清音妙曲

病毒杀戮者 V2.11 更新发布

清音妙曲 — Thu, 10 Jul 2008 17:11:48 +0800

病毒杀戮者 V2.10 推出后，由于它独特的杀毒机理，很快便赢得了众多用户的喜爱。据天空软件统计，自 6 月 13 日软件正式发布至今短短 20 余天的下载量已达 218 次。而另一方面，杀戮者从名不见经传的无名软件，很快被十多家网站迅速传播并提供下载，下载量合计已超过 1000 次以上。

病毒杀戮者 V2.10 杀毒引擎是针对某些特殊类型的病毒而精心设计的，杀毒的依据是脚本，由杀戮者主程序执行杀毒任务。病毒杀戮者 V2.10 能杀死什么病毒，完全取决于脚本，因此，脚本病毒资料是否齐全和准确，是决定杀毒能否成功的关键要素。

随病毒杀戮者 V2.10 一起提供给大家免费使用的脚本，都是近几个来作者及同事们的计算机中近来实际感染的病毒，而这些病毒恰恰是瑞星、卡巴、360等杀软不认识或杀不死的流行病毒。经作者分析提取病毒特征后，添加到脚本中，经测试杀毒有效，而且完全可以修复被病毒修改的系统设置和病毒残留，清洁病毒垃圾。

在使用中，病毒杀戮者 V2.10 暴露出了几个小的问题和不足，表现为：

1.隐藏在注册表 HKEY_USERS 主键下的启动项可能会扫描不到，因此，个别新病毒（如 080623 杀毒脚本中的几个新病毒）启动项无法清除。

2.个别病毒采取了偷梁换柱法伪装的启动项，可能导致病毒进程无法终止。但手工终止病毒进程后，杀毒可以完成。

3.个别字段中存在项目的注释（非整行注释）可能导致杀毒无效的情况。

针对上述三个问题，病毒杀戮者已经完成了 V2.11 版的调试工作，并在天空软件站发布更新，下载地址不变。

另外，又优化了部分影响查杀速度的执行代码，使程序运行速度明显提高。

更新的病毒杀戮者 V2.11 版图标、界面和操作与 V2.10 版完全相同，脚本也完全兼容。

更新病毒脚本-080623

清音妙曲 — Mon, 23 Jun 2008 22:16:57 +0800

//
//病毒杀戮者杀毒脚本（下载者专杀）
//版权所有：zkmg@sohu.com 2008
//更新日期：2008-06-23
//

[Service]

cqit;
dohs;
drop;
fmsq;
jtio;
mhfp;mnsf;
pangu222;pangu888;ping;ptfs;
zftp;

[AutoRun]

SoundMan;

[Hook]

//fmbiost.dll
//isndntio.dll

[Windows]

1.inf;
dgmrrg.exe;
fmbiost.exe;
isndntio.exe;
popo.exe;pqlcav.exe;
SoundMan.exe;//如果是Realtek声卡，杀毒后需要重新安装声卡驱动
ualhqd.exe;
WINSvr64.exe;
zhclsz.exe;

[System32]

??.ext;???.ext;
Alcmtr.exe;alcwzrd.exe;
Comheii*.exe;Config.txt;
fmbiost.dll;
ineters.exe;isndntio.dll;
kbdswjr.dll;
Man.exe;Mann.exe;
notepd.exe;notepde.exe;
qoq.exe;
popo.exe;por.aed;
SoundMan.exe;
tthh3.ini;
Windows.txt;

[EveryDisk]

auto.exe;autorun.inf;

[Registry]

