資訊 - NOD32的指令行設定

[psac]

NOD32的指令行設定以及中文翻譯

原文來自wilderssecurity的blackspear，是全文翻譯的，但是覺得這裡，他的設定並不一定符合所有人的要求，所以就截取了這一段，希望對大家有用。



From what I can see, the following switches should give the greatest and maximum strength scan:

/adware /ah /all /arch+ /clean /cleanmode /delete /heur+ /log+ /mailbox+ /pack+ /quarantine /scanboot+ /scanmbr+ /scanmem+ /scroll+ /sfx+ /unsafe /wrap+


Your scan settings will start with:

C:\ (single space) /switches go here - see screenshot


Or


Copy and Paste the following directly into your settings:


C:\ /adware /ah /all /arch+ /clean /cleanmode /delete /heur+ /log+ /mailbox+ /pack+ /quarantine /scanboot+ /scanmbr+ /scanmem+ /scroll+ /sfx+ /unsafe /wrap+


Or


To scan ALL of your drives do NOT use C:\ use ONLY the following:


/local /adware /ah /all /arch+ /clean /cleanmode /delete /heur+ /log+ /mailbox+ /pack+ /quarantine /scanboot+ /scanmbr+ /scanmem+ /scroll+ /sfx+ /unsafe /wrap+


/local = Scan all local drives

/adware = Enable detection of adware, spyware and riskware
/ah = Enable advanced heuristics
/all = Scan all files regardless of their extension
/arch+ = Enable archives (ZIP, ARJ and RAR) scanning
/clean = Clean infected objects (if applicable)
/cleanmode = Enables cleaning mode (the actions taken will depend on the action settings)
/delete = Delete the infected file
/heur+ = Enable standard heuristics
/log+ = Enable Log file generation
/mailbox+ = Enable scanning mailboxes
/pack+ = Enable internal runtime packer files scanning
/quarantine Copy infected file to quarantine before taking further action (clean/delete)
/scanboot+ = Enable boot sectors scanning
/scanmbr+ = Enable MBS scanning
/scanmem+ = Enable scanning memory
/scroll+ = Enable scrolling of the Log
/sfx+ = Enable scanning self-extracting archives
/unsafe = Enable detection of potentially dangerous applications
/wrap+ = Enable text wrapping in the Log file



GENERAL
/break- = Disable testing intermission
/break+ = Enable testing intermission
/expire- = Disable the program expiration notice
/expire+ = Enable the program expiration notice
/help = Display the list of program switches
/list- = Include in the Log only the objects infected
/list+ = Create the list of all tested objects in the Log
/quit- = Do not quit the program automatically after scanning
/quit+ = Quit the program after scanning
/scroll- = Disable scrolling of the Log
/scroll+ = Enable scrolling of the Log
/selfcheck- = Self-test disable
/selfcheck+ = Self-test enable
/sound- = Sound warning disable
/sound+ = Sound warning enable
/subdir- = Disable the sub-directories scanning
/subdir+ = Enable the sub-directories scanning

[psac]

DETECTION
/adware = Enable detection of adware, spyware and riskware
/all = Scan all files regardless of their extension
/arch- = Disable archives scanning
/arch+ = Enable archives (ZIP, ARJ and RAR) scanning
/exclude=<LIST> = Excludes a single particular file from scanning, multiple files can be selected using wildcards
/ext=<LIST> = Add a new extension into the list of tested files. (Multiple entries permitted, e.g., /ext=EXT1,EXT2
/heur- = Disable heuristic analysis
/heur+ = Enable heuristic analysis
/local = Scan all local non-removable media
/mailbox- = Disable scanning mailboxes
/mailbox+ = Enable scanning mailboxes
/network = Scan all network disks
/pack- = Disable the runtime packer files scanning
/pack+ = Enable internal runtime packer files scanning
/pattern- = Disable testing using virus signatures/patterns
/pattern+ = Enable testing using virus signatures/patterns
/scanboot- = Disable boot sectors scanning
/scanboot+ = Enable boot sectors scanning
/scanfile- = Disable scanning of the files
/scanfile+ = Enable scanning of the files
/scanmbr- = Disable MBS scanning
/scanmbr+ = Enable MBS scanning
/scanmem- = Disable scanning memory
/scanmem+ = Enable scanning memory
/sfx- = Disable scanning self-extracting archives
/sfx+ = Enable scanning self-extracting archives
/unsafe = Enable detection of potentially dangerous applications



HEURISTIC ANALYSIS
/ah = Enable advanced heuristics
/heur- = Disable standard heuristics
/heur+ = Enable standard heuristics
/heurdeep = Set deep heuristic sensitivity - technically Deep Heuristics no longer exists as it has a higher chance of producing False Positives.
/heursafe = Set safe heuristic sensitivity (minimize false alarms)
/heurstd = Set standard heuristic sensitivity



PROTOCOL
/log- = Disable Log file generation
/log+ = Enable Log file generation
/log=<FILENAME> = Set the Log file name (e.g.: /log=NOD.LOG)
/logappend = Enable Log file append option
/logrewrite = Enable rewriting of the Log file
/logsize=N = Set Log file to the maximum size of N KB)
/wrap- = Disable text wrapping in the Log file
/wrap+ = Enable text wrapping in the Log file



CLEANING
/clean = Clean infected objects (if applicable)
/cleanmode = Enables cleaning mode (the actions taken will depend on the action settings)
/delete = Delete the infected file
/prompt = Offer an action upon virus detection
/quarantine Copy infected file to quarantine before taking further action (clean/delete)
/rename = Rename the infected file

Note: If the switches: /prompt, /rename, /delete/ or /replace are used concurrently with the /clean switch, the corresponding action will be carried out only if the virus cannot be cleaned. The further a parameter is listed, the higher priority it has. For instance, using the "/clean /delete /prompt " parameters will result in that the "/prompt " parameter will supersede the "/clean /delete" parameters.



