|
論壇說明 |
歡迎您來到『史萊姆論壇』 ^___^ 您目前正以訪客的身份瀏覽本論壇,訪客所擁有的權限將受到限制,您可以瀏覽本論壇大部份的版區與文章,但您將無法參與任何討論或是使用私人訊息與其他會員交流。若您希望擁有完整的使用權限,請註冊成為我們的一份子,註冊的程序十分簡單、快速,而且最重要的是--註冊是完全免費的! 請點擊這裡:『註冊成為我們的一份子!』 |
|
主題工具 | 顯示模式 |
2005-08-19, 09:59 AM | #1 |
榮譽會員
|
資訊 - NOD32的指令行設定
NOD32的指令行設定以及中文翻譯
原文來自wilderssecurity的blackspear,是全文翻譯的,但是覺得這裡,他的設定並不一定符合所有人的要求,所以就截取了這一段,希望對大家有用。 From what I can see, the following switches should give the greatest and maximum strength scan: /adware /ah /all /arch+ /clean /cleanmode /delete /heur+ /log+ /mailbox+ /pack+ /quarantine /scanboot+ /scanmbr+ /scanmem+ /scroll+ /sfx+ /unsafe /wrap+ Your scan settings will start with: C:\ (single space) /switches go here - see screenshot Or Copy and Paste the following directly into your settings: C:\ /adware /ah /all /arch+ /clean /cleanmode /delete /heur+ /log+ /mailbox+ /pack+ /quarantine /scanboot+ /scanmbr+ /scanmem+ /scroll+ /sfx+ /unsafe /wrap+ Or To scan ALL of your drives do NOT use C:\ use ONLY the following: /local /adware /ah /all /arch+ /clean /cleanmode /delete /heur+ /log+ /mailbox+ /pack+ /quarantine /scanboot+ /scanmbr+ /scanmem+ /scroll+ /sfx+ /unsafe /wrap+ /local = Scan all local drives /adware = Enable detection of adware, spyware and riskware /ah = Enable advanced heuristics /all = Scan all files regardless of their extension /arch+ = Enable archives (ZIP, ARJ and RAR) scanning /clean = Clean infected objects (if applicable) /cleanmode = Enables cleaning mode (the actions taken will depend on the action settings) /delete = Delete the infected file /heur+ = Enable standard heuristics /log+ = Enable Log file generation /mailbox+ = Enable scanning mailboxes /pack+ = Enable internal runtime packer files scanning /quarantine Copy infected file to quarantine before taking further action (clean/delete) /scanboot+ = Enable boot sectors scanning /scanmbr+ = Enable MBS scanning /scanmem+ = Enable scanning memory /scroll+ = Enable scrolling of the Log /sfx+ = Enable scanning self-extracting archives /unsafe = Enable detection of potentially dangerous applications /wrap+ = Enable text wrapping in the Log file GENERAL /break- = Disable testing intermission /break+ = Enable testing intermission /expire- = Disable the program expiration notice /expire+ = Enable the program expiration notice /help = Display the list of program switches /list- = Include in the Log only the objects infected /list+ = Create the list of all tested objects in the Log /quit- = Do not quit the program automatically after scanning /quit+ = Quit the program after scanning /scroll- = Disable scrolling of the Log /scroll+ = Enable scrolling of the Log /selfcheck- = Self-test disable /selfcheck+ = Self-test enable /sound- = Sound warning disable /sound+ = Sound warning enable /subdir- = Disable the sub-directories scanning /subdir+ = Enable the sub-directories scanning |
__________________ |
|
送花文章: 3,
|
2005-08-19, 10:00 AM | #2 (permalink) |
榮譽會員
|
DETECTION
/adware = Enable detection of adware, spyware and riskware /all = Scan all files regardless of their extension /arch- = Disable archives scanning /arch+ = Enable archives (ZIP, ARJ and RAR) scanning /exclude=<LIST> = Excludes a single particular file from scanning, multiple files can be selected using wildcards /ext=<LIST> = Add a new extension into the list of tested files. (Multiple entries permitted, e.g., /ext=EXT1,EXT2 /heur- = Disable heuristic analysis /heur+ = Enable heuristic analysis /local = Scan all local non-removable media /mailbox- = Disable scanning mailboxes /mailbox+ = Enable scanning mailboxes /network = Scan all network disks /pack- = Disable the runtime packer files scanning /pack+ = Enable internal runtime packer files scanning /pattern- = Disable testing using virus