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360Loader.exe = -Name{Debugger};
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360safe.exe = -Name{Debugger};
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360safebox.exe = -Name{Debugger};
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360tray.exe = -Name{Debugger};
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\CCenter.exe = -Name{Debugger};
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ctfmon.exe = -Name{Debugger};
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IceSword = -Name{Debugger};
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Iparmor.exe = -Name{Debugger};
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kmailmon.exe = -Name{Debugger};
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KPPMain.exe = -Name{Debugger};
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KWatch.exe = -Name{Debugger};
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\QQDoctor.exe = -Name{Debugger};
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\QQKav.exe = -Name{Debugger};
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ras = -Name{Debugger};
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\runiep = -Name{Debugger};
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe = -Name{Debugger};
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\tqat.exe = -Name{Debugger};
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Your Image File Name Here without a path = -Name{Debugger};
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL = ifData{CheckedValue:REG_DWORD(6)} +Data{CheckedValue:REG_DWORD(1)};
HKLM\SYSTEM\CurrentControlSet\Services\helpsvc = +Data{ImagePath:REG_EXPAND_SZ(%SystemRoot%\System32\svchost.exe -k netsvcs)};
//HKEY_CLASSES_ROOT\txtfile\shell\open\command = +Data{?:REG_SZ(%SystemRoot%\notepad.exe %1)};

[Other]

c:\ip.txt;
%LocalSettings%\Temp\*.*;

[Find]

[End]

说明：本脚本仅针对下载者病毒，可单独加载杀毒，亦可按字段将相关内容分别添加到默认脚本中

病毒杀戮者 V2.10 声明

清音妙曲 — Sat, 21 Jun 2008 15:32:06 +0800

《病毒杀戮者 V2.10》经天空软件站发布后，已有数百位用户下载使用，作者在此衷心感谢各位的大力支持！

《病毒杀戮者 V2.10》合法下载地址为：http://tele.skycn.com/soft/45572.html。

《病毒杀戮者 V2.10》软件发布尚不足十日，但网络上已出现十余家网站转载。但部分网站在原版压缩包内填加了一些转载网站的网页快捷方式，还有的填加了说明之类的文本，都是属于非法内容，作者不予认可，请这些网站自行删除非法内容。

作者在此郑重声明，本软件只包含如下三个文件：
Killer.exe     主程序    720KB（737280字节）
VirKill.zkm    加密脚本 28618（字节）
VirKill.dat    脚本模版 214（字节）可删除
另外，天空软件自行添加一个文件：
说明_Readme.html         26454（字节）（可删除）本作者予以认可。

除以上四个文件外，其它任何文件均属非法，作者保留追究这些网站侵权责任的权力。
用户如采用盗连网站下载的《病毒杀戮者 V2.10》，请自行甄别，并承担由于使用该软件产生的一切后果！

病毒杀戮者后记

清音妙曲 — Wed, 18 Jun 2008 22:22:14 +0800

开门见山地说，也许大家都遇到过类似情形：安装了多种专业正版杀毒软件和防火墙，下载了若干专杀工具，已经是所谓全付武装了，但依然还是免不了中毒！更可气的是中毒后的杀毒软件居然失效而无法打开，注册表编辑器、任务管理器、系统配置程序等工具全部被病毒屏蔽，帐号被盗，系统慢如蜗牛，眼睁睁地看着病毒却无计可施！此时你的心情是什么？不用我说，你一定会对病毒很之入骨，但却又无可奈何，心情一定坏到了极点！

我就遭遇到了这样的处境，当时唯一的想法就是要格盘重装！可是我的电脑中有许多珍贵的收藏资料，没有办法全部备份，格盘的损失是明显的，可是不格又怎么消灭病毒呢？！当时真的是又气又恨又无奈，于是想到了自己编制不会被病毒屏蔽的专杀工具的想法。

通过对我的电脑中已感染的病毒的研究分析，我发现了病毒屏蔽杀软的秘密方法：除了大家已知的通过修改系统配置外，还会对内存中运行的进程进行监视，发现有可能危害病毒生存的进程后，无论是否，都一律终止其进程！所以，许多杀软无法启动就是这个原因。

还有更毒的招数，就是给杀软程序加壳，包括给所有满足一定条件的应用程序加壳，只要你启动任意一款被感染的程序，都会重新激活病毒，这也正是病毒杀了还会复活的根本原因之一。知道了病毒杀杀软的原理，也就找到了躲避其关闭进程的办法和途径。病毒杀戮者在编制之初，就已经在我的电脑中接受了这项严峻的考验。

通过对单位多台染毒电脑的分析，我发现卡巴、瑞星、NOD32、安全卫士360等专业杀毒软件都有被病毒加壳的现象，其它品牌的软件因未见安装者，尚不知病毒对它们会如何。杀软成了病毒的宿主和传播源头，真是让人哭笑不得！这种厉害的病毒当属 Wdfmgr 病毒，病毒杀戮者最初也是针对它开始编制和进行调试的。