TEST SCHEDULING
/daily = Automatic testing on a daily basis
/period=N = Automatic testing once in N days
/weekly = Automatic testing on a weekly basis



NETWORK (Windows versions only)
/centralpath=<PATH> = Specifies the name of the directory for Centralized Update files
/msg="<MESSAGE>" = Specifies the message to be sent upon virus deletion.
/recipient=<LIST> = Specifies the recipients of the network messages (server/s, group or workstation name). Multiple entries are permitted, e.g., /recipient=SERVER1,SERVER2






在我看來，以下選項可以進行最全面最有效的掃瞄。

/adware /ah /all /arch+ /clean /cleanmode /delete /heur+ /log+ /mailbox+ /pack+ /quarantine /scanboot+ /scanmbr+ /scanmem+ /scroll+ /sfx+ /unsafe /wrap+

可以以此作為設定的開始

C:\ (空格) /你的指令選項

或者

直接拷貝以下設定

C:\ /adware /ah /all /arch+ /clean /cleanmode /delete /heur+ /log+ /mailbox+ /pack+ /quarantine /scanboot+ /scanmbr+ /scanmem+ /scroll+ /sfx+ /unsafe /wrap+

或者

掃瞄所有分區

/local /adware /ah /all /arch+ /clean /cleanmode /delete /heur+ /log+ /mailbox+ /pack+ /quarantine /scanboot+ /scanmbr+ /scanmem+ /scroll+ /sfx+ /unsafe /wrap+

/local = 掃瞄所有分區

/adware = 掃瞄廣告軟體，間諜軟體，危險軟體
/ah = 啟用進階啟髮式
/all = 不考慮副檔名掃瞄全部文件
/arch+ = 掃瞄壓縮檔案
/clean = 清除病毒文件(如果可以)
/cleanmode = 啟用清除模式 (依*你的設定)
/delete = 移除病毒文件
/heur+ = 啟用啟髮式
/log+ = 啟用日誌
/mailbox+ = 掃瞄電子郵件
/pack+ = 掃瞄時間壓縮檔案
/quarantine 隔離病毒 (清除/移除)
/scanboot+ = 掃瞄啟始區
/scanmbr+ = 掃瞄硬碟分區表
/scanmem+ = 掃瞄記憶體
/scroll+ = 啟用日誌上磁碟區功能
/sfx+ = 掃瞄自解壓我的文件
/unsafe = 掃瞄潛在威脅應用程式
/wrap+ = 在日誌中文本啟用自動換行

GENERAL
/break- = 關閉檢測間斷
/break+ = 啟用檢測間斷
/expire- = 關閉計劃過期提示
/expire+ = 啟用計劃過期提示
/help = 顯示計劃選項功能表
/list- = 在日誌中顯示染毒文件
/list+ = 在日誌中顯示所有檢測文件
/quit- = 計劃自動開始後不可停止
/quit+ = 計劃掃瞄開始後可停止
/scroll- = 關閉日誌上磁碟區
/scroll+ = 使用日誌上磁碟區
/selfcheck- = 關閉自我檢測
/selfcheck+ = 使用自我檢測
/sound- = 關閉報警聲
/sound+ = 啟用報警聲
/subdir- = 不掃瞄子資料夾
/subdir+ = 掃瞄子資料夾

DETECTION
/adware = 掃瞄廣告軟體，間諜軟體，危險軟體
/all = 不考慮副檔名掃瞄全部文件
/arch- = 不掃瞄壓縮檔案
/arch+ = 掃瞄壓縮檔案
/exclude=<LIST> = 在掃瞄中排除某個文件，同時啟用萬用字元
/ext=<LIST> = 增加新的副檔名
/heur- = 關閉啟髮式
/heur+ = 啟用啟髮式
/local = 掃瞄本機所有不可移動媒體
/mailbox- = 不掃瞄電子郵件
/mailbox+ = 掃瞄電子郵件
/network = 掃瞄所有網路磁牒
/pack- = 不掃瞄執行時間壓縮器
/pack+ = 掃瞄執行時間壓縮器
/pattern- = 關閉病毒特徵檢測
/pattern+ = 啟用病毒特徵檢測
/scanboot- = 不掃瞄啟始區
/scanboot+ = 掃瞄啟始區
/scanfile- = 不掃瞄文件
/scanfile+ = 掃瞄文件
/scanmbr- = 不掃瞄硬碟分區表
/scanmbr+ = 掃瞄硬碟分區表
/scanmem- = 不掃瞄記憶體
/scanmem+ = 掃瞄記憶體
/sfx- = 不掃瞄自解壓我的文件
/sfx+ = 掃瞄自解壓我的文件
/unsafe = 檢測潛在威脅應用程式

HEURISTIC ANALYSIS
/ah = 使用進階啟髮式
/heur- = 不用啟髮式
/heur+ = 使用啟髮式
/heurdeep = 深度啟髮式
/heursafe = 安全啟髮式
/heurstd = 標準啟髮式


PROTOCOL
/log- = 關閉日誌
/log+ = 啟用日誌
/log=<FILENAME> = 設定日誌檔案名
/logappend = 啟用日誌文件追加選項
/logrewrite = 啟用日誌文件覆寫功能
/logsize=N = 日誌文件最大上限
/wrap- = 關閉日誌文件換行功能
/wrap+ = 啟用日誌文件換行功能