signatures/patterns /pattern+ = Enable testing using virus signatures/patterns /scanboot- = Disable boot sectors scanning /scanboot+ = Enable boot sectors scanning /scanfile- = Disable scanning of the files /scanfile+ = Enable scanning of the files /scanmbr- = Disable MBS scanning /scanmbr+ = Enable MBS scanning /scanmem- = Disable scanning memory /scanmem+ = Enable scanning memory /sfx- = Disable scanning self-extracting archives /sfx+ = Enable scanning self-extracting archives /unsafe = Enable detection of potentially dangerous applications HEURISTIC ANALYSIS /ah = Enable advanced heuristics /heur- = Disable standard heuristics /heur+ = Enable standard heuristics /heurdeep = Set deep heuristic sensitivity - technically Deep Heuristics no longer exists as it has a higher chance of producing False Positives. /heursafe = Set safe heuristic sensitivity (minimize false alarms) /heurstd = Set standard heuristic sensitivity PROTOCOL /log- = Disable Log file generation /log+ = Enable Log file generation /log=<FILENAME> = Set the Log file name (e.g.: /log=NOD.LOG) /logappend = Enable Log file append option /logrewrite = Enable rewriting of the Log file /logsize=N = Set Log file to the maximum size of N KB) /wrap- = Disable text wrapping in the Log file /wrap+ = Enable text wrapping in the Log file CLEANING /clean = Clean infected objects (if applicable) /cleanmode = Enables cleaning mode (the actions taken will depend on the action settings) /delete = Delete the infected file /prompt = Offer an action upon virus detection /quarantine Copy infected file to quarantine before taking further action (clean/delete) /rename = Rename the infected file Note: If the switches: /prompt, /rename, /delete/ or /replace are used concurrently with the /clean switch, the corresponding action will be carried out only if the virus cannot be cleaned. The further a parameter is listed, the higher priority it has. For instance, using the "/clean /delete /prompt " parameters will result in that the "/prompt " parameter will supersede the "/clean /delete" parameters. TEST SCHEDULING /daily = Automatic testing on a daily basis /period=N = Automatic testing once in N days /weekly = Automatic testing on a weekly basis NETWORK (Windows versions only) /centralpath=<PATH> = Specifies the name of the directory for Centralized Update files /msg="<MESSAGE>" = Specifies the message to be sent upon virus deletion. /recipient=<LIST> = Specifies the recipients of the network messages (server/s, group or workstation name). Multiple entries are permitted, e.g., /recipient=SERVER1,SERVER2 在我看來,以下選項可以進行最全面最有效的掃瞄。 /adware /ah /all /arch+ /clean /cleanmode /delete /heur+ /log+ /mailbox+ /pack+ /quarantine /scanboot+ /scanmbr+ /scanmem+ /scroll+ /sfx+ /unsafe /wrap+ 可以以此作為設定的開始 C:\ (空格) /你的指令選項 或者 直接拷貝以下設定 C:\ /adware /ah /all /arch+ /clean /cleanmode /delete /heur+ /log+ /mailbox+ /pack+ /quarantine /scanboot+ /scanmbr+ /scanmem+ /scroll+ /sfx+ /unsafe /wrap+ 或者 掃瞄所有分區 /local /adware /ah /all /arch+ /clean /cleanmode /delete /heur+ /log+ /mailbox+ /pack+ /quarantine /scanboot+ /scanmbr+ /scanmem+ /scroll+ /sfx+ /unsafe /wrap+ /local = 掃瞄所有分區 /adware = 掃瞄廣告軟體,間諜軟體,危險軟體 /ah = 啟用進階啟髮式 /all = 不考慮副檔名掃瞄全部文件 /arch+ = 掃瞄壓縮檔案 /clean = 清除病毒文件(如果可以) /cleanmode = 啟用清除模式 (依*你的設定) /delete = 移除病毒文件 /heur+ = 啟用啟髮式 /log+ = 啟用日誌 /mailbox+ = 掃瞄電子郵件 /pack+ = 掃瞄時間壓縮檔案 /quarantine 隔離病毒 (清除/移除) /scanboot+ = 掃瞄啟始區 /scanmbr+ = 掃瞄硬碟分區表 /scanmem+ = 掃瞄記憶體 /scroll+ = 啟用日誌上磁碟區功能 /sfx+ = 掃瞄自解壓我的文件 /unsafe = 掃瞄潛在威脅應用程式 /wrap+ = 在日誌中文本啟用自動換行 GENERAL /break- = 關閉檢測間斷 /break+ = 啟用檢測間斷 /expire- = 關閉計劃過期提示 /expire+ = 啟用計劃過期提示 /help = 顯示計劃選項功能表 /list- = 在日誌中顯示染毒文件 /list+ = 在日誌中顯示所有檢測文件 /quit- = 計劃自動開始後不可停止 /quit+ = 計劃掃瞄開始後可停止 /scroll- = 關閉日誌上磁碟區 /scroll+ = 使用日誌上磁碟區 /selfcheck- = 關閉自我檢測 /selfcheck+ = 使用自我檢測 /sound- = 關閉報警聲 /sound+ = 啟用報警聲 /subdir- = 不掃瞄子資料夾 /subdir+ = 掃瞄子資料夾 DETECTION /adware = 掃瞄廣告軟體,間諜軟體,危險軟體 /all = 不考慮副檔名掃瞄全部文件 /arch- = 不掃瞄壓縮檔案 /arch+ = 掃瞄壓縮檔案 /exclude=<LIST> = 在掃瞄中排除某個文件,同時啟用萬用字元 /ext=<LIST> = 增加新的副檔名 /heur- = 關閉啟髮式 /heur+ = 啟用啟髮式 /local = 掃瞄本機所有不可移動媒體 /mailbox- = 不掃瞄電子郵件 /mailbox+ = 掃瞄電子郵件 /network = 掃瞄所有網路磁牒 /pack- = 不掃瞄執行時間壓縮器 /pack+ = 掃瞄執行時間壓縮器 /pattern- = 關閉病毒特徵檢測 /pattern+ = 啟用病毒特徵檢測 /scanboot- = 不掃瞄啟始區 /scanboot+ = 掃瞄啟始區 /scanfile- = 不掃瞄文件 /scanfile+ = 掃瞄文件 /scanmbr- = 不掃瞄硬碟分區表 /scanmbr+ = 掃瞄硬碟分區表 /scanmem- = 不掃瞄記憶體 /scanmem+ = 掃瞄記憶體 /sfx- = 不掃瞄自解壓我的文件 /sfx+ = 掃瞄自解壓我的文件 /unsafe = 檢測潛在威脅應用程式 HEURISTIC ANALYSIS /ah = 使用進階啟髮式 /heur- = 不用啟髮式 /heur+ = 使用啟髮式 /heurdeep = 深度啟髮式 /heursafe = 安全啟髮式 /heurstd = 標準啟髮式 PROTOCOL /log- = 關閉日誌 /log+ = 啟用日誌 /log=<FILENAME> = 設定日誌檔案名 /logappend = 啟用日誌文件追加選項 /logrewrite = 啟用日誌文件覆寫功能 /logsize=N = 日誌文件最大上限 /wrap- = 關閉日誌文件換行功能 /wrap+ = 啟用日誌文件換行功能 CLEANING /clean = 清除染毒文件 (如果可能) /cleanmode = 啟用清除模式(依賴於設定) /delete = 移除染毒文件 /prompt = 提示操作 /quarantine = 隔離染毒文件(清除/移除) /rename = 重新命名染毒文件 注意: 如果設定為: /prompt, /rename, /delete/, /replace中任何一個和 /clean 選項同時出現, 則將在清除不成功時執行操作。越*前的參數擁有越高的優先權,例如,使用 "/clean /delete /prompt " 參數會導致"/prompt "參數在"/clean /delete"後執行。 TEST SCHEDULING /daily = 每日自動檢測 /period=N = N天後自動檢測 /weekly = 每週自動檢測 NETWORK (Windows versions only) /centralpath=<PATH> = 限定集中更新文件的資料夾名 /msg="<MESSAGE>" = 派送病毒移除訊息 /recipient=<LIST> = 限定訊息收信者(伺服器,工作組或工作站)。允許多收信者:/recipient=SERVER1,SERVER2 |
送花文章: 3,
|
2006-04-16, 09:29 PM | #3 (permalink) |
榮譽會員
|
#!/usr/bin/perl
use LWP; # path to store updates $PATH="/var/www/html/nod"; # username/password for updates registered users $LOGIN="AV-xxxxxxx"; $PASS="xxxxxxxx"; # URL for updates #$URL_UPD="http://u2.eset.com/nod_eval"; $URL_UPD="http://u2.eset.com/"; $URL_UPD =~ s/\/$//; $URL_UPD =~ m/(.*:\/\/)(.*?)(\/.*)/; $site = "$1$2"; if ($site =~ m//) { print "Enter correct URL\n"; return; } unlink("$PATH/update.ver","$PATH/update.tmp"); download($PATH,"$URL_UPD/update.ver",$LOGIN,$PASS); `/usr/local/bin/unrar e -y $PATH/update.ver $PATH 2> /dev/null`; rename("$PATH/update.ver","$PATH/update.tmp"); $ver = "$PATH/update.tmp"; $vers = "$PATH/update.ver"; open(VER, "< $ver") or die "Couldn't open $ver for reading: $!\n"; open(VERS, "> $vers") or die "Couldn't open $vers for writing: $!\n"; %files = (); %urls = (); while (defined($line = <VER>) ) { chomp $line; $line =~ s/^\s+//; $line =~ s/\s+$//; ($par,$val)=split /=/, $line; if ($par =~ /file/ ) { $name = $val; $name =~ s/\/.*\///; if ($name=~m/$val/) {$furl="$URL_UPD/$val";} else {$furl="$site$val";} $line="file=$name"; } if ($par =~ /size/ ) { $size = $val; $files{$name} = $size; $urls{$name} = "$furl"; } print VERS "$line\r\n"; } print "\n"; close(VER); close(VERS); foreach $f (keys %files) { if ( (-s ("$PATH/$f")) != $files{$f}){ download($PATH,$urls{$f},$LOGIN,$PASS); } } chmod(0644,"$PATH/*"); sub download() { my ($path, $url, $login, $pass) = @_; # use external downloader system("/usr/bin/lftp -c \"get -cO $path $url\""); return; # PERL downloader $url =~ m/(.*:\/\/)(.*)\/(.*)/; my $filename = $3; my $ua=LWP::UserAgent->new(); $ua->agent("PerlUA/0.1"); my $ua=LWP::UserAgent->new(); $ua->agent("PerlUA/0.1"); my $req = HTTP::Request->new(HEAD => "$url"); $req->authorization_basic($login, $pass); my $document=$ua->request($req); if($document->is_success) { if (!($document->content_length== -s("$path/$filename"))) { my $req = HTTP::Request->new(GET => "$url"); $req->authorization_basic('login', 'password'); my $document=$ua->request($req); if($document->is_success) { open(OUT, "> $path/$filename"); print OUT $document->content; close(OUT); print "Downloading $url "; print "- ok\n"; } else { print "$url ",$document->status_line,"\n"; } } else { # print "$filename - exist\n"; } } else { print "$url ",$document->status_line,"\n"; } } |