任何程序，必须启动并调入内存才能运行，病毒也不例外。所以，所谓杀死病毒，其实就是把病毒进程在内存中终止运行并从内存中卸载（终止病毒进程），使之与系统进程（父进程）脱离关联，这样才能删除病毒的磁盘文件，达到杀灭病毒的目的。如果不能终止病毒进程，即使你强行删除了磁盘文件，它依然会很快恢复的。许多病毒久杀不净，死而复生，就是这个原因。

还有些病毒，没有它自己的主程序，而是寄生在系统进程或系统软件上，依靠寄生的系统程序运行，常常会导致杀软的误报或将系统程序当作病毒删除掉，从而把系统给杀瘫痪了，使得你不得不必须重新安装系统或应用软件。对那些寄生于多个系统进程（程序）上，尤其是寄生在资源管理器（系统浏览器）上的病毒，常常会导致桌面图标完全消失，假象死机，使得你的电脑无法正常使用。

再说杀毒，许多杀软都建议到安全模式下杀毒，否则很多病毒是无法杀掉的，因为病毒进程已经嵌入到系统进程中，受系统进程的保护，这些病毒就不能被删除。其实，对于那些嵌入系统进程的病毒，即使进入安全模式，因为系统进程不能被终止，这些病毒同样无法删除，除非你进入纯 DOS 模式。许多顽固病毒就是利用 Windows 的这个特点来保护其关键程序不会被删除的。

杀戮者如何对付这些顽固病毒呢？在不必重新启动系统的条件下，要做到杀死并杀灭病毒，首先必须考虑终止病毒进程，或在必要的时候终止它的父进程（系统进程），使病毒从内存中卸载，然后再删除病毒的磁盘文件，恢复注册表。杀戮者在杀某些病毒的时候，桌面会多次刷新，有可能桌面图标全部消失，甚至造成系统停止，就是遇到了顽固病毒，是它试图终止系统进程的原因，这是正常现象，多杀几次就可以杀灭顽固病毒了。当顽固病毒杀灭后，就不会出现这些现象了。

由于杀戮者是按照杀毒脚本的定义进行查毒和杀毒的，注册用户可以在明码条件下屏蔽或删除一些不必要的查杀过程，加快程序运行速度。你甚至可以仅编制一个仅包含一二个病毒的小脚本，达到瞬间完成杀毒的目的。当然你也可以自定义一些垃圾文件脚本，充当垃圾文件清理器的作用。所以，病毒杀戮者是有别于传统意义上的病毒专杀软件的。

总之，杀戮者留给用户更多的自由和选择余地，体现出它开放自由和灵活多变的独特优势，相信它的这些新特点，会成为你的选择的。

runauto.. 病毒专杀下载

清音妙曲 — Wed, 18 Jun 2008 08:28:07 +0800

runauto.. 病毒是一种依赖系统服务启动的 U 盘病毒，我在以前的博文中做过分析和手工杀毒方法研究。为方便使用，我用 BCB 编制了该病毒的专杀软件，由天空软件提供下载。

这是一款免费的专杀软件，绿色软件，无须安装，不占用内存，无须重启系统即可在一、二秒内迅速杀死病毒。

runauto.. 病毒专杀 V1.02 下载地址：http://www.skycn.com/soft/45687.html

病毒杀戮者问答

清音妙曲 — Tue, 17 Jun 2008 10:58:42 +0800

有朋友询问一些问题，下面选择一些有代表性的问题在这里集中解答：

问：杀戮者不安装就可使用吗？

答：是的。它是一款纯绿色的病毒专杀软件，无须安装。它只有一个可执行程序 Killer.exe，自带一个加密的杀毒脚本VirKill.zkm（不可删除），另外还附送了一个脚本格式文件 VirKill.dat（未注册用户可删除）。

问：杀戮者不注册可以用吗？

答：可以正常使用，杀毒效果不受影响，但查看脚本、编辑脚本、测试脚本、加/解密脚本、脚本升级等功能不可用。注册版将解除这些限制，确保注册用户可以真正体验到本软件的独特优势和服务。

