[sysshield]系统安全盾

wang6071

奇了,我这边浏览中天网页一点键接就要出这个现象,而上无忧，Goole其它网页均无问题.

只有上中天必须关了scripts才无这个现象,why? 各位的Windows目录下有
E:\WINDOWS\System32\rayess.exe  2006-09-28 21:22:42
E:\WINDOWS\System32\qproecss.exe  2006-09-28 21:22:57
E:\WINDOWS\System32\ineptpui.dll  2006-09-28 21:22:57
这些安全盾删除的文件吗?

难道是电信节点上的问题?

小木头

我上中天也没有这种现象!都正常.网通的.

在C:\WINDOWS\system32目录下搜索没有以上所述文件

[ 本帖最后由 小木头 于 2006-9-28 10:44 PM 编辑 ]

wang6071

有可能是某台镜像服务器被入侵而非全部,已经有其它人中了.

namejm

原帖由 wang6071 于 2006-9-27 11:10 PM 发表
syscheck(1.0.0.41)
上一版居然将sck兄弟修改后的说明文件漏放入了,本版修正。
根据红叶兄的意见,将文件搜索与内置文件管理器的日期格式修改。...

　　王兄，还有另外一个地方的日期显示也应该统一起来：服务管理 界面下的 文件修改时间 是以 “星期 日期” 的格式显示的。

yht

刚覆盖升级安全盾!感觉安全盾1.38版的cpu占用量明显增大!在我的系统中占6%.是脉动式的!而1.35b版以前的版本基本在1%以下!几乎观察不到!
回顾安全盾的发展历程,我记得2006.5.19以前版本cpu占用量有这个现象!我曾向wang兄反馈此事!2006.5.19版本成功的解决了这个问题!(采用了新的内核,更低的cpu占用(基本为0)!自此到1.35b版一直是cpu占用极低!令人满意!但似乎是1.35b版以后的版本到今天这个1.38版都大大增多了cpu的占用量!同时观察到物理内存也略有增加!但并不大!......

[ 本帖最后由 yht 于 2006-9-29 12:41 AM 编辑 ]

emca

我没有发现楼上的现象。是不是楼上已经中招。病毒在与安全盾PK，从而占用了过多资源？

如图：

小木头

原帖由 yht 于 2006-9-29 12:17 AM 发表
刚覆盖升级安全盾!感觉安全盾1.38版的cpu占用量明显增大!在我的系统中占6%.是脉动式的!而1.35b版以前的版本基本在1%以下!几乎观察不到!
回顾安全盾的发展历程,我记得2006.5.19以前版本cpu占用量有这个现象!我曾向 ...

覆盖回1.35b版并进行对比.确实出现安全盾1.38版的cpu和内存占用量明显增大的现象!

xdg3669

我的没有这样的现象：

yht

原帖由 emca 于 2006-9-29 07:11 AM 发表
我没有发现楼上的现象。是不是楼上已经中招。病毒在与安全盾PK，从而占用了过多资源？

如图：

看到您的帖子,我立即又反复用1.35b与1.36b,1.37.1.38交替覆盖,对比.证实确是1.35b cpu占用1%以下,而其后的版本cpu占用达6%!注意:此占用是脉动的,6%是峰值!!所以有时在任务管理器中显示cpu0%!如持续观察十秒钟以上,就会出现一个峰值!
假如说此现象是病毒在与安全盾PK!那么1.35b版的表现似乎可以排除这个可能了!........

[ 本帖最后由 yht 于 2006-9-29 02:13 PM 编辑 ]

ah1283328

同事的机器中招，用syscheck快速净化做了两次，包括在安全模式下，但有一个“七音音乐网”网址，一起动就出来，后发现在进程里有一可疑项“alexa.exe"删除后在重启还有，用红叶的系统修复里的”ie"修复工具修复也解决不了。在服务里没发现有可疑的服务项。请问如何解决。
谢谢！

zyjffnn

对双击磁盘符号无法打开，必须用右键打开————这样的病毒如何杀，好像是“ses.exe”

非常人

这几天碰上点问题，QQ没有响应，而且不能结束进程！
如下图，空白了，使用反黑和IS都结束不了，怪了，一直就停在这里！

gs971wd

每5秒，安全盾占CPU就有一个3%的峰值出现。

bassay

原帖由 gs971wd 于 2006-9-29 10:39 PM 发表
每5秒，安全盾占CPU就有一个3%的峰值出现。

我的也是

wang6071

每隔5秒安全盾恢复自身的Api函数一次以免被Hook,如果大家觉得时间太短可以在下一版中将时间设得稍长一点.另外,安全盾1.37版是将优先级调得比较高,如大家觉得较占系统资源可以考虑稍降一点.