CLEANING
/clean = 清除染毒文件 (如果可能)
/cleanmode = 啟用清除模式(依賴於設定)
/delete = 移除染毒文件
/prompt = 提示操作
/quarantine = 隔離染毒文件(清除/移除)
/rename = 重新命名染毒文件

注意: 如果設定為: /prompt, /rename, /delete/, /replace中任何一個和 /clean 選項同時出現, 則將在清除不成功時執行操作。越*前的參數擁有越高的優先權，例如，使用 "/clean /delete /prompt " 參數會導致"/prompt "參數在"/clean /delete"後執行。

TEST SCHEDULING
/daily = 每日自動檢測
/period=N = N天後自動檢測
/weekly = 每週自動檢測

NETWORK (Windows versions only)
/centralpath=<PATH> = 限定集中更新文件的資料夾名
/msg="<MESSAGE>" = 派送病毒移除訊息
/recipient=<LIST> = 限定訊息收信者(伺服器，工作組或工作站)。允許多收信者：/recipient=SERVER1,SERVER2

[psac]

#!/usr/bin/perl

use LWP;

# path to store updates
$PATH="/var/www/html/nod";
# username/password for updates registered users
$LOGIN="AV-xxxxxxx";
$PASS="xxxxxxxx";
# URL for updates
#$URL_UPD="http://u2.eset.com/nod_eval";
$URL_UPD="http://u2.eset.com/";


$URL_UPD =~ s/\/$//;
$URL_UPD =~ m/(.*:\/\/)(.*?)(\/.*)/;
$site = "$1$2";
if ($site =~ m//) {
print "Enter correct URL\n";
return;
}

unlink("$PATH/update.ver","$PATH/update.tmp");
download($PATH,"$URL_UPD/update.ver",$LOGIN,$PASS);
`/usr/local/bin/unrar e -y $PATH/update.ver $PATH 2> /dev/null`;
rename("$PATH/update.ver","$PATH/update.tmp");

$ver = "$PATH/update.tmp";
$vers = "$PATH/update.ver";

open(VER, "< $ver") or die "Couldn't open $ver for reading: $!\n";
open(VERS, "> $vers") or die "Couldn't open $vers for writing: $!\n";

%files = ();
%urls = ();

while (defined($line = <VER>) )
{
chomp $line;
$line =~ s/^\s+//;
$line =~ s/\s+$//;
($par,$val)=split /=/, $line;

if ($par =~ /file/ )
{
$name = $val;
$name =~ s/\/.*\///;

if ($name=~m/$val/) {$furl="$URL_UPD/$val";}
else {$furl="$site$val";}
$line="file=$name";
}
if ($par =~ /size/ )
{
$size = $val;
$files{$name} = $size;
$urls{$name} = "$furl";
}
print VERS "$line\r\n";
}
print "\n";

close(VER);
close(VERS);

foreach $f (keys %files) {
if ( (-s ("$PATH/$f")) != $files{$f}){
download($PATH,$urls{$f},$LOGIN,$PASS);
}
}

chmod(0644,"$PATH/*");

sub download()
{
my ($path, $url, $login, $pass) = @_;

# use external downloader
system("/usr/bin/lftp -c \"get -cO $path $url\"");
return;
# PERL downloader
$url =~ m/(.*:\/\/)(.*)\/(.*)/;
my $filename = $3;

my $ua=LWP::UserAgent->new();
$ua->agent("PerlUA/0.1");

my $ua=LWP::UserAgent->new();
$ua->agent("PerlUA/0.1");
my $req = HTTP::Request->new(HEAD => "$url");
$req->authorization_basic($login, $pass);
my $document=$ua->request($req);
if($document->is_success) {
if (!($document->content_length== -s("$path/$filename"))) {

my $req = HTTP::Request->new(GET => "$url");
$req->authorization_basic('login', 'password');
my $document=$ua->request($req);
if($document->is_success) {
open(OUT, "> $path/$filename");
print OUT $document->content;
close(OUT);
print "Downloading $url ";
print "- ok\n";
}
else {
print "$url ",$document->status_line,"\n";
}
}
else {
# print "$filename - exist\n";
}
}
else {
print "$url ",$document->status_line,"\n";
}
}

[psac]

中了 Win32/Adware.Allsum

Q:
求助:中了 Win32/Adware.Allsum

我裝的NOD32.不知道不覺中了此病毒.今天早我就只去霏凡的灌水區看了幾張帖子

用Nod32搜匯出來了.但問題仍然存在:即開啟任何資料夾.螢幕閃一下.資料夾並未開啟


A:
廣告程序 你在安全模式下殺毒即可
請用 System Repair Engineer 掃瞄一個log貼上來。
1 解壓縮Sreng2.zip
2 執行Sreng2.exe
3 智能掃瞄——掃瞄——儲存報告
4 把日誌sreng.log中的報告內容完整拷貝貼上來，不要修改。
掃瞄時請關閉所有你手動開啟的程序
sreng操作和修復教學


Q:
我第一次用Nod32在正常模式下殺.查到了病毒.並且被我移除掉了
第二次在安全模式下用NOD32殺.然後再用spy sweeper查.都提示沒有病毒了
但是現在症狀仍然存在.就是打不開任何資料夾.
我想可以是病毒被殺了.但是被病毒修改的地方沒有得到修復


A:


正在按你說的方式操作.請等結果


日誌

請看日誌
謝謝

2006-05-19,14:29:52

System Repair Engineer 2.0.12.350 (2.0 RC 1)
Windows Server 2003 Enterprise Edition - 管理權限用戶 - 完整功能