问：杀戮者可杀死多少种病毒木马？

答：你可以在脚本中数一下就知道了。理论上说，可以杀死任意多种，只要病毒进入脚本就可以杀死！其实能杀死多少种病毒不是衡量一款杀毒软件优劣的主要标准，主要是看它能不能真正杀死存在于你的机器中的实在存在的病毒。有些杀毒软件号称可以杀死多少多少种病毒，其实根本没有多大实际意义。

顺便说明，杀戮者不是一般意义上的专杀软件，其可杀死的病毒完全取决于脚本的定义，而脚本的定义主动权完全在用户，只要你感染的病毒特征加入脚本，哪怕脚本中仅有一个病毒，它同样可以达到杀死病毒的目的。从这个意义出发，杀戮者支持用户自定义的任意独立脚本，用哪个，加载哪个即可完成，避免无意义的查毒过程，浪费用户的宝贵时间。

问：杀戮者占用多少内存？

答：它与其它专杀软件一样，不驻留内存，也不占用任何系统资源。

问：杀戮者能杀死未知病毒？

是的，只要你发现在你的计算机上出现未知病毒，仅需要把病毒的启动方式（服务、进程等）、病毒文件和注册表的相关信息自行添入脚本，杀戮者就可以杀死它！

问：杀戮者可以躲避木马病毒的屏蔽？

答：是的，你一用就可以知道，启动它不会引起病毒的察觉而被关闭的。当其它杀毒软件无法启动的时候，杀戮者将会发挥重要作用的！

问：如何向脚本中添加病毒信息？

答：病毒通常都需要启动并驻留内存才能发挥作用，因此，首先要找出病毒的启动方式。

本软件支持杀死三种启动方式的病毒：1.通过服务启动：将病毒的启动服务名称添加至 [Service] 字段中即可；服务可通过注册表编辑器或计算机管理程序找到。

2.通过自启动项启动：将病毒启动项名称加入 [AutoRun] 字段即可。自启动项可通过系统配置实用程序找到。

3.通过系统进程挂钩启动：将病毒模块名称（通常是 .DLL 文件）添加到 [Hook] 字段即可。

以上工作做完后，你只需把病毒文件按所在的路径将文件名分别添加到对应的 [Windows]、[System32]、[EveryDisk]、[Other]、[Find] 字段中，将病毒修改的注册表修复条件添加至 [Registry] 字段中即可。

上述工作，稍有点计算机基础的用户都可以很容易做到。

问：杀戮者为什么不对病毒进行实时监测？

答：现行大多数杀毒软件都具备实时监测病毒的功能，而杀戮者是按照专杀的原则设计的，所以没有设计实时监测。事实上，实时监测功能当遇到未知病毒的时候，它也很难判断未知程序是不是病毒，于是将判断权交给用户决定，而普通用户根本无法判别，这也是安装了杀毒软件/防火墙后为什么还会感染病毒的根本原因，使得实时监测病对未知病毒而言成了摆设，因此，杀戮者省略了这个看似重要但却实际无效的功能，免得白白浪费用户可贵的系统资源。

作者并不排斥用户安装防火墙，对一般用户而言，它多少会发挥一些作用。但作者二年多未安装任何杀毒软件而“裸奔”的事实证明，不安装具备实时监测功能的防火墙软件，虽然也会感染一些病毒，但同样可以利用一些专杀软件来清除病毒，保证系统安全的。

问：杀戮者还可以清除系统垃圾？

答：当然，但仅限注册用户才能实现。你只要将垃圾文件当成病毒一样对待，按照上面说的原理将垃圾文件添加到脚本中就可以实现。注册用户可以把垃圾文件单独编制成一个脚本，这些垃圾可以包含难以清除的已驻留内存的顽固垃圾，由杀戮者自动完成垃圾清理工作。

问：卸载杀戮者怎样做？

答：删除杀戮者所在的文件夹即可。

问：如何注册？

答：注册费 10 元/份，你只需联系 QQ：364489367 或 Email:zkmg@sohu.com，与作者取得联系即可。作者会记录你的注册信息，建立用户档案，提供注册码。由于注册码会因机器的不同而不同，当你重装系统的时候，注册码可能会因此发生变化，因此用户档案可以保证你能免费获得新的注册码。
如此注册方式，完全是出于对软件的权利保护，目前暂不提供网站代理注册，请用户谅解。

