SSL.dll;SDAgent;imuliver.dll;IMU;imuiepls.dll

emca

再顶！
一个不情之请：希望WangSea兄弟能够在百忙之余，开启一个“锁定系统分区所有目录”（包括根目录）的选项，即不允许对当前系统分区植入任何新的目录或文件（但可修改现有的文件）。这项看似没有什么用处的功能其实太有用了！如果我们把它用在一台已经配置好的Windows服务器上，则即使别人通过各种途径获取了Shell和某些权限，也仍然无法向系统分区的任何位置上传任何黑客工具，让他郁闷去吧！

emca

按楼上兄弟的想法，虽然不错，但可能实现上要花费很大的力气。
希望在服务器上保持可写、可创建文件的目录参考如下（以Windows 2003 Server为例，假定已经安装、升级、安装必需应用程序、设置各项服务完毕，即除系统升级外基本不考虑再安装任何程序），不当处请其他兄弟指正：
C:\windows\temp 目录：全部可写、可新建；
C:\windows\$* 以 $ 开头的目录可创建（系统升级的临时文件目录）
C:\Windows\LastGood 可创建此目录，并可在其中创建文件（修改、升级系统配置时的备份目录）
C:\Windows\IIS Temporary Compressed Files  IIS临时压缩目录
C:\Windows\System32\Logfiles  IIS 日志目录（当然也可转移到别处）
C:\Documents and Settings\[UserName]\Local Settings\Temp\  用户临时目录（这个中间的目录名要获取用户变量。但也可设置为与系统临时目录位置合并）
C:\Documents and Settings\[UserName]\Local Settings\Temporary Internet Files  浏览器临时目录（不开放写功能也可以，一般不在服务器上上网。也可手工转移浏览器临时目录到其他分区避免）
不过，我想如果方便的话，是不是可以设置一个用户可自定义的“白名单”功能，由用户指定不被临时的目录？
另，如果能够在程序主界面中加入一个显示和编辑自定义文件写入列表（Filter.dat）的功能则就很方便了；同时Filter.dat的文件列表中的文件名和目录名分隔符建议改成回车符，那样一个文件名一行，用 UltraEdit 进行编辑、排序、排重操作时都极其方便。
还有，能否改为双击系统托盘图标时，打开程序主窗口？
以上这些都是围绕目前的框架展开的一些设想，应当不会有实质性的麻烦的。希望WangSea兄弟在有空时参考考虑一下。

emca

无法下载。

emca

看来Wnag兄弟真是个极其认真的人！
小心提一个小小的建议：希望程序的界面字体及颜色、窗口及其标准控件等尽量采用Windows标准的配色方案和样式。您的程序我只要换一个Windows主题，则颜色显示可能就不正常。
BTW，不客气地说，对程序界面进行非标准化设计，这似乎是我们国家的所有程序员的通病，因此我是极其不喜欢使用国内那些行业内部的各种软件的，一句话：界面不标准。我用过 NN 多的行业管理软件，无一例外的是至今没有遇到一个完全使用标准的窗口和控件样式的！而真的要个性化，则又往往没有个性起来。反观老外的一些优秀作品，我们就可以看出国内与国外在这方面的差距。
顺便牢骚两句，不是专门针对Wang兄弟的，不要生气！这里先给Wnag兄弟赔罪了！

emca

大快人心：
http://www.pcpop.com/doc/0/97/97600.shtml
http://www.netbj.org.cn/Content.asp?newsid=1310&cateid=101
十大流氓软件被勒令整改：3721居首位！

emca

1、一个严重的BUG：禁用文件监视或关闭程序后，文件保护仍然有效！而且禁用或关闭后Windows\Temp目录也不能生成任何文件。需要重启后才能恢复。
2、白名单或黑名单方式能否集中设置一个方便的选项？比如设置一个单独的配置页面，同时对每个选项进行一简单说明？我经常自己给自己弄糊涂了。
3、如果手工禁用了文件监视或注册表监视，可否设置为默认半小时后自动启用（类似Norton杀毒那样）？
3、如果存在向系统目录写入EXE或DLL文件，系统托盘图标能否闪动或出现某个不太档事的提示？以便让用户在忘记了关闭保护时有一个提醒，以免误码以为系统产生了某种故障。