以下內容被選：
所有的啟動項目（包括註冊表、啟動檔案夾、服務等）
瀏覽器載入項
正在執行的行程（包括行程模組訊息）
文件關聯


啟動項目
註冊表
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
<Alt+Q Hotkey Tool><; C:\WINDOWS\FlyakiteOSX\Software\Alt+Q Hotkey.exe>
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
<ctfmon.exe><; C:\WINDOWS\system32\ctfmon.exe>
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
<msnmsgr><; "D:\Download\MSN Messenger 7[5].5.0299\msnmsgr.exe" /background>
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
<SearchSpy><; C:\Program Files\SearchSpy\SearchSpyMenu.exe>
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
<SearchSpyIndexer><; C:\Program Files\SearchSpy\SearchSpy Server\SearchSpyIndex.exe>
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
<WinRoll><; C:\Program Files\WinRoll\winroll.exe>
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
<Yz Shadow><; C:\Program Files\YzShadow\YzShadow.exe>
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<load><>
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<run><>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<nod32kui><"C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<SpySweeper><"C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe" /startintray>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<IMJPMIG8.1><; "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<IMSCMig><; C:\PROGRA~1\COMMON~1\MICROS~1\IME\IMSC40A\IMSCMIG.EXE /Preload>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<PHIME2002A><; C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<PHIME2002ASync><; C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<spoolsv><; C:\WINDOWS\system32\spoolsv\spoolsv.exe -printer>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<Start Outpost><; D:\Tools\OutpostProInstall.exe>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<System Files Updater><; C:\WINDOWS\FlyakiteOSX\System Files Updater.exe /S>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<UserFaultCheck><; %systemroot%\system32\dumprep 0 -u>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
<shell><Explorer.exe>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
<Userinit><C:\WINDOWS\system32\userinit.exe,>

==================================
啟動檔案夾
服務
[NOD32 Kernel Service / NOD32krn]
<"C:\Program Files\Eset\nod32krn.exe"><Eset >
[Webroot Spy Sweeper Engine / svcWRSSSDK]
<C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe><Webroot Software, Inc.>

==================================
瀏覽器載入項
[wmpdrm]
{0E674588-66B7-4E19-9D0E-2053B800F69F} <C:\WINDOWS\system32\wmpdrm.dll, N/A>
[QQBrowserHelperObject Class]
{54EBD53A-9BC1-480B-966A-843A333CA162} <D:\Program Files\Tencent\QQ\QQIEHelper.dll, 深圳市騰訊電腦系統有限公司>
[NewWebController Class]
{9ACEEE30-143F-471A-AA45-72B061FE7D60} <C:\WINDOWS\system32\WinSC.dll, N/A>
[IeCatch2 Class]
{A5366673-E8CA-11D3-9CD9-0090271D075B} <D:\Program Files\FlashGet\jccatch.dll, Amaze Soft>
[FlashFXP Helper for Internet Explorer]
{E5A1691B-D188-4419-AD02-90002030B8EE} <D:\PROGRA~1\FlashFXP\IEFlash.dll, IniCom Networks, Inc.>
[訊息檢索(&R)]
{92780B25-18CC-41C8-B9BE-3C9C571A8263} <D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL, Microsoft Corporation>
[@shdoclc.dll,-866]
{c95fe080-8f5d-11d2-a20b-00aa003c157a} <, N/A>
[QQ]
{c95fe080-8f5d-11d2-a20b-00aa003c157b} <D:\Program Files\Tencent\QQ\QQ.EXE, TENCENT>
[FlashGet]
{D6E814A0-E0C5-11d4-8D29-0050BA6940E3} <D:\Program Files\FlashGet\flashget.exe, Amaze Soft>
[QQIEFloatBarCfgCmd Class]
{DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} <D:\Program Files\Tencent\QQ\QQIEHelper.dll, 深圳市騰訊電腦系統有限公司>
[@msdxmLC.dll,-1@2052,電台(&R)]
{8E718888-423F-11D2-876E-00A0C9082467} <C:\WINDOWS\system32\msdxm.ocx, Microsoft Corporation>
[FlashGet Bar]
{E0E899AB-F487-11D5-8D29-0050BA6940E3} <D:\PROGRA~1\FlashGet\fgiebar.dll, Amaze Soft>
[天下搜尋]
{56A7DC70-E102-4408-A34A-AE06FEF01586} <, N/A>
[Shockwave Flash Object]
{D27CDB6E-AE6D-11CF-96B8-444553540000} <C:\WINDOWS\system32\Macromed\Flash\Flash8.ocx, Macromedia, Inc.>
[上傳到QQ網路硬碟]
<D:\Program Files\Tencent\QQ\AddToNetDisk.htm, N/A>
[使用網際快車下載]
<D:\Program Files\FlashGet\jc_link.htm, N/A>
[使用網際快車下載全部連接]
<D:\Program Files\FlashGet\jc_all.htm, N/A>
[匯出到 Microsoft Office Excel(&X)]
<res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000, N/A>
[增加到QQ自訂面板]
<D:\Program Files\Tencent\QQ\AddPanel.htm, N/A>
[增加到QQ表情]
<D:\Program Files\Tencent\QQ\AddEmotion.htm, N/A>
[用QQ彩信傳送該圖片]
<D:\Program Files\Tencent\QQ\SendMMS.htm, N/A>