如欲获得软件的全部功能，请向作者注册软件！zkmg@sohu.com QQ:364489367

病毒杀戮者 2.10 最新杀毒脚本

清音妙曲 — Sat, 14 Jun 2008 21:37:56 +0800

//
//病毒杀戮者杀毒脚本 V2.01
//版权所有：zkmg@sohu.com 2008
//

[Service]

dohs;
IPRIP;
F1959A0A;fpids32;
kkdc;
mhfp;msertk;msert;mnsf;msskye;
Nonprotect;NPF;
odbcasvc;
XDSERVER;

[AutoRun]

ASocksrv;AVPSrv;
cmdbcs;
DbgHlp32;
EXPLORER.EXE;
fmsbbqi;
InternetExe;inudhya;
kkaddmin;Kvsc3;
LotusHlp;
mfchlp32;msccrt;MsPrint32D;
NAVMon32;
PTSShell;
RavMont;ROSE;
scufnchl;SHAProc;SoundMam;
SVCHOST = %SystemRoot%\SVCHOST.exe;
TBMonEx;tciocp32;
upxdnd;
wdfmgr.exe;WinForm;WinSysM;wsctf.exe;WSockDrv32;WSockDrv32;
XDSERVER;

[Hook]

ayCBDCBD1041.dll;aydabdab1050.dll;ayEZZEZZ1042.dll;ayEZZEZZ1043.dll;ayFKKFKK1050.dll;ayFKKFKK1052.dll;ayFKKFKK1053.dll;
ayFKKFKK1055.dll;ayHADHAD1052.dll;ayJHVJHV1015.dll;ayKADKAD1047.dll;ayNNBNNB1039.dll;ayNNBNNB1042.dll;ayPATPAT1012.dll;
ayQACQAC1024.dll;ayQACQAC1030.dll;aySACSAC1025.dll;aySADSAD1026.dll;aySADSAD1032.dll;ayWWQWWQ1001.dll;ayVUUVUU1005.dll;
aytfzg.dll;AVPSrv.dll;
bauhgnem.dll;
cuhad.dll;
DbgHlp32.dlL;dqWLVWLV1012.dll;
eohsom.dll;
ffcbdcbd1033.dll;fmsbbqi.dll;ffCBDCBD1036.dll;ffFKKFKK1047.dll;fNNBNNB1032.dll;
gjcscyc.dll;
ijougiemnaw.dll;
jyjlt.dll;
laixuhz.dll;lariytrz.dll;LotusHlp.dll;
msccrt.dll;mseion.sys;msepbe.dll;msosdohs00.dll;msosmhfp00.dll;msosmnsf00.dll;
NAVMon32.dll;
oqnauhc.dll;oqrthc.dll;
pahzij.dll;PTSShell.dll;
SHAProc.dat;SHAProc.dll;slcs.dll;
ttDABDAB1058.dll;ttEZZEZZ1046.dll;ttNNBNNB1047.dll;ttQACQAC1035.dll;ttQACQAC1038.dll;ttVUFVUF1011.dll;ttykjv.dll;
txRJHRJH1020.dll;txWLVWLV1005.dll;txWWQWWQ1006.dll;
vhqq.dll;
WSockDrv32.dll;
xbcvxb.dll;xjxr.dll;
yqhs.dll;

[Windows]

