瑞星卡卡安全论坛

引用:

【breach的贴子】 我也测试下，情况的确像闪电风暴所说的那样，IS对注册表启动项的修改（删除也一样），SSM没有任何的反应。IS对注册表启动项的修改、删除可能是从底层进行的吧。 ………………

听说有不少关于SSM的广告:SSM可以拦截到"任何代码"对注册表的修改.看来也不一定嘛

PJF:与Regedit用法类似，注意它有权限打开与修改任何子键，使用时要小心，不要误修改(比如SAM子键)。并没有说IS的注册表修改可绕过一些监控

问：IceSword的注册表项有什么特点？相对来说，RegEdit有什么不足吗？
答：说起Regedit的不足就太多了，比如它的名称长度限制，建一个全路径名长大于255字节的子项看看（编程或用其他工具，比如regedt32），此项和位于它后面的子键在regedit中显示不出来；再如有意用程序建立的有特殊字符的子键regedit根本打不开。
    当然IceSword中添加注册表编辑并不是为了解决上面的问题，因为已经有了很多很好的工具可以代替Regedit。IceSword中的“注册表”项是为了查找被木马后门隐藏的注册项而写的，它不受目前任何注册表隐藏手法的蒙蔽，真正可靠的让你看到注册表实际内容。

并且用IS删除后再用regedit添加一个同样的键值会出现一些莫名其妙的情况。看来SSM还得加油.

附件: 7317492006826102958.bmp

并且用IS删除后再用regedit添加一个同样的键值会出现一些莫名其妙的情况。看来SSM还得加油.

附件: 7317492006826104202.bmp

你在SSM中已经把"创建",禁止了,当然无法创建..
REGEIDT的重命名过程是先删除已经有的键,再创建一个你要求的名字的键.这时就会出错的~~~

引用:

【闪电风暴的贴子】你在SSM中已经把"创建",禁止了,当然无法创建.. REGEIDT的重命名过程是先删除已经有的键,再创建一个你要求的名字的键.这时就会出错的~~~ ………………

谢谢你的指教。是我搞错了。

不过我有一个问题：如果是先删除已经有的键，那么SSM应该会先提示我的（请看我的SSM设置:删除时候有提示），但是结果SSM没有提示我啊。

猫叔，又出SSM的教程。。。顶顶。 。。不过SSM开着太烦琐

最新版SSM是不是有BUG,还是SSM提升了破解能力了,最近老出问题
1:ICESWORD无法打开,提示初始化失败
2:QQGAME可以登陆,但没法打开客户端
3:有个别网页没法打开和登陆,如:AVL.COM电影网页
关闭了SSM后打开以上程序,再开SSM所有问题解决,就算关闭了那些程序再开也不会提示初始化失败,不知何解?
更令人讨厌的是,有时进受限制用户登陆后不显示桌面,只有资源管理器可以用,和我初装SSM时的情况一样,但用资源管理器重启后再次登陆这个受限制用户时却可以正常使用了,这个是不是和过期再次提升使用期限的操作有关?

附件: 6960202006826151222.bmp

引用:

【applechen的贴子】最新版SSM是不是有BUG,还是SSM提升了破解能力了,最近老出问题 1:ICESWORD无法打开,提示初始化失败 2:QQGAME可以登陆,但没法打开客户端 3:有个别网页没法打开和登陆,如:AVL.COM电影网页 关闭了SSM后打开以上程序,再开SSM所有问题解决,就算关闭了那些程序再开也不会提示初始化失败,不知何解? 更令人讨厌的是,有时进受限制用户登陆后不显示桌面,只有资源管理器可以用,和我初装SSM时的情况一样,但用资源管理器重启后再次登陆这个受限制用户时却可以正常使用了,这个是不是和过期再次提升使用期限的操作有关? ………………

SSM与ICESWORD的问题：
有这个问题，但不是普遍现象。
我的本本，XPSP2系统，与你的问题一模一样。
我的台式电脑，XPSP2系统，没任何问题。这两个软件都很好用。

引用:

【breach的贴子】 谢谢你的指教。是我搞错了。 不过我有一个问题：如果是先删除已经有的键，那么SSM应该会先提示我的（请看我的SSM设置:删除时候有提示），但是结果SSM没有提示我啊。 ………………