送花文章: 3,
|
2006-05-19, 09:29 PM | #4 (permalink) |
榮譽會員
|
中了 Win32/Adware.Allsum
Q: 求助:中了 Win32/Adware.Allsum 我裝的NOD32.不知道不覺中了此病毒.今天早我就只去霏凡的灌水區看了幾張帖子 用Nod32搜匯出來了.但問題仍然存在:即開啟任何資料夾.螢幕閃一下.資料夾並未開啟 A: 廣告程序 你在安全模式下殺毒即可 請用 System Repair Engineer 掃瞄一個log貼上來。 1 解壓縮Sreng2.zip 2 執行Sreng2.exe 3 智能掃瞄——掃瞄——儲存報告 4 把日誌sreng.log中的報告內容完整拷貝貼上來,不要修改。 掃瞄時請關閉所有你手動開啟的程序 sreng操作和修復教學 Q: 我第一次用Nod32在正常模式下殺.查到了病毒.並且被我移除掉了 第二次在安全模式下用NOD32殺.然後再用spy sweeper查.都提示沒有病毒了 但是現在症狀仍然存在.就是打不開任何資料夾. 我想可以是病毒被殺了.但是被病毒修改的地方沒有得到修復 A: 正在按你說的方式操作.請等結果 日誌 請看日誌 謝謝 2006-05-19,14:29:52 System Repair Engineer 2.0.12.350 (2.0 RC 1) Windows Server 2003 Enterprise Edition - 管理權限用戶 - 完整功能 以下內容被選: 所有的啟動項目(包括註冊表、啟動檔案夾、服務等) 瀏覽器載入項 正在執行的行程(包括行程模組訊息) 文件關聯 啟動項目 註冊表 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] <Alt+Q Hotkey Tool><; C:\WINDOWS\FlyakiteOSX\Software\Alt+Q Hotkey.exe> [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] <ctfmon.exe><; C:\WINDOWS\system32\ctfmon.exe> [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] <msnmsgr><; "D:\Download\MSN Messenger 7[5].5.0299\msnmsgr.exe" /background> [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] <SearchSpy><; C:\Program Files\SearchSpy\SearchSpyMenu.exe> [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] <SearchSpyIndexer><; C:\Program Files\SearchSpy\SearchSpy Server\SearchSpyIndex.exe> [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] <WinRoll><; C:\Program Files\WinRoll\winroll.exe> [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] <Yz Shadow><; C:\Program Files\YzShadow\YzShadow.exe> [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows] <load><> [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows] <run><> [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] <nod32kui><"C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE> [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] <SpySweeper><"C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe" /startintray> [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] <IMJPMIG8.1><; "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32> [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] <IMSCMig><; C:\PROGRA~1\COMMON~1\MICROS~1\IME\IMSC40A\IMSCMIG.EXE /Preload> [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] <PHIME2002A><; C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName> [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] <PHIME2002ASync><; C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC> [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] <spoolsv><; C:\WINDOWS\system32\spoolsv\spoolsv.exe -printer> [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] <Start Outpost><; D:\Tools\OutpostProInstall.exe> [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] <System Files Updater><; C:\WINDOWS\FlyakiteOSX\System Files Updater.exe /S> [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] <UserFaultCheck><; %systemroot%\system32\dumprep 0 -u> [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] <shell><Explorer.exe> [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] <Userinit><C:\WINDOWS\system32\userinit.exe,> ================================== 啟動檔案夾 服務 [NOD32 Kernel Service / NOD32krn] <"C:\Program Files\Eset\nod32krn.exe"><Eset > [Webroot Spy Sweeper Engine / svcWRSSSDK] <C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe><Webroot Software, Inc.