?.com;?.exe;?sy.exe;4kdC6.tmp.exe;4kdCD.tmp.exe;
1?.exe;2?.exe;3?.exe;4?.exe;5?.exe;6?.exe;7?.exe;8?.exe;9?.exe;684745?.bmp;684745.dll;919331M.exe;
a9bu.exe;alftyn.exe;AVPSrv.exE;
baulqg.exe;bdgmqeob.exe;bgicfd.exe;bincdwsa.exe;
cfcltdiz.exe;ciussi32.dll;cmd.exe.exe;cmdbcs.exe;Comlsass.exe;
DbgHlp32.exe;DCEOutputS.dll;dll.dll;DXDLG.EXE;
edodo*.exe;ExERoute.exe;exerouter.exe;EXERT.exe;EXP10RER.com;
fguken.exe;finders.com;fiosectc.exe;fmsbbqi.exe;fmsjhif.exe;foqgmeow.dat;funoos.exe;
geqbtdqb.dat;guobas.exe;gvvipntb.exe;gwsmhxuq.exe;
hbldmgdm.dll;huifitc.exe;
io.sys.bak;itcvzz.exe;
jhriwd.exe;
Kvsc3.exE;
lkuchg.exe;LotusHlp.exe;lsass.exe;Logo1_.exe;Logo_1.exe;
mfchlp32.exe;mgqvvvvi.dll;mdm.exe;
NAVMon32.exE;nkggiolgg.exe;nkggiolgg.exe.hiv;
odbcasvc.exe;odbcasvc.dll;
Packet.dll;patchbld.dll;PATCHW32.DLL;pmsgr.exe;posrqmie.dll;PTSShell.exe;
qq.exe;qqxyd.exe;qtazkr.exe;quit.exe;
r.exe;r0.exe;r00*.exe;regedit.exe.exe;rqrrlp.exe;rundl132.exe;rundl132.exe;
SERVICES.EXE;setdebug.exe;setuprs1.PIF;SHAProc.exe;smss.exe;svchost.exe;SVOHOST.exe;svshost.exe;SXS.exe;
tciocp32.exe;ticisms.exe;TmEngDrv.dll;TmUpdate.dll;
uda.exe;update??.exe;upxdnd.exe;
vnqbrvpb.dat;
WanPacket.dll;wdfmgr.exe;WinForm.exE;Winl0gon.exe;wjydtp.exe;wpcap.dll;WSockDrv32.exe;
xcopy.exe;
Z058_jpg.zip;

[System32]