一般容易犯的错误是,设置了规则后没有点"应用设定",新规则不能生效.检查一下你是不是这种情况

35楼的SSM是什么版本的??558版的SSM与IS有冲突

引用:

【baohe的贴子】 SSM与ICESWORD的问题： 有这个问题，但不是普遍现象。 我的本本，XPSP2系统，与你的问题一模一样。 我的台式电脑，XPSP2系统，没任何问题。这两个软件都很好用。 ………………

但我的也是台式机SP2系统,还是新装的,最近没装什么软件SSM也没有再出什么提示了,只是网页方面,搞到我头痛

果然是利仞啊~
剑去无痕~~~
SSM一丝感觉都没有~~
我设置对禁止 HKLM  整个项的所有子键,及所有值的创建,删除,写入.
可是无效,~~~

是ICESWORD可以绕过SSM对注册表的监控?

还有,SSM对HKCU等根键无法监控到,根键中可以随意添加值~

但好像,目前为止还只有一把利仞可以像切豆腐一样不闪SSM直接切入注册表~~~(可不能让那些木马也掌握了这些,呵呵,那就要天下大乱了~~~)

引用:

【闪电风暴的贴子】35楼的SSM是什么版本的??558版的SSM与IS有冲突 ………………

2.1.9.582,这个应该不是冲突的问题,因为开IS时会出错,关闭SSM打开IS再开SSM以后就可以无限次打开IS了

引用:

【闪电风暴的贴子】35楼的SSM是什么版本的??558版的SSM与IS有冲突 ………………

SSM

附件: 1558472006826153845.jpg

ICESWORD

附件: 1558472006826153929.jpg

也许随着软件功能的扩大,问题也随之多了起来


回复:影子110
如果让木马掌握了ICESWORD的进程终止术,咱们都别过了.SSM都无法当住它的进程终止,何况只有SSM能终止ICESWORD.exe进程..

【回复“影子110”的帖子】别说注册表,就是让木马掌握了ICESWORD的进程终止术就不了得了.

支持楼上的说法 要是木马掌握了 那我这个菜鸟就````

哟`刚好翻页成功`

引用:

【闪电风暴的贴子】也许随着软件功能的扩大,问题也随之多了起来 回复:影子110 如果让木马掌握了ICESWORD的进程终止术,咱们都别过了.SSM都无法当住它的进程终止,何况只有SSM能终止ICESWORD.exe进程.. ………………

使IceSword失灵的木马——不是没有！

哇  快说``

引用:

【炫Oo逍遥oO的贴子】哇  快说`` ………………

http://forum.ikaka.com/topic.asp?board=28&artid=8149966
17楼、20楼的内容

引用:

【闪电风暴的贴子】 一般容易犯的错误是,设置了规则后没有点"应用设定",新规则不能生效.检查一下你是不是这种情况 ………………

我应用了规则拉，否则就不会出现删除不了的情况了。要不你自己按照我的设置测试下就知道情况是否跟我说的一样了。

可是SSM也是高手用的啊

【回复“baohe”的帖子】
版主，我是新手，刚刚安装正版瑞星杀毒软件，但是每次开机杀毒时都会出现同一种病毒Backdoor.Gpigeon.2006.re，文件路径：C:\Program Files\Common Files\Microsoft Shared\MSInfo\svchsot.DLL我不知道该知道怎么办了,向您求救啊！！！

大家好啊！菜鸟请教大家个问题，为什么我的瑞星实时监控打不开啊。小伞是红色的。为什么啊？？？？？？？？？？？我可是注册用户啊！！！以前是可以的。但现在重装杀毒软件后就不行了。开机时小伞是开着的。可一会就关掉了。我装 了木马清道夫。和它用关系吗？？？？？？？？？？？？、、、、、

引用:

【doublel4529的贴子】【回复“baohe”的帖子】 版主，我是新手，刚刚安装正版瑞星杀毒软件，但是每次开机杀毒时都会出现同一种病毒Backdoor.Gpigeon.2006.re，文件路径：C:\Program Files\Common Files\Microsoft Shared\MSInfo\svchsot.DLL我不知道该知道怎么办了,向您求救啊！！！ ………………