> ================================== 瀏覽器載入項 [wmpdrm] {0E674588-66B7-4E19-9D0E-2053B800F69F} <C:\WINDOWS\system32\wmpdrm.dll, N/A> [QQBrowserHelperObject Class] {54EBD53A-9BC1-480B-966A-843A333CA162} <D:\Program Files\Tencent\QQ\QQIEHelper.dll, 深圳市騰訊電腦系統有限公司> [NewWebController Class] {9ACEEE30-143F-471A-AA45-72B061FE7D60} <C:\WINDOWS\system32\WinSC.dll, N/A> [IeCatch2 Class] {A5366673-E8CA-11D3-9CD9-0090271D075B} <D:\Program Files\FlashGet\jccatch.dll, Amaze Soft> [FlashFXP Helper for Internet Explorer] {E5A1691B-D188-4419-AD02-90002030B8EE} <D:\PROGRA~1\FlashFXP\IEFlash.dll, IniCom Networks, Inc.> [訊息檢索(&R)] {92780B25-18CC-41C8-B9BE-3C9C571A8263} <D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL, Microsoft Corporation> [@shdoclc.dll,-866] {c95fe080-8f5d-11d2-a20b-00aa003c157a} <, N/A> [QQ] {c95fe080-8f5d-11d2-a20b-00aa003c157b} <D:\Program Files\Tencent\QQ\QQ.EXE, TENCENT> [FlashGet] {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} <D:\Program Files\FlashGet\flashget.exe, Amaze Soft> [QQIEFloatBarCfgCmd Class] {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} <D:\Program Files\Tencent\QQ\QQIEHelper.dll, 深圳市騰訊電腦系統有限公司> [@msdxmLC.dll,-1@2052,電台(&R)] {8E718888-423F-11D2-876E-00A0C9082467} <C:\WINDOWS\system32\msdxm.ocx, Microsoft Corporation> [FlashGet Bar] {E0E899AB-F487-11D5-8D29-0050BA6940E3} <D:\PROGRA~1\FlashGet\fgiebar.dll, Amaze Soft> [天下搜尋] {56A7DC70-E102-4408-A34A-AE06FEF01586} <, N/A> [Shockwave Flash Object] {D27CDB6E-AE6D-11CF-96B8-444553540000} <C:\WINDOWS\system32\Macromed\Flash\Flash8.ocx, Macromedia, Inc.> [上傳到QQ網路硬碟] <D:\Program Files\Tencent\QQ\AddToNetDisk.htm, N/A> [使用網際快車下載] <D:\Program Files\FlashGet\jc_link.htm, N/A> [使用網際快車下載全部連接] <D:\Program Files\FlashGet\jc_all.htm, N/A> [匯出到 Microsoft Office Excel(&X)] <res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000, N/A> [增加到QQ自訂面板] <D:\Program Files\Tencent\QQ\AddPanel.htm, N/A> [增加到QQ表情] <D:\Program Files\Tencent\QQ\AddEmotion.htm, N/A> [用QQ彩信傳送該圖片] <D:\Program Files\Tencent\QQ\SendMMS.htm, N/A> ================================== 正在執行的行程 [PID: 508][\SystemRoot\System32\smss.exe] <Microsoft Corporation><5.2.3790.0 (srv03_rtm.030324-2048)> [PID: 556][\??\C:\WINDOWS\system32\csrss.exe] <Microsoft Corporation><5.2.3790.0 (srv03_rtm.030324-2048)> [PID: 772][\??\C:\WINDOWS\system32\winlogon.exe] <Microsoft Corporation><5.2.3790.0 (srv03_rtm.030324-2048)> [C:\WINDOWS\system32\WRLogonNTF.dll] <Webroot Software, Inc.><2,0,9,509> [PID: 816][C:\WINDOWS\system32\services.exe] <Microsoft Corporation><5.2.3790.0 (srv03_rtm.030324-2048)> [PID: 828][C:\WINDOWS\system32\lsass.exe] <Microsoft Corporation><5.2.3790.0 (srv03_rtm.030324-2048)> [PID: 1028][C:\WINDOWS\system32\svchost.exe] <Microsoft Corporation><5.2.3790.0 (srv03_rtm.030324-2048)> [PID: 1092][C:\WINDOWS\System32\svchost.exe] <Microsoft Corporation><5.2.3790.0 (srv03_rtm.030324-2048)> [PID: 1180][C:\WINDOWS\System32\svchost.exe] <Microsoft Corporation><5.2.3790.0 (srv03_rtm.030324-2048)> [PID: 1240][C:\WINDOWS\system32\svchost.exe] <Microsoft Corporation><5.2.3790.0 (srv03_rtm.030324-2048)> [PID: 1252][C:\WINDOWS\system32\svchost.exe] <Microsoft Corporation><5.2.3790.0 (srv03_rtm.030324-2048)> [PID: 1372][C:\WINDOWS\System32\alg.exe] <Microsoft Corporation><5.2.3790.0 (srv03_rtm.030324-2048)> [PID: 1412][C:\Program Files\Eset\nod32krn.exe] <Eset ><2, 51, 8 > [C:\Program Files\Eset\nod32krr.dll] <Eset ><2, 51, 8 > [C:\Program Files\Eset\ps_amon.dll] <Eset ><2, 51, 8 > [C:\Program Files\Eset\pr_amon.dll] <Eset ><2, 51, 8 > [C:\Program Files\Eset\ps_dmon.dll] <Eset ><2, 51, 8 > [C:\Program Files\Eset\pr_dmon.dll] <N/A><N/A> [C:\Program Files\Eset\ps_emon.dll] <Eset ><2, 51, 8 > [C:\Program Files\Eset\pr_emon.dll] <N/A><N/A> [C:\WINDOWS\system32\imon.dll] <Eset ><2, 51, 8 > [C:\Program Files\Eset\pr_imon.dll] <N/A><N/A> [C:\Program Files\Eset\ps_nod32.dll] <Eset ><2, 51, 8 > [C:\Program Files\Eset\pr_nod32.dll] <Eset ><2, 51, 8 > [C:\Program Files\Eset\ps_upd.dll] <Eset ><2, 51, 8 > [C:\Program Files\Eset\pr_upd.dll] <N/A><N/A> [PID: 1476][C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe] <Webroot Software, Inc.