?.com;?.exe;
1?.exe;2?.exe;3?.exe;4?.exe;5?.exe;6?.exe;7?.exe;8?.exe;9?.exe;
2DE760.EXE;3auhad.*;
abuvwy.dll;acwccg.dll;agtz.dll;afkotwawow.dll;afkovyezyzj.dll;amcompat.tlb;andpan.dll;aptllk.dll;auhad.cfg;auhad.dll;
AVPSrv.dll;awoyro.dll;axcfhp.dll;ay*.exe;ay*.dll;bchib.cfg;bchib.dll;bdscheca100.dll;bflpycgzyzj.dll;bwnlrp.dll;
C72C52D6.DLL;cbfzkq.dll;cdmpjj.dll;cisrv.exe;cuhad.*;cmdbcs.dll;cmdbcs.exe;command.pif;crugd.cfg;cusapf.dll;
cvvfqi.exe;DbgHlp32.dll;dhmrwadwow.dll;dqW*.*;dvdfcd.dll;dxdiag.com;
ekbemu.dll;ektvm.cfg;eohsom.cfg;eohsom.dll;explore.exe;EXPLORER.com;EXPLORER.EXE;
fehom.cfg;ffCBDCBD1033.dll;ffCBDCBD1036.dll;ffCBDCBD1036.exe;ffFKKFKK1047.dll;ffFKKFKK1047.exe;finder.com;fkptaehdj.dll;
fmsbbqi.dll;fNNBNNB1032.dll;fNNBNNB1032.exe;fnpibh.dll;fqxqdj.dll;fgyavu.dll;fvefcf.dll;
gajtzh.dll;gcwlww.dll;gjjte.cfg;gkeqrx.dll;gmnait.cfg;gnaixnauhqq.cfg;gnaixnauhqq.dll;gnolnait.cfg;gnolnait.dll;g0ld.com.exe;
gxjcgd.dll;HDDGuard.dll;hfjg.cfg;HHHCompress.dll;hjtyhh.dll;hlquaehdj.dll;hsoft.exe;hvukmu.dll;
idfmdt10.dll;ijougiemnaw.cfg;ijatnaw.cfg;ijougiemnaw.dll;imvkao.dll;ingnzj.dll;inrvehlzyzj.dll;intenet.exe;intranet.exe;
ipajgs.exe;iqnauhc.cfg;iqnauhc.dll;iqnnir.exe;ivuelg.exe;iwlasa.dll;ixffjg.dll;
jbtppo.dll;jfrmje.dll;jinjbb.dll;jrjqnz.dll;jsqc.cfg;jsqc.dll;jstrwq.dll;juacbihd.dll;jyjlt.*;
kbmjnx.dll;kduy.cfg;kekcmq.dll;khnoqr.dll;klygtk.dll;kpnxvi.dll;kqryct.dll;kptwehldj.dll;kspizi.dll;kvbvcn.dll;Kvsc3.dll;
kydssy.dll;laixuhz.cfg;laixuhz.dll;lariytrz.*;lglheq.exe;loagel.dll;LotusHlp.dll;lssass.exe;lsoegj.dll;LYLOADER.EXE;
LYMANGR.DLL;
mfchlp32.dll;mfchlp64.exe;mont.dll;motou.exe;mqblwd.dll;mscccdj32.dll;msccrt.dll;MSCONFIG.COM;MSDEG32.DLL;mseion.sys;
msepbe.dll;msepion.sys;msosmhfp00.dll;msosm*.dat;msos*.*;mstfhncn32.dll;MsPrint32D.dll;mswdm.exe;mswmkkk32.dll;mswwwdj32.dll;
mywl.dll;mywow.dll;
NAVMon32.dll;nbbiqi.dll;nejvhp.dll;neptune20.exe;niluw.cfg;niluw.dll;ngdclr.dll;nrwaeimwow.dll;NBNCompress.dll;nmkbsk.dll;
nnrbao.dll;nscompat.tlb;nydods.dll;nznazm.dll;
oaoimd.dll;oijrzb.dll;ombxfi.exe;onqozx.dll;oqnauhc.cfg;oqnauhc.dll;oqrthc.*;orzlmb.dll;
packet.dll;pahzij.dll;pahzij.cfg;pgnben.dll;phjpvj.dll;pkayww.dll;pncrt.dll;pndx5016.dll;pndx5032.dll;PortlessInst.exe;
Privilege.dat;pthreadVC.dll;PTSShell.dll;
qqxyd.*;
ravdm.exe;rdidcl.dll;rdnaoy.dll;regedit.com;REGKEY.hiv;repair3.html;rhs.cfg;ricmtj74.dll;rmoc3260.dll;rundll32.com;rwbfnruwm.dll;
sarzfd.dll;sehhter.cfg;serv.exe;services.dll;sffmow.dll;SHAProc.*;sjbkic.dll;smhhsn.dll;smss.com;SocksA.exe;svchostdll.dll;
sve.cfg;sve.dll;SVOHOST.exe;svvosts.exe;svxoce.dll;SXS.exe;
tassif.dll;tciocp32.dll;ticisms.exe;temp?.exe;tofkal.dll;tovogc.exe;tsreia.exe;
ttD*.dll;ttD*.exe;ttE*.dll;ttE*.exe;ttN*.exe;ttN*.dll;ttQ*.dll;ttQ*.exe;ttV*.dll;ttV*.exe;txR*.dll;txR*.exe;txW*.dll;txW*.exe;
ujnmhg.exe;ulitet.dll;uozugh.dll;upxdnd.dll;
vmvreg32.dll;
WanPacket.dll;WinForm.dll;winlogon.dll;winmedia.dll;winplayer.exe;wn.exe;wpcap.dll;wplbxy.dll;wsctf.exe;WSockDrv32.dll;
xbcvxb.cfg;xbcvxb.dll;xdhlruxwow.dll;xgnfn.cfg;xjxr.*;xmbqqq.exe;xnqnpq.dll;xpdhcp.dll;xrtmhu.dll;xwttmq.dll;xydll.dll;xyiwzn.dll;
ydgn.cfg;ydhkyk.exe;yejmswadj.dll;yqhs.*;
zbljwo.dll;zehowunm.dll;zewwzt.dll;zhhrwf.dll;zkiwkd.dll;znamit.dll;zrpccr.dll;ztdll.dll;

[EveryDisk]