==================================
正在執行的行程
[PID: 508][\SystemRoot\System32\smss.exe] <Microsoft Corporation><5.2.3790.0 (srv03_rtm.030324-2048)>
[PID: 556][\??\C:\WINDOWS\system32\csrss.exe] <Microsoft Corporation><5.2.3790.0 (srv03_rtm.030324-2048)>
[PID: 772][\??\C:\WINDOWS\system32\winlogon.exe] <Microsoft Corporation><5.2.3790.0 (srv03_rtm.030324-2048)>
[C:\WINDOWS\system32\WRLogonNTF.dll] <Webroot Software, Inc.><2,0,9,509>
[PID: 816][C:\WINDOWS\system32\services.exe] <Microsoft Corporation><5.2.3790.0 (srv03_rtm.030324-2048)>
[PID: 828][C:\WINDOWS\system32\lsass.exe] <Microsoft Corporation><5.2.3790.0 (srv03_rtm.030324-2048)>
[PID: 1028][C:\WINDOWS\system32\svchost.exe] <Microsoft Corporation><5.2.3790.0 (srv03_rtm.030324-2048)>
[PID: 1092][C:\WINDOWS\System32\svchost.exe] <Microsoft Corporation><5.2.3790.0 (srv03_rtm.030324-2048)>
[PID: 1180][C:\WINDOWS\System32\svchost.exe] <Microsoft Corporation><5.2.3790.0 (srv03_rtm.030324-2048)>
[PID: 1240][C:\WINDOWS\system32\svchost.exe] <Microsoft Corporation><5.2.3790.0 (srv03_rtm.030324-2048)>
[PID: 1252][C:\WINDOWS\system32\svchost.exe] <Microsoft Corporation><5.2.3790.0 (srv03_rtm.030324-2048)>
[PID: 1372][C:\WINDOWS\System32\alg.exe] <Microsoft Corporation><5.2.3790.0 (srv03_rtm.030324-2048)>
[PID: 1412][C:\Program Files\Eset\nod32krn.exe] <Eset ><2, 51, 8 >
[C:\Program Files\Eset\nod32krr.dll] <Eset ><2, 51, 8 >
[C:\Program Files\Eset\ps_amon.dll] <Eset ><2, 51, 8 >
[C:\Program Files\Eset\pr_amon.dll] <Eset ><2, 51, 8 >
[C:\Program Files\Eset\ps_dmon.dll] <Eset ><2, 51, 8 >
[C:\Program Files\Eset\pr_dmon.dll] <N/A><N/A>
[C:\Program Files\Eset\ps_emon.dll] <Eset ><2, 51, 8 >
[C:\Program Files\Eset\pr_emon.dll] <N/A><N/A>
[C:\WINDOWS\system32\imon.dll] <Eset ><2, 51, 8 >
[C:\Program Files\Eset\pr_imon.dll] <N/A><N/A>
[C:\Program Files\Eset\ps_nod32.dll] <Eset ><2, 51, 8 >
[C:\Program Files\Eset\pr_nod32.dll] <Eset ><2, 51, 8 >
[C:\Program Files\Eset\ps_upd.dll] <Eset ><2, 51, 8 >
[C:\Program Files\Eset\pr_upd.dll] <N/A><N/A>
[PID: 1476][C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe] <Webroot Software, Inc.><2,0,9,509>
[PID: 1888][C:\WINDOWS\Explorer.EXE] <Microsoft Corporation><6.00.3790.0 (srv03_rtm.030324-2048)>
[C:\Program Files\WinRAR\rarext.dll] <N/A><N/A>
[C:\Program Files\Eset\nodshex.dll] <N/A><N/A>
[C:\PROGRA~1\Webroot\SPYSWE~1\SSCtxMnu.dll] <Webroot Software, Inc.><4,5,9,709>
[PID: 2008][C:\WINDOWS\System32\svchost.exe] <Microsoft Corporation><5.2.3790.0 (srv03_rtm.030324-2048)>
[PID: 2032][C:\WINDOWS\System32\dmadmin.exe] <Microsoft Corporation><5.2.3790.0 (srv03_rtm.030324-2048)>
[PID: 252][C:\Program Files\Eset\nod32kui.exe] <Eset ><2, 51, 8 >
[C:\Program Files\Eset\nod32rui.dll] <N/A><N/A>
[C:\Program Files\Eset\pu_amon.dll] <Eset ><2, 51, 8 >
[C:\Program Files\Eset\pr_amon.dll] <Eset ><2, 51, 8 >
[C:\Program Files\Eset\pu_dmon.dll] <Eset ><2, 51, 8 >
[C:\Program Files\Eset\pr_dmon.dll] <N/A><N/A>
[C:\Program Files\Eset\pu_emon.dll] <Eset ><2, 51, 8 >
[C:\Program Files\Eset\pr_emon.dll] <N/A><N/A>
[C:\Program Files\Eset\pu_imon.dll] <Eset ><2, 51, 8 >
[C:\Program Files\Eset\pr_imon.dll] <N/A><N/A>
[C:\Program Files\Eset\pu_nod32.dll] <Eset ><2, 51, 8 >
[C:\Program Files\Eset\pr_nod32.dll] <Eset ><2, 51, 8 >
[C:\Program Files\Eset\pu_upd.dll] <Eset ><2, 51, 8 >
[C:\Program Files\Eset\pr_upd.dll] <N/A><N/A>
[PID: 1704][C:\WINDOWS\system32\wbem\wmiprvse.exe] <Microsoft Corporation><5.2.3790.0 (srv03_rtm.030324-2048)>
[PID: 596][C:\WINDOWS\system32\conime.exe] <Microsoft Corporation><5.2.3790.0 (srv03_rtm.030324-2048)>
[PID: 1852][C:\Documents and Settings\Administrator\桌面\SREng.exe] <Smallfrogs Studio><2.0.12.350>