emca

白名单建议添加以下目录：
C:\WINDOWS\Minidump  //系统出错时的内存转储文件存放目录
C:\WINDOWS\Prefetch  //系统预读功能的预读文件存放目录
如果禁用了上述功能的用户当然可以不加。

emca

根据一些兄弟的要求，以下是本人和网上朋友们共同收集整理的黑、白名单：
黑名单：
3721 Adcache Ads Baidu CNNIC Dudu IMU netpig NetBar Sandai SDAgent VisionNet vml WORLD2 wsearch   
17lele.ex_
_abbca_.dll   _abbca_.exe  _huytam_.dll   _huytam_.exe  
adfilter.dll  ahook.sys APIHOOKDLL.DLL asbar.dll asiesec.dll asnoad.dll assist.dll aswipe.dll
autolive.dll
BaiDuBar.dll

CdnIEHlp.dll  cdn.dll cdnhook.sys cdnprot.sys cdntran.sys  CnsMin.cab CnMinPK.sys contmenu.dll
comime.exe
dddupdate.exe dhelp.dll Dvldr32.exe
Exp1orer.exe  Exiorer.exe EXPLORER.EXE
helper.dll henbang.exe  HMAPI.dll hmcab.cab  hookdll.dll
IdnMail.exe iexplore.exe imuliver.dll  imuiepls.dll
KNQTWZ]`.dll
meobjsdt.dll miniddd.exe msetup.exe msinthk.dll
NBar.exe  NMWizardA14.exe Ntd11.dll Ntd1l.dll Ntdl1.dll Ntdll.dll
optimum.dll notepad.exe
PluginENLOG.DLL pnpsvc.inf
Qyule.exe
Rund1l32.exe Rundl132.exe Rundll32.exe
rasvss.dll repair.dll Rund1132.exe Rundll32.exe
Saga.sys SERINIT32.EXE SobarNetInstaller.exe softreg20.exe softreg38.exe softreg50.exe
SSL.dll System32.exe
   
tgbrfv_.exe TGBRFV_5.dll tutuag32.exe
visionnet.dll
webad.dll windcheck2.exe windows.exe  winhtp.dll   wmimgr.exe
xpstyle.dll
yisou_znmq.exe
zunins.exe  DDD_Install_Program.job      
         
netlib.exe BCUP.EXE BoCaiToolBar.dll nwiz32.exe MsInfo.dll Temp2.inf aclayer.exe aclayer.dll
~!KqVo4c.exe comime.exe DHelp.dll msinthk.dll QQDHelp.dll wmimgr.exe

--------------------------------------------------------
白名单：
C:\Recycled\*
C:\windows\AppPatch\
C:\temp\*
C:\windows\temp\*
C:\windows\$*\
C:\windows\LastGood\
C:\windows\IIS Temporary Compressed Files\
C:\windows\System32\Logfiles\
C:\Documents and Settings\Administrator\Local Settings\Temp\*.*
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\*
C:\Documents and Settings\Administrator\Local Settings\桌面\*
C:\WINDOWS\Minidump
C:\WINDOWS\Prefetch
C:\WINDOWS\ERDNT\*
--------------------------------------------------------
上面已经包含了所有大家提供的资料，本人未一一实际验证检查。如果有不妥之处仍然请大家指出。

emca

[这个贴子最后由emca在 2005/07/15 10:30pm 第 1 次编辑]