ah1283328 :关于有一个“七音音乐网”网址，一起动就出来，后发现在进程里有一可疑项“alexa.exe"删除后在重启还有，用红叶的系统修复里的”ie"修复工具修复也解决不了。在服务里没发现有可疑的服务项。
    应该有一个服务保护着,再仔细查一查.对于alexa.exe可以在内置资源管器或进程模块列表或搜索中找到它,然后用延时删除手段,应可去除.(做这步操作前最好恢复一下ssdt,结束一切不必要的进程以确保成功,如嫌麻烦可以用快速净化,净化完后不要重启,再做上面所说的处理)

zyjffnn:使用<磁盘关联>按钮修复.ses.exe清启项,结束进程,用搜索功能删除其它垃圾.

非常人: 如果没有重启过也许是正常的,有时侯进程死掉了会有残像(不经常发生),如果重启后还是这个现象,则该进程采用了RootKit的搞除链表技术,最好用延时删除删除它.

wang6071

syscheck(1.0.0.42)
调整服务页时间显示格式.
内核HOOK检测加入一个强化检测,是什么不用说大家都知道.

------------
关于自动恢复ssdt偶觉得还是没有必要,因为不是每次启动syscheck都是修复系统,有些仅仅是观察一下是否有异常,如强行恢复反而容易给系统带来漏洞.

ah1283328

ah1283328 :关于有一个“七音音乐网”网址，一起动就出来，后发现在进程里有一可疑项“alexa.exe"删除后在重启还有，用红叶的系统修复里的”ie"修复工具修复也解决不了。在服务里没发现有可疑的服务项。
    应该有一个服务保护着,再仔细查一查.对于alexa.exe可以在内置资源管器或进程模块列表或搜索中找到它,然后用延时删除手段,应可去除.(做这步操作前最好恢复一下ssdt,结束一切不必要的进程以确保成功,如嫌麻烦可以用快速净化,净化完后不要重启,再做上面所说的处理)
谢谢wang6071 大侠，已用你的工具处理好多台机器，刚刚又处理一台中招机器，2000pro启动显示器花屏。昨天发贴后等到11点多，就睡觉去了，早上一看，大侠已给出处理方案。感谢。
祝兄弟国庆快乐！

bdfcy

原帖由 非常人 于 2006-9-29 09:44 PM 发表
这几天碰上点问题，QQ没有响应，而且不能结束进程！
如下图，空白了，使用反黑和IS都结束不了，怪了，一直就停在这里！

QQ 这个垃圾经常这样！记得有几次是拔下摄像头就好了！

penghy

在安装部分要写注册表的程序的时候，安全盾会提示，但是提示时间较短有时候还没有看清楚就关闭窗口了。
是否可以延长提示时间或者增加监控记录呢？

紫狐

还有一个就是部分流氓软件在进驻后会把注册表该项加入禁止删除的权限，不知道syscheck在注册表删除的权限方面有没有办法提高到system？

windowsi

技术全面一流呀,谢谢楼主们了!!!

非常人

原帖由 bdfcy 于 2006-9-30 09:05 发表

QQ 这个垃圾经常这样！记得有几次是拔下摄像头就好了！

:( 状态切换的时候这样的！

经常出现某几个程序（最近都是Q惹的祸）类似的情况，对了，王兄，刚刚那个图，由此想到一个问题好象，我在上面切换到其他选项里面，在换到进程，QQ的进程仍然无法显示模块，关闭反黑以后重新打开，模块的信息表就重新有了，而IS就没这个问题！，不过里面结束进程的几个方法都没有效果！那天死了三次，（同一个号码登陆四次，前三次全部是尸体进程占着内存，后面一个可以使用）