><2,0,9,509> [PID: 1888][C:\WINDOWS\Explorer.EXE] <Microsoft Corporation><6.00.3790.0 (srv03_rtm.030324-2048)> [C:\Program Files\WinRAR\rarext.dll] <N/A><N/A> [C:\Program Files\Eset\nodshex.dll] <N/A><N/A> [C:\PROGRA~1\Webroot\SPYSWE~1\SSCtxMnu.dll] <Webroot Software, Inc.><4,5,9,709> [PID: 2008][C:\WINDOWS\System32\svchost.exe] <Microsoft Corporation><5.2.3790.0 (srv03_rtm.030324-2048)> [PID: 2032][C:\WINDOWS\System32\dmadmin.exe] <Microsoft Corporation><5.2.3790.0 (srv03_rtm.030324-2048)> [PID: 252][C:\Program Files\Eset\nod32kui.exe] <Eset ><2, 51, 8 > [C:\Program Files\Eset\nod32rui.dll] <N/A><N/A> [C:\Program Files\Eset\pu_amon.dll] <Eset ><2, 51, 8 > [C:\Program Files\Eset\pr_amon.dll] <Eset ><2, 51, 8 > [C:\Program Files\Eset\pu_dmon.dll] <Eset ><2, 51, 8 > [C:\Program Files\Eset\pr_dmon.dll] <N/A><N/A> [C:\Program Files\Eset\pu_emon.dll] <Eset ><2, 51, 8 > [C:\Program Files\Eset\pr_emon.dll] <N/A><N/A> [C:\Program Files\Eset\pu_imon.dll] <Eset ><2, 51, 8 > [C:\Program Files\Eset\pr_imon.dll] <N/A><N/A> [C:\Program Files\Eset\pu_nod32.dll] <Eset ><2, 51, 8 > [C:\Program Files\Eset\pr_nod32.dll] <Eset ><2, 51, 8 > [C:\Program Files\Eset\pu_upd.dll] <Eset ><2, 51, 8 > [C:\Program Files\Eset\pr_upd.dll] <N/A><N/A> [PID: 1704][C:\WINDOWS\system32\wbem\wmiprvse.exe] <Microsoft Corporation><5.2.3790.0 (srv03_rtm.030324-2048)> [PID: 596][C:\WINDOWS\system32\conime.exe] <Microsoft Corporation><5.2.3790.0 (srv03_rtm.030324-2048)> [PID: 1852][C:\Documents and Settings\Administrator\桌面\SREng.exe] <Smallfrogs Studio><2.0.12.350> ================================== 文件關聯 .TXT OK. [%SystemRoot%\system32\NOTEPAD.EXE %1] .EXE OK. ["%1" %*] .COM OK. ["%1" %*] .PIF OK. ["%1" %*] .REG OK. [regedit.exe "%1"] .BAT OK. ["%1" %*] .SCR OK. ["%1" /S] .CHM OK. ["C:\WINDOWS\hh.exe" %1] .HLP OK. [%SystemRoot%\System32\winhlp32.exe %1] .INI OK. [%SystemRoot%\System32\NOTEPAD.EXE %1] .INF OK. [%SystemRoot%\System32\NOTEPAD.EXE %1] .VBS OK. [%SystemRoot%\System32\WScript.exe "%1" %*] .JS OK. [%SystemRoot%\System32\WScript.exe "%1" %*] .LNK OK. [{00021401-0000-0000-C000-000000000046}] ================================== Winsock 提供者 ================================== 修復: [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] <spoolsv><; C:\WINDOWS\system32\spoolsv\spoolsv.exe -printer> 再執行C:\WINDOWS\system32\msibm\Uninstall.exe卸載程序 重新啟動電腦後移除以下資料夾(如果存在) C:\WINDOWS\system32\msibm C:\WINDOWS\system32\spoolsv\ C:\WINDOWS\system32\bakcfs\ C:\WINDOWS\system32\msicn\ 以及文件(如果存在) C:\WINDOWS\system32\wmpdrm.dll 用上說的方法去試之前,問題就可得到了解決 這原是個LJ廣告軟體(北京易彩信通科技有限公司)惹的禍.也可使用windows流氓軟體清理大師作了清理後就解決了. |
送花文章: 3,
|
2006-06-12, 06:06 AM | #5 (permalink) |
榮譽會員
|
#!/usr/bin/perl
use LWP; # path to store updates $PATH="/var/www/html/nod"; # username/password for updates registered users $LOGIN="AV-xxxxxxx"; $PASS="xxxxxxxx"; # URL for updates #$URL_UPD="http://u2.eset.com/nod_eval"; $URL_UPD="http://u2.eset.com/"; $URL_UPD =~ s/\/$//; $URL_UPD =~ m/(.*:\/\/)(.*?)(\/.*)/; $site = "$1$2"; if ($site =~ m//) { print "Enter correct URL\n"; return; } unlink("$PATH/update.ver","$PATH/update.tmp"); download($PATH,"$URL_UPD/update.ver",$LOGIN,$PASS); `/usr/local/bin/unrar e -y $PATH/update.ver $PATH 2> /dev/null`; rename("$PATH/update.ver","$PATH/update.tmp"); $ver = "$PATH/update.tmp"; $vers = "$PATH/update.ver"; open(VER, "< $ver") or die "Couldn't open $ver for reading: $!\n"; open(VERS, "> $vers") or die "Couldn't open $vers for writing: $!