以下是添加前面所有补充内容、排序、去重复项目、按程序的查看器宽度分行的名单：
17lele.ex_ 3721 APIHOOKDLL.DLL Adcache Ads BCUP.EXE BaiDuBar.dll Baidu BoCaiToolBar.dll
CNNIC CdnIEHlp.dll CnMinPK.sys CnsMin.cab DDD_Install_Program.job DHelp.dll Dudu
Dvldr32.exe EXPLORER.EXE Exiorer.exe Exp1orer.exe HFIND.EXE HMAPI.dll Hello.exe IMU
IdnMail.exe KaKaToolBar KNQTWZ]`.dll MWQU_32.DLL MsInfo.dll NBar.exe NETAPI32.DLL
NMWizardA14.exe NetBar Ntd11.dll Ntd1l.dll Ntdl1.dll Ntdll.dll PluginENLOG.DLL QQDHelp.dll
Qyule.exe RUN32.DLL Rund1132.exe Rund1l32.exe Rundl132.exe Rundll32.exe SDAgent
SERINIT32.EXE SSL.dll SYSMONDe64.dll Saga.sys Sandai SobarNetInstaller.exe System32.exe
TGBRFV_5.dll Temp2.inf Thdstat.exe VisionNet WORLD2 _abbca_.dll _abbca_.exe _huytam_.dll
_huytam_.exe aclayer.dll aclayer.exe adfilter.dll ahook.sys asbar.dll asiesec.dll asnoad.dll
assist.dll aswipe.dll autolive.dll brasil.exe cdn.dll cdnhook.sys cdnprot.sys cdntran.sys comime.exe
contmenu.dll dddupdate.exe dhelp.dll helper.dll henbang.exe hmcab.cab hookdll.dll httpodbc.dll
iexplore.exe imuiepls.dll imuliver.dll inetapi32.dll iservc.dll iservc.exe kernel32.exe lasass.exe
m2syadll.dll meobjsdt.dll miniddd.exe msetup.exe msinthk.dll netlib.exe netpig notepad.exe nwiz32.exe
optimum.dll pnpsvc.inf prostrdll.dll rasvss.dll rdriv.sys repair.dll softreg20.exe softreg50.exe
softreg38.exe svohost.exe tgbrfv_.exe tutuag32.exe usign.dll visionnet.dll vml vpip.exe webad.dll
windcheck2.exe windows.exe winhtp.dll winhtp.dllxpstyle.dll wmimgr.exe ws2-64.dll ws2_32.dll wsearch
wsocket.dll xpstyle.dll yisou_znmq.exe zunins.exe ~!KqVo4c.exe

emca

黑名单更新了！3721和网络猪更改了捆绑方式！感兴趣的兄弟可更新下面的黑名单：
17lele.ex_ 3721 3721.exe APIHOOKDLL.DLL Adcache Ads BCUP.EXE BaiDuBar.dll Baidu BoCaiToolBar.dll
CNNIC CdnIEHlp.dll CnMinPK.sys CnsMin.cab DDD_Install_Program.job DUDU.exe DHelp.dll Dudu
Dvldr32.exe EXPLORER.EXE Exiorer.exe Exp1orer.exe HFIND.EXE HMAPI.dll Hello.exe IMU
IdnMail.exe KaKaToolBar KNQTWZ]`.dll MWQU_32.DLL MsInfo.dll NBar.exe NETAPI32.DLL
NMWizardA14.exe NetBar Ntd11.dll Ntd1l.dll Ntdl1.dll Ntdll.dll PluginENLOG.DLL QQDHelp.dll
Qyule.exe RUN32.DLL Rund1132.exe Rund1l32.exe Rundl132.exe Rundll32.exe SDAgent
SERINIT32.EXE SSL.dll SYSMONDe64.dll Saga.sys Sandai SobarNetInstaller.exe System32.exe
TGBRFV_5.dll Temp2.inf Thdstat.exe unpig.exe VisionNet WORLD2 _abbca_.dll _abbca_.exe _huytam_.dll
_huytam_.exe aclayer.dll aclayer.exe adfilter.dll ahook.sys asbar.dll asiesec.dll asnoad.dll
assist.dll aswipe.dll autolive.dll brasil.exe cdn.dll cdnhook.sys cdnprot.sys cdntran.sys comime.exe
contmenu.dll dddupdate.exe dhelp.dll helper.dll henbang.exe hmcab.cab hookdll.dll httpodbc.dll
iexplore.exe imuiepls.dll imuliver.dll inetapi32.dll iservc.dll iservc.exe kernel32.exe lasass.exe
m2syadll.dll meobjsdt.dll miniddd.exe msetup.exe msinthk.dll netlib.exe netpig notepad.exe nwiz32.exe
optimum.dll pnpsvc.inf prostrdll.dll rasvss.dll rdriv.sys repair.dll softreg20.exe softreg50.exe
softreg38.exe svohost.exe tgbrfv_.exe tutuag32.exe usign.dll visionnet.dll vml vpip.exe webad.dll
windcheck2.exe windows.exe winhtp.dll winhtp.dllxpstyle.dll wmimgr.exe ws2-64.dll ws2_32.dll wsearch
wsocket.dll xpstyle.dll yisou_znmq.exe zunins.exe ~!KqVo4c.exe

emca

黑名单能否也支持通配符？那样就更加方便定义了！比如 *3721*.* 、*hook*.dll 这将过滤掉多少3721和后台钩子的变种啊！