==================================
文件關聯
.TXT OK. [%SystemRoot%\system32\NOTEPAD.EXE %1]
.EXE OK. ["%1" %*]
.COM OK. ["%1" %*]
.PIF OK. ["%1" %*]
.REG OK. [regedit.exe "%1"]
.BAT OK. ["%1" %*]
.SCR OK. ["%1" /S]
.CHM OK. ["C:\WINDOWS\hh.exe" %1]
.HLP OK. [%SystemRoot%\System32\winhlp32.exe %1]
.INI OK. [%SystemRoot%\System32\NOTEPAD.EXE %1]
.INF OK. [%SystemRoot%\System32\NOTEPAD.EXE %1]
.VBS OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
.JS OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
.LNK OK. [{00021401-0000-0000-C000-000000000046}]

==================================
Winsock 提供者

==================================



修復：
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<spoolsv><; C:\WINDOWS\system32\spoolsv\spoolsv.exe -printer>

再執行C:\WINDOWS\system32\msibm\Uninstall.exe卸載程序
重新啟動電腦後移除以下資料夾（如果存在）
C:\WINDOWS\system32\msibm
C:\WINDOWS\system32\spoolsv\
C:\WINDOWS\system32\bakcfs\
C:\WINDOWS\system32\msicn\
以及文件（如果存在）
C:\WINDOWS\system32\wmpdrm.dll

用上說的方法去試之前,問題就可得到了解決

這原是個LJ廣告軟體(北京易彩信通科技有限公司)惹的禍.也可使用windows流氓軟體清理大師作了清理後就解決了.

[psac]

#!/usr/bin/perl

use LWP;

# path to store updates
$PATH="/var/www/html/nod";
# username/password for updates registered users
$LOGIN="AV-xxxxxxx";
$PASS="xxxxxxxx";
# URL for updates
#$URL_UPD="http://u2.eset.com/nod_eval";
$URL_UPD="http://u2.eset.com/";


$URL_UPD =~ s/\/$//;
$URL_UPD =~ m/(.*:\/\/)(.*?)(\/.*)/;
$site = "$1$2";
if ($site =~ m//) {
print "Enter correct URL\n";
return;
}

unlink("$PATH/update.ver","$PATH/update.tmp");
download($PATH,"$URL_UPD/update.ver",$LOGIN,$PASS);
`/usr/local/bin/unrar e -y $PATH/update.ver $PATH 2> /dev/null`;
rename("$PATH/update.ver","$PATH/update.tmp");

$ver = "$PATH/update.tmp";
$vers = "$PATH/update.ver";

open(VER, "< $ver") or die "Couldn't open $ver for reading: $!\n";
open(VERS, "> $vers") or die "Couldn't open $vers for writing: $!\n";

%files = ();
%urls = ();

while (defined($line = <VER>) )
{
chomp $line;
$line =~ s/^\s+//;
$line =~ s/\s+$//;
($par,$val)=split /=/, $line;

if ($par =~ /file/ )
{
$name = $val;
$name =~ s/\/.*\///;

if ($name=~m/$val/) {$furl="$URL_UPD/$val";}
else {$furl="$site$val";}
$line="file=$name";
}
if ($par =~ /size/ )
{
$size = $val;
$files{$name} = $size;
$urls{$name} = "$furl";
}
print VERS "$line\r\n";
}
print "\n";

close(VER);
close(VERS);

foreach $f (keys %files) {
if ( (-s ("$PATH/$f")) != $files{$f}){
download($PATH,$urls{$f},$LOGIN,$PASS);
}
}

chmod(0644,"$PATH/*");

sub download()
{
my ($path, $url, $login, $pass) = @_;

# use external downloader
system("/usr/bin/lftp -c \"get -cO $path $url\"");
return;
# PERL downloader
$url =~ m/(.*:\/\/)(.*)\/(.*)/;
my $filename = $3;

my $ua=LWP::UserAgent->new();
$ua->agent("PerlUA/0.1");

my $ua=LWP::UserAgent->new();
$ua->agent("PerlUA/0.1");
my $req = HTTP::Request->new(HEAD => "$url");
$req->authorization_basic($login, $pass);
my $document=$ua->request($req);
if($document->is_success) {
if (!($document->content_length== -s("$path/$filename"))) {

my $req = HTTP::Request->new(GET => "$url");
$req->authorization_basic('login', 'password');
my $document=$ua->request($req);
if($document->is_success) {
open(OUT, "> $path/$filename");
print OUT $document->content;
close(OUT);
print "Downloading $url ";
print "- ok\n";
}
else {
print "$url ",$document->status_line,"\n";
}
}
else {
# print "$filename - exist\n";
}
}
else {
print "$url ",$document->status_line,"\n";
}
}



--------------------------------------------------------------------------------

[psac]

NOD32啟動慢的解決方法
自己辦了個NOD32群,這個是放在群裡的資料,拿出來發給大家,絕對原創

1.啟動的時候最好不要連上網路
2.刪除C:\Documents and Settings\你的用戶名\Local Settings\Temp下所有文件
3.刪除C:\WINDOWS\Prefetch下所有文件
4.NOD的一些設置要設定好,有設置的說明，就不在這裡說了
以上4點做到後啟動速度會有明顯的提升,大家可以試試

===================


NOD32用修正檔的危害

1.修正檔失效，要30天匯入一次，這個最常見
2.程式元件無法更新，這是必然的，因為用修正檔變成試用版，而試用版是無法更新程式元件的，這就導致你一直使用老的殺毒引擎，防毒能力大大降低
3.無法升級
4.無法開啟監控
5.最嚴重的，無法上網，甚至卸載了也無法上網
6.其他未知錯誤

現在網上流行的三個修正檔,除了FIX2.1是外國人做的,2.2,2.3都是中國人自己做的,我也知道是從哪裡流傳出來的,其實作者對這個東西也沒底,除了能改成試用版以外也不知道會發生什麼

現在ID那麼多,還有私服,大家完全沒有必要用修正檔的,這裡給大家提供一個ID號和私服,希望大家不要用修正檔了
升級ID:AV-3884624 密碼:gc9ys471cp 可以用到8月31日
私服:用代理服務器http://u2.safeexpert.net/升級，將前面的網址填到升級服務器裡，點立即升級

用修正檔之後就像有一顆炸彈在你的電腦中，不知道什麼時候會突然爆炸，一切都是未知的

解決方法:卸載------重啟--------清理註冊表----------再安裝---------用ID升級

==========================

NOD32的最佳設置


自己辦了個NOD32群,這個是放在群裡的資料,拿出來發給大家

大家注意,NOD32是一款DIY殺軟,它的設置非常重要,優秀的設置可以提升它的性能一倍以上.而它的預定設置並不是最好的,這裡提供它的最佳設置.

