点击此下载补丁
升级日志:
2008.02.24解决问题:
关于arkhy1 6全封后,劲舞团出错的解决方法:将56376687群“共享”中的EagleNt.sys复制到工作站system32\drivers中即可。
Q宠问题的解决。
在解保护模式下,运行一次Q宠,即可正常。
方舟建议,在解决还原的情况下arkhy1 1打上疫苗。
arkhy1 6全封状态并不需要多用。因为这会封temp run 启动 drivers,这样封住的狗的通路,也会封住极少游戏的运行通路,例如本次发现在劲舞团不能运行问题。只有在万不得已时,使用6这个参数。
2008.02.20升级内容:
增加远程封杀病毒常用路径(run 启动组 TEMP drivers)。远程调用arkhy1 6可以禁止run、启动写入权限,禁止temp运行权限,禁止system32\drivers写入修改权限,全面防止病毒的运行途径。可以在工作站还原模式下,远程调用或开维护通道运行。arkhy1 7可以远程恢复这些文件夹的权限。
2008.02.19升级内容:
增加以下病毒疫苗:
system32\drivers\pabc.sys
system32\drivers\msyecp.sys
2008.02.16升级内容:
增加以下病毒疫苗:
system32\drivers\puid.sys
system32\drivers\msepion.sys
system32\drivers\msacpe.sys
system32\drivers\mhqdn.sys
system32\drivers\ohrho.sys
system32\drivers\9C421134.sys
system32\drivers\451CD174.sys
system32\drivers\hookdll.sys
system32\drivers\fat32.sys
system32\drivers\wxptdi.sys
system32\drivers\NvSys_54.Sys
system32\drivers\comint32.sys
system32\drivers\crdisk.sys
system32\drivers\sioctl.sys
system32\drivers\npfs.sys
system32\drivers\npf.sys
system32\drivers\lamepi.sys
system32\drivers\acpisys.sys
system32\drivers\msacpe.sys
system32\drivers\msaclue.sys
system32\drivers\ldkflt.sys
system32\drivers\pop.sys
system32\drivers\usbinite.sys
system32\drivers\ati32srv.sys
system32\drivers\msyecp.sys
system32\drivers\pcihdd2.sys
2008.02.15升级内容:
修正远程调用错误;增加带机器狗病毒域名屏蔽功能;增加VBS无界面远程调用。
2008.02.13升级病毒库
增加以下病毒疫苗
system32\drivers\phy.sys
增加以下保护文件
system32\conime.exe
system32\spoolsv.exe
system32\ctfmon.exe
explorer.exe
2007.11.26升级病毒库
增加以下病毒疫苗
c:\windows\system32\drivers\usb32k.sys
c:\windows\system32\drivers\pcidisk.sys
c:\windows\system32\drivers\pcibus.sys
c:\program files\conime0.exe
c:\program files\conime1.exe
c:\program files\conime2.exe
c:\program files\conime3.exe
c:\program files\conime4.exe
c:\program files\conime5.exe
c:\program files\conime6.exe
c:\program files\conime7.exe
c:\program files\conime8.exe
c:\program files\conime9.exe
c:\windows\system32\usrinit.exe
若已下载使用的朋友,可以在线升级,升级后再作一次补丁。
名称:方舟“穿透还原病毒”广谱补丁1.2
补丁使用方法:
1、在制作母盘时,在安装所有驱动和软件后,安装本补丁。在本补丁主界,按“1”安装“机器狗”病毒疫苗;若是正在使用的系统,可以在解还原状态下,安装本补丁,也可以将补丁放在服务器一共享目录,用arkhy1 1远程调用安装。安装后,这样可以防止目前所知所有的“机器狗”病毒。
2、若病毒变种,本补丁还没升级时,可以采用开维护通道或远程调用直接在还原模式arkhy1 6直接封杀病毒可能生成运行通道,由于是在还原模式下调用,所以若不调用,重启所有封杀权限的目前自动失效。若在解还原模下调用过,想解封,可以使用arkhy1 6解除。
补丁原理及特点:
1、禁止IE临时目录运行程序,使病毒下载在临时目录无法得到运行权。从源头上截断“穿透还原病毒”。
2、禁用修改自启动项目(run runonce runservices)及禁止修改各启动组的权限,使病毒无法生成自动项目,也就无法加载“穿透还原病毒”生成的木马。
3、禁止修改修改系统关键EXE文件。例如userinit.exe,可定义需保护的文件,将要保护的文件放在pfile.txt即可。注意系统目录下不要加c:\windows,例如:c:\windwos\system32\userinit.exe,可以写入system32\userinit.exe。其它文件写入完整路径,例如d:\qq\qq.exe。
4、对已知“穿透还原病毒”文件进行免疫,并可自行扩充病毒库。病毒库文件为nort.txt,写入格式第2点相同。
5、通过hosts封机病毒网站域名,本补丁收集了大量含有病毒域名,病毒域名库文件为disdns.txt,网管可以自行扩充,本站也将不断扩充病毒库。
6、可以远程调用,大大提高工作效率。本补丁远程调用安装,将本补丁放在服务器一共享目录中,在工作站运行“\\服务器名\共享名\arkhy1 1”为安装补丁,在工作站运行“\\服务器名\共享名\arkhy1 2”为删除本补丁;install.vbs和unistall.vbs为远程无界面调用安装和删除本补丁的脚本,注意在使用时请修改两个文件中的服务器名及共享目录名。
7、远程调用arkhy1 6可以禁止run、启动写入权限,禁止temp运行权限,禁止system32\drivers写入修改权限,全面防止病毒的运行途径。可以在工作站还原模式下,远程调用或开维护通道运行。arkhy1 7可以远程恢复这些文件夹的权限。
8、超强的权限控制,病毒无法去除本补丁所设置权限。
注意事项:
1、本补丁只对NTFS文件格式有效
2、打疫苗前请先清空IE临时文件在c:建立ietemp目录,将IE临时文件指向此目录。若不需禁止IE临时目录运行程序,则此步骤也可不做。
原理:设置注册表权限及系统目录为只读,使病毒无法感染系统,达到疫
苗的效果,对未知的变种有着主动防御能力。且本疫苗并不占用任何系统
资源,丝毫不会象防毒软件那样占用大量系统资源。
本疫苗由方舟系统站制作 http://www.fz49.com QQ:346644
版本修订情况
版本号 修订日期 修订人 修订内容
1.2 2008-02-24 fz49.com 创建本脚本
点击此下载补丁
关于打好补丁后,无法驱动摄像头问题的说明:
由于本补丁会删除启动组及注册表RUN权限,一般情况下,是在安装好所有软件后再打补丁,若已打补丁后,需加安装摄像头,可以将手工打开注册表权限。方法为点击“开始”-“运行”,输入regedit.exe,打开注册表,找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run项后,将Everyone完全控制权限加上。如下图所示。驱动完成后,不要忘记将完全控制权去掉。
点击此下载补丁 |
收藏
推荐
评论(0条)
