[sysshield]系统安全盾

emca

最近有很棒小秘书被清除后，由于其把病毒文件与网络组件进行了捆绑，其“hbmter.dll”这个软件被注册为“winsock”模块，因此如果你删掉它的话，你上网就打不开网页了。因此会导致清除后不能上网，常规修复方法无效！
因此这里提供一个本人跟踪的特别键值修复，是先清除后写入的做法。可供 Wangsea 参考。里面包含的是注册表文件，三个大的主项（Controlset/001/002）。

我不知道其他人的系统中这些注册表内容是否也相同，按道理默认安装后网络Winsock组件的注册可能是相同的。因此这个注册表文件仅供参考。

Syscheck 目前在针对系统问题的处理上已经做得非常难得了，什么金山、江民、瑞星的家伙，见到 Wangsea 应当下跪称 Wangsea 为祖宗爷爷才是正理！日后建议适当加强网络问题的检测和修复：）

sunkist

原帖由 emca 于 2006-8-14 02:14 PM 发表
最近有很棒小秘书被清除后，由于其把病毒文件与网络组件进行了捆绑，其“hbmter.dll”这个软件被注册为“winsock”模块，因此如果你删掉它的话，你上网就打不开网页了。因此会导致清除后不能上网，常规修复方法无 ...

我为这事烦了！好几次是这样删了一个垃圾然后就上不去。真是伤害不少系统啊！
今天用安全盾发生如下问题，不知道为何，自动退出，也没有按入号码。建议wandsea做个日志。

非常人

右键菜单加入了一个方便安装而做的关闭监视的窗口．本窗口在显示的时侯则所有sysshield中定义的监视全部/部份失效．这两种方式下都会关闭sysshield的注册表监视。

默认会有一个5分钟倒计时,如果您认为时间不够则可以点击[不计时]按钮.

点右上角的[X]和[退出]都是关闭窗口并重新开启监视．


建议可以当不计时的时候，点关闭可以保存现在的状态，毕竟开一个窗口在这里挺讨厌，可以在下面的图上面进行状态的标注，或者在任务栏的标志图进行变化也可以，表开一个窗口！人性化：）

xdg3669

原帖由 sunkist 于 2006-8-14 04:59 PM 发表

我为这事烦了！好几次是这样删了一个垃圾然后就上不去。真是伤害不少系统啊！
今天用安全盾发生如下问题，不知道为何，自动退出，也没有按入号码。建议wandsea做个日志。

这个我在一年前遇到过了，删除后无法上网！

wang6071

to   emca:
  Winsock的修复可能不是仅注册表那么简单,偶一般用lspfix+WinsockXPFix来修复,仅WinsockFix.exe就是1M多,估计还含有恢复系统文件在内. lspfix的移除原理估计也不单是处理winsock及winsock2键.我也曾经考虑过做一个WinsockFix项在syscheck中,但因原理不太清楚,所以没有做.感觉上还是用lspfix移除,用Winsockxpfix修复容易成功一些.
  另外,修复时只修复HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services下的winsocK2就行了,ControlSet001,ControlSet002都是一个备份键,可以不用修复.
  另外网上有一种做法是直接删除Winsock2键，然后重装协议，这个方法还没有机会试验．

to sunkist:
   安全盾自动退出还是丢失了任务栏图标,看一下任务管理器中是否还有sysshield.exe,如是那样,用其它安全工具查一下是否是因为木马所为(不会这么早就让木马盯上了安全盾吧?)

to   非常人:
  暂停监视时做成图标等方式较容易,但不如目前的方式显眼显永远在最上层,这么做的目的就是让你完成其它工作后尽快开启监视,避免因安装工作过多时忘记还原监视．

emca

WinsockFix.exe 其实并不是一个真正的程序，它也是一个压缩的工具包。执行主程序后，在临时目录下会生成 VBData 的目录，其中有一套 ERDNT 注册表备份工具，外加 XPWinsock.reg和XpWinock2.reg以及清除这两个根键项的注册表 Delxp.reg。另外还有一个只有一个 127.0.0.0 这一行的 HOSTS 文件。所以说它的修复仍然是简单的注册表替换！

我对比了一下它的键值，与我收集到的键值基本相同，但它的一些协议提示信息是英文的，另外还有少许不同估计可能是版本原因。

Lspfix 的原理我跟踪到也是与上述差不多。只不过它是采取抽取式删除键值而不是替换键值而已。

zxplhzlt

syscheck 在原先出错的windows2000的机子上试用正常.

sunkist

to sunkist:
   安全盾自动退出还是丢失了任务栏图标,看一下任务管理器中是否还有sysshield.exe,如是那样,用其它安全工具查一下是否是因为木马所为(不会这么早就让木马盯上了安全盾吧?)