你机子中的是灰鸽子病毒
重新启动到安全模式，到C:\Program Files\Common Files\Microsoft Shared\MSInfo\把svchsot.DLL删除
开始-运行输入regedit,打开注册表编辑器，定位到HKEY_LOCAL_MACHINE\ SYSTEM \ CURRENTCONTROLSET \ SERVICES分支，删除左栏中的病毒服务名GrayPigeonServer
C:\WINDOWS\G_Server2006.exe
C:\WINDOWS\G_Server2006.dll(若有的话)
C:\WINDOWS\G_Server2006key.dll(若有的话)
C:\WINDOWS\G_Server2006_hook.dll(若有的话)

学习中

谢谢斑竹，学习啦!

Logfile of HijackThis v1.99.1
Scan saved at 15:17:18, on 2006-8-27
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
d:\Program Files\Rising\Rav\CCenter.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
d:\Program Files\Rising\Rav\Ravmond.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
d:\Program Files\Rising\Rav\RavStub.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
D:\Program Files\Rising\Rav\RavTask.exe
D:\Program Files\Rising\Rav\Ravmon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\Yahoo!\ASSIST~1\ylive.exe
C:\PROGRA~1\Yahoo!\ASSIST~1\ylive.exe
C:\WINDOWS\system32\Rundll32.exe
C:\PROGRA~1\Yahoo!\ASSIST~1\ylive.exe
C:\PROGRA~1\Yahoo!\ASSIST~1\ylive.exe
C:\PROGRA~1\Yahoo!\ASSIST~1\ylive.exe
C:\PROGRA~1\Yahoo!\ASSIST~1\ylive.exe
C:\PROGRA~1\Yahoo!\ASSIST~1\ylive.exe
C:\PROGRA~1\Yahoo!\ASSIST~1\ylive.exe
C:\PROGRA~1\Yahoo!\ASSIST~1\ylive.exe
C:\PROGRA~1\Yahoo!\ASSIST~1\ylive.exe
C:\PROGRA~1\Yahoo!\ASSIST~1\ylive.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\PROGRA~1\Yahoo!\ASSIST~1\ylive.exe
C:\PROGRA~1\Yahoo!\ASSIST~1\ylive.exe
C:\PROGRA~1\Yahoo!\ASSIST~1\ylive.exe
C:\PROGRA~1\Yahoo!\ASSIST~1\ylive.exe
C:\PROGRA~1\Yahoo!\ASSIST~1\ylive.exe
C:\PROGRA~1\Yahoo!\ASSIST~1\ylive.exe
C:\PROGRA~1\Yahoo!\ASSIST~1\ylive.exe
C:\PROGRA~1\Yahoo!\ASSIST~1\ylive.exe
C:\PROGRA~1\Yahoo!\ASSIST~1\ylive.exe
C:\PROGRA~1\Yahoo!\ASSIST~1\ylive.exe
C:\PROGRA~1\Yahoo!\ASSIST~1\ylive.exe
C:\PROGRA~1\Yahoo!\ASSIST~1\ylive.exe
C:\PROGRA~1\Yahoo!\ASSIST~1\ylive.exe
C:\PROGRA~1\Yahoo!\ASSIST~1\ylive.exe
C:\PROGRA~1\Yahoo!\ASSIST~1\ylive.exe