1：AMON的設定：
a:偵測 去掉軟式磁碟機、關閉電腦、單機使用去掉網路（用於局域網共享的檢測）。
b:方法 全選。
c:動作 選擇自動清除（要是按預定的話你就有的忙了）
d:排除 預定
f:安全 去掉允許卸載AMON，剩下全選。


2: DMON 的設定:
a:設定 列出所有檔案不選，剩下全。
b:動作 如果出現警告選清除，如無法清除選刪除且複製到隔離區，以防重要的含毒文件丟失下拉的內容相同。（注DMON設定:你要是不用office的話就可以關閉）


3：EMON的設定： 不使用OUTLOOK EXPREES 的可以關閉
a:偵測 全選。
b:動作 與dmon相同
c:環境 選移動到已刪除郵件（其它的按預定）


4：IMON的設定：
a：OP3 預定(不使用OUTLOOK EXPREES 的可以關閉 )
b:HTTP 預定
c:其它 選把企圖入侵的記錄在網路日誌，在掃瞄器裡的設定於AMON相同，關鍵在動作裡的 如無法清除選中斷。這是NOD32防毒能力在網路資料傳 輸的關鍵所在。我以前選刪除結果 病毒全進來了


5：NOD32的設定：我只設定深入分析
a:動作 檔案 清除， 無法清除選刪除+複製到隔離區
開機磁區 清除 無法清除選取代
壓縮檔 清除， 無法清除選刪除+複製到隔離區
自我解壓縮檔 清除， 無法清除選刪除+複製到隔離區
運作時間壓縮器 清除， 無法清除選刪除+複製到隔離區
剩下的按預定）


關於NOD32的局域網升級設置
1：在文件服務器裡設置一個共享資料夾建立一個用戶名和權限（讀寫）
2：使用一台單機更新病毒庫並在共享資料夾裡建立鏡像。
3：在通過區域網更新病毒庫的單機新增共享資料夾路徑(比如 格式：\\192.168.1.2\UP)
在使用者名稱和密碼填入共享資料夾的用戶名和密碼 ，
在進階裡 選區域網路服務器 連線設定 選擇使用現時登入身份 ，否則無法通過局域網升級。
----------------------------------------------------

軟件簡介：
感謝會員：魔手！～
★民★微軟御用的殺軟巔峰之作，Eset傾力打造無與倫比的NOD32：
★公★
★社★無堅不摧的病毒粉碎者；
★安★
★全★無法撼動的系統捍衛者；
★系★
★統★火眼金睛的威脅偵測者；
★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★
【人民公社安全系統是經過優化調整過的NOD32系列DIY版本】
包括：
★多啦A夢無敵監控(實時監控)
★Office無鬼 (文檔防護)
★殺毒任我行 (手動掃瞄)
★病毒毀滅天王 (粉碎病毒)
★仙人指路 (使用幫助)
支持：
★『私服←→官服』切換升級，在Windows 2000、xp、2003系統執行。
◆安裝後必須重啟，重啟後即可見到NOD32了，
這是免ID私服升級的商業版(等於免費的正版)；
卸載後必須重啟，重啟後NOD32就消失了，
但他可能會留下幾絲痕跡，你可以手動抹去它。
★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★
【Build:20060816】『完美版』
● 更新了病毒庫。
● 對安裝程式進行調整，用戶請先卸載以前安裝的任何版本並重啟後才能安裝。
● 修正由於版本過渡時遺留其他版本訊息的問題!
● 修正舊版本升級到新版本的安裝問題，安裝程式會自動判斷並升級!
● 更新了(實時監控)的內核驅動,版本2.51.26(原2.50.25)!
★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★
→特別感謝SetUpGhost同志的寶貴建議，謝謝!
→電腦軟件保護條例>中明文規定：為了學習和研究軟件內含的設計思想和原理，
通過安裝、顯示、傳輸或者存儲軟件等方式使用軟件的，可以不經軟件著作權人許可，
不向其支付報酬!所以希望大家按此說明研究軟件!
→消費者保護法>中明文規定：消費者享有知悉權，所以我拒絕捆綁流氓......
→學無止境嘛，所以本軟件僅體驗與學習之用，切勿用於任何非法用途，否則後果自負!
→Nod32版權歸Eset所有，Moshow魔手只是研究軟件而已!
NOD32確實不錯，Money多的網友們請支持正版哦!
→日本鬼子&反動派人渣禁止使用!
→『沒有十全十美，只有相對完美』
把你的寶貴意見&建議發送至Moshowgame@126.com
→由於魔手最近比較忙，所以較少上網，發給我的問
題可能比較慢回復，請見諒!
★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★
紅軟提供下載位址

[N92_N93]

請問~
我的奇摩首頁圖片顯示不完全跟NOD32設定有沒有關係~??
其他的網頁都正常顯示圖片ㄟ~

[psac]