好，我杀下病毒~
看是否存在木。。。
lsass病毒，不过不是我这台机子的，他能在安全盾重启动时把exe文件连接修改，导致呒法双击打开任何exe文件。
我本身的机子是没有问题的，是我同事用的机子有问题，因为没有装杀毒软件。

[ 本帖最后由 sunkist 于 2006-8-15 06:28 PM 编辑 ]

wang6071

to sunkist:
   是用的1.23版吗?1.23对exe关联进行了保护,难道没守住?

[ 本帖最后由 wang6071 于 2006-8-15 08:14 PM 编辑 ]

wang6071

搞了个定时关机送给大家,在无人值守时下载时有用.

zxplhzlt

原帖由 wang6071 于 2006-8-15 07:57 PM 发表
to zxplhzlt:
   是用的1.23版吗?1.23对exe关联进行了保护,难道没守住?

wang6071兄,我使用安全盾很正常,应该问问sunkist 守住没有.

xubinfly

问个与主题无关的问题，今天给xp打补丁，怎么出现“复制文件es.dll时出现错误　　无法将文件复制到目标目录 要重试，请单击“重试”，要取消，请单击“取消””，好几个都这样（dll文件名不同），无法打补丁，急死了，什么ms-40补丁都不能进行，怎么回事呢？我上网找，找到了好几个提类似问题的人，可下面都没回复，看看这里高手能不能帮忙，谢谢！！！！！！！！！！！！！！！！！

wang6071

原帖由 xubinfly 于 2006-8-16 12:01 AM 发表
问个与主题无关的问题，今天给xp打补丁，怎么出现“复制文件es.dll时出现错误　　无法将文件复制到目标目录 要重试，请单击“重试”，要取消，请单击“取消””，好几个都这样（dll文件名不同），无法打补丁，急死 ...

是否开启了安全盾,安全盾的目录监视(自定义方式下)会阻止dll的写入.

xubinfly

没有开启安全盾呀

sunkist

原帖由 wang6071 于 2006-8-15 07:57 PM 发表
to sunkist:
   是用的1.23版吗?1.23对exe关联进行了保护,难道没守住?

to wang
   没有守住！！不知道为什么。我没装杀毒软件的机子就中了。。还好ghost了。要不然就完了

zxplhzlt

一些非系统进程未用红色显示.

xdg3669

是中毒了吧？

生命过客

:handshake首先感谢wang6071给我们编了这么好的软件，我一直都在用，非常好，没有花一分钱。其实对于家庭用户来说，不要把电脑安全的问题说的那么神，搞的中国网民都谈黑色变。一个不占内存，不用升级的小软件——系统安全盾，应该给大家一些思考。
wang6071：
目前，打系统补丁必须将安全盾关掉，很麻烦的。能否将系统自动升级（打补丁）设为例外。因为微软的补丁对系统安全还是有帮助的。
不知说的对不对，再次谢谢！

zxplhzlt

原帖由 xdg3669 于 2006-8-16 12:48 PM 发表
是中毒了吧？

对的,这是单位的一台机子,通过U盘感染的,操作员说慢得不能运行,用SYSCHECK发生病毒.

wang6071

to zxplhzlt :
   非系统进程显示黑色,是该程序盗用了微机的厂商标志,所以要全部显示进程,红色显示仅是快速处理的需要,对这类仿冒微软标志的程序当然还是需要自已靠路径靠经验分析．所以偶一直没有在进程页加排序的想法,因为排序后反还如现在这么容易分看出来了(前面的是系统本身的，同名仿冒的的在后面．)

To 生命过客:
   问题的难点在于是否否微软的升级补丁不好靠软件自动分辩，程序的厂商，日期等信息都是可仿造的．所以打补丁时最好是手动退出安全盾．

To   sunkist :
    估计不是安全盾没防住，而是安装程序时退出安全盾照成的，目前一些木马通常做成某些程序的安装包中夹带进入，对这类的程序似乎还没有一个好的办法分辩．