C:\PROGRA~1\Yahoo!\ASSIST~1\ylive.exe
C:\PROGRA~1\Yahoo!\ASSIST~1\ylive.exe
C:\PROGRA~1\Yahoo!\ASSIST~1\ylive.exe
C:\PROGRA~1\Yahoo!\ASSIST~1\ylive.exe
C:\PROGRA~1\Yahoo!\ASSIST~1\ylive.exe
C:\PROGRA~1\Yahoo!\ASSIST~1\ylive.exe
C:\PROGRA~1\Yahoo!\ASSIST~1\ylive.exe
C:\PROGRA~1\Yahoo!\ASSIST~1\ylive.exe
C:\WINDOWS\system32\conime.exe
C:\PROGRA~1\Yahoo!\ASSIST~1\ylive.exe
C:\PROGRA~1\Yahoo!\ASSIST~1\ylive.exe
C:\Program Files\Thunder Network\Thunder\Program\Thunder5.exe
C:\PROGRA~1\Yahoo!\ASSIST~1\ylive.exe
C:\PROGRA~1\Yahoo!\ASSIST~1\ylive.exe
C:\PROGRA~1\Yahoo!\ASSIST~1\ylive.exe
C:\PROGRA~1\Yahoo!\ASSIST~1\ylive.exe
C:\PROGRA~1\Yahoo!\ASSIST~1\ylive.exe
C:\PROGRA~1\Yahoo!\ASSIST~1\ylive.exe
C:\PROGRA~1\Yahoo!\ASSIST~1\ylive.exe
c:\program files\rising\rfw\rfwsrv.exe
C:\Program Files\Rising\Rfw\RfwMain.exe
C:\PROGRA~1\Yahoo!\ASSIST~1\ylive.exe
C:\PROGRA~1\Yahoo!\ASSIST~1\ylive.exe
C:\PROGRA~1\Yahoo!\ASSIST~1\ylive.exe
C:\PROGRA~1\Yahoo!\ASSIST~1\ylive.exe
C:\PROGRA~1\Yahoo!\ASSIST~1\ylive.exe
C:\PROGRA~1\Yahoo!\ASSIST~1\ylive.exe
C:\PROGRA~1\Yahoo!\ASSIST~1\ylive.exe
C:\PROGRA~1\Yahoo!\ASSIST~1\ylive.exe
C:\PROGRA~1\Yahoo!\ASSIST~1\ylive.exe
C:\PROGRA~1\Yahoo!\ASSIST~1\ylive.exe
C:\PROGRA~1\Yahoo!\ASSIST~1\ylive.exe
C:\PROGRA~1\Yahoo!\ASSIST~1\ylive.exe
C:\PROGRA~1\Yahoo!\ASSIST~1\ylive.exe
C:\PROGRA~1\Yahoo!\ASSIST~1\ylive.exe
C:\PROGRA~1\Yahoo!\ASSIST~1\ylive.exe
C:\PROGRA~1\Yahoo!\ASSIST~1\ylive.exe
C:\PROGRA~1\Yahoo!\ASSIST~1\ylive.exe
C:\PROGRA~1\Yahoo!\ASSIST~1\ylive.exe
C:\PROGRA~1\Yahoo!\ASSIST~1\ylive.exe
C:\PROGRA~1\Yahoo!\ASSIST~1\ylive.exe
C:\PROGRA~1\Yahoo!\ASSIST~1\ylive.exe
C:\PROGRA~1\Yahoo!\ASSIST~1\ylive.exe
C:\PROGRA~1\Yahoo!\ASSIST~1\ylive.exe
C:\PROGRA~1\Yahoo!\ASSIST~1\ylive.exe
d:\Program Files\Rising\Rav\RsAgent.exe
C:\WINDOWS\msagent\AgentSvr.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\user\LOCALS~1\Temp\Rar$EX00.752\HijackThis.exe