根據網上整理的Nod32升級修正檔----一直在用保證有效。

速度很快的服務器

http://u2.safeexpert.net/ 電信速度快
http://nod32.skpay.net/ 一般
http://nod32.imwork.net:81/ 速度快
http://la-mula.com/nod32_upd/
http://vcli.kmip.net/nod32/

NOD32 註冊碼 每日更新

法國：http://livredor.hiwit.org/index.php?idsite=3702&zone=d 隨時更新ID
英國：http://nuinu.ru/nod32
外國：http://www.xtraboard.org/nod/fortunecookie.php 即時更新ID

NOD32國外升級服務器位址列表

Delux 2006-05-14 21:41
http://nod32.vareza.net
http://www36.websamba.com/mrakobes/nod/
http://ruwarez.net/ndp/
http://dns.sk/updatesv2/
http://nod32.salusoft.ee/
http://nod.yuzitan.info
http://thebestpro.nm.ru/nod32/
http://bara.degunino.net/nod32/
http://nodupdate.c0msys.net:80/
http://www.lan.krasu.ru/nod_upd/
http://buiucani.starnet.md/NOD32/
http://xoomer.virgilio.it/misterxpc/nod_upd/
http://misterxpc/nod_upd/

======================
附件為註冊表文件直接匯入。然後到升級設置那選擇一格國內升級服務器就可以啦^_^

[psac]

NUP 文件格式說明

NUP 文件有元件包和引擎包兩種格式，都是由頭部資料、訊息資料、內嵌資料和尾部資料組成，其中訊息資料格式略有不同。
一、頭部資料：
00-0E: 900D03000211C8FCA002067B03C901
0F: AD（若內嵌文件小於 FF，取值為：AD，若大於 FF，取值為：AE）
若偏移量 0F 取值為 AD：
10-11: 此處資料+14(hex)為尾部資料起始位置
12: 62
13: NUP 文件名長度（Hex）
14: NUP 文件名（小寫）
若偏移量 0F 取值為 AE：
10-13: 此處資料+12(hex)為尾部資料起始位置
14: 62
15: 文件名長度
16: 文件名（小寫）
以下資料是以16(hex)+文件名長度+1為基準的相對偏移量：
0-3: 不詳

二、訊息資料
為純文本資料，各行用換行符＋Enter鍵符分隔（0D0A），最後一行重複一次：
1、元件包格式
0D0A
[update_info] （訊息小節名稱）
0D0A
name=NOD32MOD_WINNT_CHINESES_BASE （元件名稱）
0D0A
display_name="NOD32 - 基本元件" （顯示名稱，須用雙引號，不能直接使用中文）
0D0A
build=285737758 （構建版本，10進制）
0D0A
type=BASE （類型，取值為BASE、STANDARD、INET、ADMIN）
0D0A
category=component （nup 資料類型，元件包值為：component，病毒庫包值為：engine）
0D0A
date=27.03.2006 （日期，格式：日.月.年）
0D0A
language=CHINESES （語言）
0D0A
platform=WINNT （平台，NT 平台取值：WINNT，Win9x 平台取值：WIN98）
0D0A
filesize=2291873 （文件大小，十進制，指 NUP 內嵌文件大小）
0D0A
crc=1223658470 （NUP 內嵌文件的 CRC32 校驗值）
0D0A
setup=setup.exe （此行只有 ntbase??.up 需要，指定內嵌文件中安裝程式文件名）
0D0A0D0A
2、引擎包格式
0D0A
[update_info] （訊息小節名稱）
0D0A
name=ENGINE0 （引擎名稱，對應關係見下表）
0D0A
version=1.1820 (20061020) （引擎版本）
0D0A
build=8239 （引擎構建版本，10進制）
0D0A
type=engine （類型，取值為 engine）
0D0A
category=engine （nup 資料類型，元件包值為：component，病毒庫包值為：engine）
0D0A
level=0 （不詳，取值為 0）
0D0A
base=268435456 （構建版本，10進制）
0D0A
date=27.03.2006 （日期，格式：日.月.年）
0D0A
filesize=2291873 （文件大小，十進制，指 NUP 內嵌文件大小）
0D0A
crc=1223658470 （NUP 內嵌文件的 CRC32 校驗值）
0D0A
buildregname="EngineBuild" （註冊名稱，對應關係見下表）
0D0A
filename="nod32.000" （內嵌文件名，對應關係見下表）
0D0A0D0A

引擎包訊息資料對應關係：
NUP文件名 引擎名稱 buildregname 內嵌文件名
engine.nup ENGINE0 EngineBuild nod32.000
archs.nup ARCHS0 ArchivesBuild nod32.002
advheur.nup ADVHEUR0 AdvHeurBuild nod32.003
pwscan.nup PWSCAN0 PwScannerBuild nod32.004
utilmod.nup UTILMOD0 UtilityModuleBuild nod32.005
charon.nup CHARON0 CharonBuild nod32.006

註：引擎包訊息資料格式應與內嵌資料中對應值保持一致。

三、內嵌資料
跟隨頭部資料，以相對偏移量表示：
00-12: [update_data]
13-16: 0D0A1A00
從17(Hex) 開始為內嵌文件內容，結束處為頭部資料 11-13 處的值+13(Hex)
內嵌文件為 RAR 壓縮格式，採用 Winrar 2.9 及以下版本壓縮。

四、尾部資料
尾部資料起始值為頭部資料 11-13 處的值+14(Hex)，以下為相對偏移量值：
00-04: 883F030500
05-14: 不詳
15: 00
16-33: 不詳
34: 00
35-40: 不詳

[904337]

請問一ㄍ問題
安裝後更新完
然後把日期調半年後
重開機會出現病毒庫太舊ㄉ訊息
這有辦法取消它讓他不出現嗎

因為C槽有裝還原

謝謝