[ 本帖最后由 wang6071 于 2006-8-17 07:26 AM 编辑 ]

zxplhzlt

原帖由 wang6071 于 2006-8-16 08:46 PM 发表
To   zxplhzlt:
    估计不是安全盾没防住，而是安装程序时退出安全盾照成的，目前一些木马通常做成某些程序的安装包中夹带进入，对这类的程序似乎还没有一个好的办法分辩．

该机因没上互联网,只连上局域网,所以没装安全盾,也没装杀毒软件,是U盘考贝文件时感染带过来的.已通过SYSCHECK进行手工清除了病毒.
哈哈,SYSCHECK真是一个不错的工具,再次谢谢wang6071.

[ 本帖最后由 zxplhzlt 于 2006-8-16 09:05 PM 编辑 ]

sunkist

to wang6071
  是否把安全盾的服务加入系统服务中！看是否能行。

xdg3669

当作服务运行应该可以。但有些系统有冲突！

wang6071

安全盾1.24更新说明:

   1.23版发现重大Bug,上版新增的.exe文件的保护因疏忽造成对.exe等文件关联的保护无效.本次修正这个Bug.
   顺便公布一下,以便大家测试:
   安全盾保护的文件关联有.exe,.com,.pif,.cmd,.bat,.scr,.chm,.html;
   Windows NT\CurrentVersion\Winlogon 键下禁写;
   Windows NT\CurrentVersion\Windows  询问
   
   考虑暂停安全盾后有一段注册表监视的真空时间,使得木马程序轻易改变.exe文件关联,故恢复监视时会检测.exe,exefile关联是否被改变,若改变则还原默认值后再开监控.
   
  注意:仅检测.exe及exefile其它的关联其它不做检测,因为此时若中毒就不是安全盾所能修复的了,暂停后检测一次exe关联目的仅是让你的安全清理工具在中毒条件下能够使用.

  对小程序再次建议大家先试安装并运行,若正常运行则无需关闭安全盾.若运行不了请先看一下安全盾的删除文件列表,自我分析一下该程序是否是一个恶意程序,以决定是否该暂停安全盾实施再次安装.

   从安全盾的删除列表分析木马简介:
   1: 是否在Windows及其子目录创建了.exe,.com,.pif等文件,正常情况下不应在此目录下创建这些文件.
   2: 被删除的文件是否与系统文件同名,但不在同一目录下.
   3: 创建的文件名是否含字符~,或全是数字的文件名的文件.
   4: 创建的文件是否在它不应该在的目录下,比如:windows\Fonts下的.dll文件;Downloaded Program Files目录下的创建文件(大多数情况下在此目录下创建文件的都是IE插件);  

   安全盾启动过程中增加一次任务栏图标的重绘,看能否解决某些用户报告的启动时任务栏图标丢失的问题.

请到1231楼下载更新后的附件
完整版本可于http://wangsea.ys168.com获取

[ 本帖最后由 wang6071 于 2006-8-17 06:46 PM 编辑 ]

wang6071

原帖由 sunkist 于 2006-8-17 08:55 AM 发表
to wang6071
  是否把安全盾的服务加入系统服务中！看是否能行。

因为先前的安全盾的文件监控由注册表启动方式启动时在某些机器上出现兼容问题,才改用现在的启动菜单方式运行,所以以服务方式启动同样会出现兼容问题.

小木头

软件越来越完善。下一个新版的安全盾去。谢谢wang6071

longwang

刚才将启动里的SysSheid删除了，点程序中的“启动时运行本程序”无效。还有，暂停后退出SysSheid，会异常中止。另外我的系统是win2000。

[ 本帖最后由 longwang 于 2006-8-17 04:24 PM 编辑 ]

ncne

xp下测试与楼上的一样，建议修正。

[ 本帖最后由 ncne 于 2006-8-17 05:16 PM 编辑 ]

wang6071

to   longwang:
   出现<启动时运行本程序>无效问题是偶使用upx压缩程序后出现的,现在换用aspack压缩后测试正常. 请用下面的附件替换原文件或到偶的空间下载新版．

freesoft00

“Winsock的修复可能不是仅注册表那么简单,偶一般用lspfix+WinsockXPFix来修复“

想问一下王兄和无忧的各位兄弟，这两个软件的用法，虽然很简单，但是没出现过这样的问题，也没试过。
主要是lspfix的用法，是否是有多余的dll选中删除之。