是不是要在进程项那边处理一下，当切换到进程栏的时候，重新家载一次呢！刷新好象对刚刚这个现象没什么效果！

258

还是建议安全盾增加完善的日志，而且有自动保存、编辑功能
日志内容中应该有详细的记录，包括可执行文件、dll、屏保、驱动的加载等

Phexon

wangsea兄，貌似syscheck的活动文件检测部分还没有实现对 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run] 这个注册表项的检测？莫非忘记了？我以前给你提过sysshield的相关键值，今天发现sysycheck也还没有加入这个项的检测

freesoft00

新版syscheck的hook检测，强化检测钩选后，弹出true,不知道什么意思。

另外，emca能不能更新一下你的   卓尔系统贴心锁  ，这个小程序设计的很巧妙， 现在又有这么多危险注册表键值被发现。能不能更新一下。谢谢。

wang6071

原帖由 freesoft00 于 2006-9-30 08:37 PM 发表
新版syscheck的hook检测，强化检测钩选后，弹出true,不知道什么意思。

传错了,那个版本的该选择不起任何作用,用这个版本.


------------
to   Phexon  

代码中明明有,  showStartReg('启动值',HKEY_Local_Machine,
    'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\run',RegList);

何来没检测HKEY_Local_Machine\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\run?
你搞一个非系统的进去看检测得出来不.

[ 本帖最后由 wang6071 于 2006-9-30 09:00 PM 编辑 ]

adminfire

虽然使用类型过滤，不能创建新的过滤指定的文件类型，但是如果新建的文件是此目录存在的文件名，那么他的过滤类型将失效，

xdg3669

原帖由 wang6071 于 2006-9-29 11:47 PM 发表
syscheck(1.0.0.42)
调整服务页时间显示格式.
内核HOOK检测加入一个强化检测,是什么不用说大家都知道.

------------
...

强化检测已能进行内核检测，但在安装卡巴的状态下，仍要点击7～8次才出现！

这几天发现通过中国电信宽带上网，用的是XPSP2内置的拨号软件，非互联星空拨号软件；不管浏览器是以空白页启动、默认主页启动或者是继续上次页面启动，每次开机后第一次打开网页（也就是第一次连接DNS服务器时，任何非电信网站）时首先出现的是它的互联星空网站！但重启浏览器后，就不会发生这种情况。系统重启后又出现，在opera和在IE都出现，不但windows系统而且linux系统也是这种情况，用HijackThis检测，系统没有受到劫持！估计是中国电信利用它的服务器自动跳转！

从这种情况看中国电信已加入了流氓队列！是一种强奸行为！太可恶了，它比一些流氓软件更可恶！流氓软件还可以用各种方法限制！但它从源头上强奸！这是根本上从DNS服务器解析时进行了重定向！！

可恨，可恶！监管部门哪去了？？？？？？

信产部干什么来的？？？？？？？？真是社会不幸，流氓横行！网友们觉醒吧！


我们是付费用户！呀，并不是免费用户，如果是免费用户我没话可说！

可恨，可悲，中国互联网的发展前景是这样？？？？？？？

[ 本帖最后由 xdg3669 于 2006-10-1 04:33 PM 编辑 ]

freesoft00

刚刚又下载更新的，选上强化检测没什么反应。和没选上没什么区别。

Phexon

原帖由 wang6071 于 2006-9-30 08:53 PM 发表


传错了,那个版本的该选择不起任何作用,用这个版本.


------------
to   Phexon  

代码中明明有,  showStartReg('启动值',HKEY_Local_Machine,
    'Software\Microsoft\Windows\CurrentVersion\Poli ...

我今天中午用syscheck处理一个流氓病毒，一个dll，通过这个项加载的，在syscheck没有显示，中午刚在ys168网盘下载的最新的syscheck。这个dll通过这个项运行rundll32加载，然后把线程插入winlogon.exe进程，winlogon.exe作为三个核心进程之一，既结束不得，而且卸载病毒线程也会导致掉电重启。于是使用重启后删除，还是无效。我于是想到一个方法，只要阻止这个dll启动时的加载即可。找到相关文件，然后用NTFS权限，取消所有权限，包括读权限。然后重新启动，到桌面后提示这个dll没有加载成功，然后再用syscheck还是没有发现加载，于是自己打开注册表编辑器搜寻这个dll，就在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]项找到了加载，删除之。系统至此完全干净。

在此也想到了一个方法，当然了，灵感来自红叶的免疫脚本。对于不能结束的病毒体文件，可以用NTFS权限进行锁定，然后重新启动即可阻止病毒体的加载，而且相当有效，不妨把syscheck加入此功能。

ps:那个dll文件名是tapidef.dll，相当顽固。文件体不在我的机器，我暂时不上传了。wangsea兄如果需要，我明天可以去copy这个文件