\n"; %files = (); %urls = (); while (defined($line = <VER>) ) { chomp $line; $line =~ s/^\s+//; $line =~ s/\s+$//; ($par,$val)=split /=/, $line; if ($par =~ /file/ ) { $name = $val; $name =~ s/\/.*\///; if ($name=~m/$val/) {$furl="$URL_UPD/$val";} else {$furl="$site$val";} $line="file=$name"; } if ($par =~ /size/ ) { $size = $val; $files{$name} = $size; $urls{$name} = "$furl"; } print VERS "$line\r\n"; } print "\n"; close(VER); close(VERS); foreach $f (keys %files) { if ( (-s ("$PATH/$f")) != $files{$f}){ download($PATH,$urls{$f},$LOGIN,$PASS); } } chmod(0644,"$PATH/*"); sub download() { my ($path, $url, $login, $pass) = @_; # use external downloader system("/usr/bin/lftp -c \"get -cO $path $url\""); return; # PERL downloader $url =~ m/(.*:\/\/)(.*)\/(.*)/; my $filename = $3; my $ua=LWP::UserAgent->new(); $ua->agent("PerlUA/0.1"); my $ua=LWP::UserAgent->new(); $ua->agent("PerlUA/0.1"); my $req = HTTP::Request->new(HEAD => "$url"); $req->authorization_basic($login, $pass); my $document=$ua->request($req); if($document->is_success) { if (!($document->content_length== -s("$path/$filename"))) { my $req = HTTP::Request->new(GET => "$url"); $req->authorization_basic('login', 'password'); my $document=$ua->request($req); if($document->is_success) { open(OUT, "> $path/$filename"); print OUT $document->content; close(OUT); print "Downloading $url "; print "- ok\n"; } else { print "$url ",$document->status_line,"\n"; } } else { # print "$filename - exist\n"; } } else { print "$url ",$document->status_line,"\n"; } } -------------------------------------------------------------------------------- |
送花文章: 3,
|
2006-08-17, 11:43 AM | #6 (permalink) |
榮譽會員
|
NOD32啟動慢的解決方法
自己辦了個NOD32群,這個是放在群裡的資料,拿出來發給大家,絕對原創 1.啟動的時候最好不要連上網路 2.刪除C:\Documents and Settings\你的用戶名\Local Settings\Temp下所有文件 3.刪除C:\WINDOWS\Prefetch下所有文件 4.NOD的一些設置要設定好,有設置的說明,就不在這裡說了 以上4點做到後啟動速度會有明顯的提升,大家可以試試 =================== NOD32用修正檔的危害 1.修正檔失效,要30天匯入一次,這個最常見 2.程式元件無法更新,這是必然的,因為用修正檔變成試用版,而試用版是無法更新程式元件的,這就導致你一直使用老的殺毒引擎,防毒能力大大降低 3.無法升級 4.無法開啟監控 5.最嚴重的,無法上網,甚至卸載了也無法上網 6.其他未知錯誤 現在網上流行的三個修正檔,除了FIX2.1是外國人做的,2.2,2.3都是中國人自己做的,我也知道是從哪裡流傳出來的,其實作者對這個東西也沒底,除了能改成試用版以外也不知道會發生什麼 現在ID那麼多,還有私服,大家完全沒有必要用修正檔的,這裡給大家提供一個ID號和私服,希望大家不要用修正檔了 升級ID:AV-3884624 密碼:gc9ys471cp 可以用到8月31日 私服:用代理服務器http://u2.safeexpert.net/升級,將前面的網址填到升級服務器裡,點立即升級 用修正檔之後就像有一顆炸彈在你的電腦中,不知道什麼時候會突然爆炸,一切都是未知的 解決方法:卸載------重啟--------清理註冊表----------再安裝---------用ID升級 ========================== NOD32的最佳設置 自己辦了個NOD32群,這個是放在群裡的資料,拿出來發給大家 大家注意,NOD32是一款DIY殺軟,它的設置非常重要,優秀的設置可以提升它的性能一倍以上.而它的預定設置並不是最好的,這裡提供它的最佳設置. 1:AMON的設定: a:偵測 去掉軟式磁碟機、關閉電腦、單機使用去掉網路(用於局域網共享的檢測)。 b:方法 全選。 c:動作 選擇自動清除(要是按預定的話你就有的忙了) d:排除 預定 f:安全 去掉允許卸載AMON,剩下全選。 2: DMON 的設定: a:設定 列出所有檔案不選,剩下全。 b:動作 如果出現警告選清除,如無法清除選刪除且複製到隔離區,以防重要的含毒文件丟失下拉的內容相同。(注DMON設定:你要是不用office的話就可以關閉) 3:EMON的設定: 不使用OUTLOOK EXPREES 的可以關閉 a:偵測 全選。 b:動作 與dmon相同 c:環境 選移動到已刪除郵件(其它的按預定) 4:IMON的設定: a:OP3 預定(不使用OUTLOOK EXPREES 的可以關閉 ) b:HTTP 預定 c:其它 選把企圖入侵的記錄在網路日誌,在掃瞄器裡的設定於AMON相同,關鍵在動作裡的 如無法清除選中斷。這是NOD32防毒能力在網路資料傳 輸的關鍵所在。我以前選刪除結果 病毒全進來了 5:NOD32的設定:我只設定深入分析 a:動作 檔案 清除, 無法清除選刪除+複製到隔離區 開機磁區 清除 無法清除選取代 壓縮檔 清除, 無法清除選刪除+複製到隔離區 自我解壓縮檔 清除, 無法清除選刪除+複製到隔離區 運作時間壓縮器 清除, 無法清除選刪除+複製到隔離區 剩下的按預定) 關於NOD32的局域網升級設置 1:在文件服務器裡設置一個共享資料夾建立一個用戶名和權限(讀寫) 2:使用一台單機更新病毒庫並在共享資料夾裡建立鏡像。 3:在通過區域網更新病毒庫的單機新增共享資料夾路徑(比如 格式:\\192.168.1.2\UP) 在使用者名稱和密碼填入共享資料夾的用戶名和密碼 , 在進階裡 選區域網路服務器 連線設定 選擇使用現時登入身份 ,否則無法通過局域網升級。 ---------------------------------------------------- 軟件簡介: 感謝會員:魔手!~ ★民★微軟御用的殺軟巔峰之作,Eset傾力打造無與倫比的NOD32: ★公★ ★社★無堅不摧的病毒粉碎者; ★安★ ★全★無法撼動的系統捍衛者; ★系★ ★統★火眼金睛的威脅偵測者; ★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★ 【人民公社安全系統是經過優化調整過的NOD32系列DIY版本】 包括: ★多啦A夢無敵監控(實時監控) ★Office無鬼 (文檔防護) ★殺毒任我行 (手動掃瞄) ★病毒毀滅天王 (粉碎病毒) ★仙人指路 (使用幫助) 支持: ★『私服←→官服』切換升級,在Windows 2000、xp、2003系統執行。 ◆安裝後必須重啟,重啟後即可見到NOD32了, 這是免ID私服升級的商業版(等於免費的正版); 卸載後必須重啟,重啟後NOD32就消失了, 但他可能會留下幾絲痕跡,你可以手動抹去它。 ★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★ 【Build:20060816】『完美版』 ● 更新了病毒庫。 ● 對安裝程式進行調整,用戶請先卸載以前安裝的任何版本並重啟後才能安裝。 ● 修正由於版本過渡時遺留其他版本訊息的問題! ● 修正舊版本升級到新版本的安裝問題,安裝程式會自動判斷並升級! ● 更新了(實時監控)的內核驅動,版本2.51.26(原2.50.25)! ★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★ →特別感謝SetUpGhost同志的寶貴建議,謝謝! →電腦軟件保護條例>中明文規定:為了學習和研究軟件內含的設計思想和原理, 通過安裝、顯示、傳輸或者存儲軟件等方式使用軟件的,可以不經軟件著作權人許可, 不向其支付報酬!所以希望大家按此說明研究軟件! →消費者保護法>中明文規定:消費者享有知悉權,所以我拒絕捆綁流氓...... →學無止境嘛,所以本軟件僅體驗與學習之用,切勿用於任何非法用途,否則後果自負! →Nod32版權歸Eset所有,Moshow魔手只是研究軟件而已! NOD32確實不錯,Money多的網友們請支持正版哦! →日本鬼子&反動派人渣禁止使用! →『沒有十全十美,只有相對完美』 把你的寶貴意見&建議發送至Moshowgame@126.com →由於魔手最近比較忙,所以較少上網,發給我的問 題可能比較慢回復,請見諒! ★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★ 紅軟提供下載位址 |
送花文章: 3,
|
2006-09-24, 02:39 AM | #8 (permalink) |
榮譽會員
|
根據網上整理的Nod32升級修正檔----一直在用保證有效。
速度很快的服務器 http://u2.safeexpert.net/ 電信速度快 http://nod32.skpay.net/ 一般 http://nod32.imwork.net:81/ 速度快 http://la-mula.com/nod32_upd/ http://vcli.kmip.net/nod32/ NOD32 註冊碼 每日更新 法國:http://livredor.hiwit.org/index.php?idsite=3702&zone=d 隨時更新ID 英國:http://nuinu.ru/nod32 外國:http://www.xtraboard.org/nod/fortunecookie.php 即時更新ID NOD32國外升級服務器位址列表 Delux 2006-05-14 21:41 http://nod32.vareza.net http://www36.websamba.com/mrakobes/nod/ http://ruwarez.net/ndp/ http://dns.sk/updatesv2/ http://nod32.salusoft.ee/ http://nod.yuzitan.info http://thebestpro.nm.ru/nod32/ http://bara.degunino.net/nod32/ http://nodupdate.c0msys.net:80/ http://www.lan.krasu.ru/nod_upd/ http://buiucani.starnet.md/NOD32/ http://xoomer.virgilio.it/misterxpc/nod_upd/ http://misterxpc/nod_upd/ ====================== 附件為註冊表文件直接匯入。然後到升級設置那選擇一格國內升級服務器就可以啦^_^ |
送花文章: 3,
|
2006-10-25, 06:26 AM | #9 (permalink) |
榮譽會員
|
NUP 文件格式說明
NUP 文件有元件包和引擎包兩種格式,都是由頭部資料、訊息資料、內嵌資料和尾部資料組成,其中訊息資料格式略有不同。 一、頭部資料: 00-0E: 900D03000211C8FCA002067B03C901 0F: AD(若內嵌文件小於 FF,取值為:AD,若大於 FF,取值為:AE) 若偏移量 0F 取值為 AD: 10-11: 此處資料+14(hex)為尾部資料起始位置 12: 62 13: NUP 文件名長度(Hex) 14: NUP 文件名(小寫) 若偏移量 0F 取值為 AE: 10-13: 此處資料+12(hex)為尾部資料起始位置 14: 62 15: 文件名長度 16: 文件名(小寫) 以下資料是以16(hex)+文件名長度+1為基準的相對偏移量: 0-3: 不詳 二、訊息資料 為純文本資料,各行用換行符+Enter鍵符分隔(0D0A),最後一行重複一次: 1、元件包格式 0D0A [update_info] (訊息小節名稱) 0D0A name=NOD32MOD_WINNT_CHINESES_BASE (元件名稱) 0D0A display_name="NOD32 - 基本元件" (顯示名稱,須用雙引號,不能直接使用中文) 0D0A build=285737758 (構建版本,10進制) 0D0A type=BASE (類型,取值為BASE、STANDARD、INET、ADMIN) 0D0A category=component (nup 資料類型,元件包值為:component,病毒庫包值為:engine) 0D0A date=27.03.2006 (日期,格式:日.月.年) 0D0A language=CHINESES (語言) 0D0A platform=WINNT (平台,NT 平台取值:WINNT,Win9x 平台取值:WIN98) 0D0A filesize=2291873 (文件大小,十進制,指 NUP 內嵌文件大小) 0D0A crc=1223658470 (NUP 內嵌文件的 CRC32 校驗值) 0D0A setup=setup.exe (此行只有 ntbase??.up 需要,指定內嵌文件中安裝程式文件名) 0D0A0D0A 2、引擎包格式 0D0A [update_info] (訊息小節名稱) 0D0A name=ENGINE0 (引擎名稱,對應關係見下表) 0D0A version=1.1820 (20061020) (引擎版本) 0D0A build=8239 (引擎構建版本,10進制) 0D0A type=engine (類型,取值為 engine) 0D0A category=engine (nup 資料類型,元件包值為:component,病毒庫包值為:engine) 0D0A level=0 (不詳,取值為 0) 0D0A base=268435456 (構建版本,10進制) 0D0A date=27.03.2006 (日期,格式:日.月.年) 0D0A filesize=2291873 (文件大小,十進制,指 NUP 內嵌文件大小) 0D0A crc=1223658470 (NUP 內嵌文件的 CRC32 校驗值) 0D0A buildregname="EngineBuild" (註冊名稱,對應關係見下表) 0D0A filename="nod32.000" (內嵌文件名,對應關係見下表) 0D0A0D0A 引擎包訊息資料對應關係: NUP文件名 引擎名稱 buildregname 內嵌文件名 engine.nup ENGINE0 EngineBuild nod32.000 archs.nup ARCHS0 ArchivesBuild nod32.002 advheur.nup ADVHEUR0 AdvHeurBuild nod32.003 pwscan.nup PWSCAN0 PwScannerBuild nod32.004 utilmod.nup UTILMOD0 UtilityModuleBuild nod32.005 charon.nup CHARON0 CharonBuild nod32.006 註:引擎包訊息資料格式應與內嵌資料中對應值保持一致。 三、內嵌資料 跟隨頭部資料,以相對偏移量表示: 00-12: [update_data] 13-16: 0D0A1A00 從17(Hex) 開始為內嵌文件內容,結束處為頭部資料 11-13 處的值+13(Hex) 內嵌文件為 RAR 壓縮格式,採用 Winrar 2.9 及以下版本壓縮。 四、尾部資料 尾部資料起始值為頭部資料 11-13 處的值+14(Hex),以下為相對偏移量值: 00-04: 883F030500 05-14: 不詳 15: 00 16-33: 不詳 34: 00 35-40: 不詳 |
送花文章: 3,
|