R3 - URLSearchHook: 雅虎助手 - {406F94F0-504F-4a40-8DFD-58B0666ABEBD} - C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\yasbar0.dll
F2 - REG:system.ini: UserInit=userinit.exe,
O2 - BHO: yPhtb - {33BBE430-0E42-4f12-B075-8D21ACB10DCB} - C:\Program Files\Yahoo!\Assistant\Assist\yphtb.dll
O2 - BHO: Anti Fish - {38928D50-8A48-44C2-945F-D2F23F771410} - C:\Program Files\Yahoo!\Assistant\Assist\yAngling.dll
O2 - BHO: CdnForIE Class - {5C3853CF-C7E0-4946-B3FA-1ABDB6F48108} - C:\PROGRA~1\CNNIC\Cdn\cdnforie.dll
O2 - BHO: YDragSearch - {62EED7C6-9F02-42f9-B634-98E2899E147B} - C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\YDRAGS~1.DLL
O2 - BHO: BandIE Class - {77FEF28E-EB96-44FF-B511-3185DEA48697} - C:\Program Files\BaiDu\bar\BaiduBar.dll
O2 - BHO: ThunderBHO - {889D2FEB-5411-4565-8998-1DD2C5261283} - C:\Program Files\Thunder Network\Thunder\ComDlls\XunLeiBHO_002.dll
O2 - BHO: shdocvwhlp Class - {BE442802-3911-46E0-B227-076B15A4EAD3} - C:\WINDOWS\system32\mskey16.dll
O2 - BHO: IE - {D157330A-9EF3-49F8-9A67-4141AC41ADD4} - C:\WINDOWS\downlo~1\CnsHook.dll
O2 - BHO: WMHlprObj Class - {F5824EFB-728A-4726-A5A5-85A68B20EDC3} - C:\PROGRA~1\CNNIC\Cdn\wmhlpr.dll
O2 - BHO: AssistHelper - {FE3ECAE7-0A37-4506-8A7D-3CC9A04D2CA8} - C:\Program Files\Yahoo!\Assistant\Assist\yassist.dll
O3 - Toolbar: 雅虎助手 - {406F94F0-504F-4A40-8DFD-58B0666ABEBD} - C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\yasbar0.dll
O3 - Toolbar: 百度超级搜霸 - {B580CF65-E151-49C3-B73F-70B13FCA8E86} - C:\Program Files\BaiDu\bar\BaiduBar.dll
O4 - HKLM\..\Run: [RavTask] "d:\Program Files\Rising\Rav\RavTask.exe" -system
O4 - HKLM\..\Run: [RfwMain] "C:\Program Files\Rising\Rfw\rfwmain.exe" -Startup
O4 - HKLM\..\RunOnce: [RavStub] "d:\Program Files\Rising\Rav\ravstub.exe" /RUNONCE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: &使用迅雷下载 - C:\Program Files\Thunder Network\Thunder\Program\GetUrl.htm
O8 - Extra context menu item: &使用迅雷下载全部链接 - C:\Program Files\Thunder Network\Thunder\Program\GetAllUrl.htm
O9 - Extra button: 寻宝乐趣多 - {59BC54A2-56B3-44a0-93E5-432D58746E26} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=taobao (file missing)
O9 - Extra button: 雅虎助手 - {5D73EE86-05F1-49ed-B850-E423120EC338} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=yassist (file missing)
O9 - Extra button: 情景聊天 - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=yahoomsg (file missing)
O9 - Extra button: (no name) - {ECF2E268-F28C-48d2-9AB7-8F69C11CCB71} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=repair (file missing)
O9 - Extra 'Tools' menuitem: 修复浏览器 - {ECF2E268-F28C-48d2-9AB7-8F69C11CCB71} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=repair (file missing)
O9 - Extra button: (no name) - {FD00D911-7529-4084-9946-A29F1BDF4FE5} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=clean (file missing)
O9 - Extra 'Tools' menuitem: 清理上网记录 - {FD00D911-7529-4084-9946-A29F1BDF4FE5} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=clean (file missing)
O10 - Unknown file in Winsock LSP: c:\windows\system32\cdnns.dll
O11 - Options group: [!CNS]  网络实名
O11 - Options group: [CDNCLIENT]  中文上网
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1120026452035
O16 - DPF: {EF6205C1-3F17-4829-BCB5-1336ED89E356} (KvScanOnline Control) - http://online.jiangmin.com/KvDown.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{5F4CBBE0-D5BA-4F13-A8CE-B95D1D00E011}: NameServer = 202.102.128.68 202.102.134.68
O20 - AppInit_DLLs: KB371662M.LOG
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O21 - SSODL: DLMon - {590498A3-4131-4D8F-BA4B-36791A0803B1} - C:\WINDOWS\system32\DLMain.dll (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Rising Proxy  Service (RfwProxySrv) - Beijing Rising Technology Co., Ltd. - c:\program files\rising\rfw\rfwproxy.exe
O23 - Service: Rising Personal Firewall Service (RfwService) - Beijing Rising Technology Co., Ltd. - c:\program files\rising\rfw\rfwsrv.exe
O23 - Service: Rising Process Communication Center (RsCCenter) - Beijing Rising Technology Co., Ltd. - d:\Program Files\Rising\Rav\CCenter.exe
O23 - Service: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - d:\Program Files\Rising\Rav\Ravmond.exe
O23 - Service: Aication (tographicServices) - Unknown owner - C:\Program Files\Common Files\Microsoft Shared\MSInfo\svchsot.exe (file missing)

版主，拜托你了，请把处理方法详细的告诉我，我太菜，太专业看不懂的啦！！！