40143.exe;
autorun.*;
copy.*;
host.*;
ntldr.exe;
RavMon.exe;riched32.dll;
seep.exe;setup.exe;Setup.pif;sgvar.exe;svchost.exe;svohost.exe;sxs.exe;
tel.xls.exe;
wlvn.exe;wn.exe;wz041.dll;
\runaut~1\*.*;
\runaut~1\;

[Registry]

HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache  = ifData{?:REG_SZ(AVPSrv)} -Name{?};
HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache  = ifData{?:REG_SZ(cfcltdiz)} -Name{?};
HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache  = ifData{?:REG_SZ(DbgHlp32)} -Name{?};
HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache  = ifData{?:REG_SZ(fmsbbqi)} -Name{?};
HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache  = ifData{?:REG_SZ(soundma)} -Name{?};
HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache  = ifData{?:REG_SZ(Kvsc3)} -Name{?};
HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache  = ifData{?:REG_SZ(LotusHlp)} -Name{?};
HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache  = ifData{?:REG_SZ(mfchlp32)} -Name{?};
HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache  = ifData{?:REG_SZ(msccrt)} -Name{?};
HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache = ifData{?:REG_SZ(SHAProc)} -Name{?};
HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache  = ifData{?:REG_SZ(tciocp32)} -Name{?};
HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache  = ifData{?:REG_SZ(upxdnd)} -Name{?};
HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache  = ifData{?:REG_SZ(wdfmgr)} -Name{?};
HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache  = ifData{?:REG_SZ(WSockDrv32)} -Name{?};
HKCU\Software\Microsoft\Internet Explorer\Explorer Bars\{C4EE31F3-4768-11D2-BE5C-00A0C9A83DA1}\FilesNamedMRU = -Name{000};
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360rpt.exe    = -Name{Debugger};
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360Safe.exe   = -Name{Debugger};
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360tray.exe   = -Name{Debugger};
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ACKWIN32.EXE = -Name{Debugger};
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ANTI-TROJAN.EXE = -Name{Debugger};
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\APVXDWIN.EXE = -Name{Debugger};
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AUTODOWN.EXE = -Name{Debugger};
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AVCONSOL.EXE = -Name{Debugger};
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AVGCTRL.EXE   = -Name{Debugger};
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AVKSERV.EXE   = -Name{Debugger};
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AVNT.EXE      = -Name{Debugger};
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AVE32.EXE     = -Name{Debugger};
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AVP.EXE       = -Name{Debugger};
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AVP32.EXE     = -Name{Debugger};
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AVPCC.EXE     = -Name{Debugger};
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AVPDOS32.EXE = -Name{Debugger};
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AVPM.EXE      = -Name{Debugger};
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AVPTC32.EXE   = -Name{Debugger};
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AVPUPD.EXE    = -Name{Debugger};
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AVSCHED32.EXE = -Name{Debugger};
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AVWIN95.EXE   = -Name{Debugger};
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AVWUPD32.EXE = -Name{Debugger};
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\BLACKD.EXE    = -Name{Debugger};
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\BLACKICE.EXE = -Name{Debugger};
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\CFIADMIN.EXE = -Name{Debugger};
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\CFIAUDIT.EXE = -Name{Debugger};
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\CFINET.EXE    = -Name{Debugger};
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\CFINET32.EXE = -Name{Debugger};
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\CLAW95.EXE    = -Name{Debugger};
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\CLAW95CF.EXE = -Name{Debugger};
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\CLEANER.EXE   = -Name{Debugger};
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\CLEANER3.EXE = -Name{Debugger};
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\DVP95.EXE     = -Name{Debugger};
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\DVP95_0.EXE   = -Name{Debugger};
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ECENGINE.EXE = -Name{Debugger};
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\EGHOST.EXE    = -Name{Debugger};
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ESAFE.EXE     = -Name{Debugger};
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\EXPWATCH.EXE = -Name{Debugger};
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\F-AGNT95.EXE = -Name{Debugger};
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\FESCUE.EXE    = -Name{Debugger};
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\FINDVIRU.EXE = -Name{Debugger};
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\FPROT.EXE     = -Name{Debugger};
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\F-PROT.EXE    = -Name{Debugger};
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\F-PROT95.EXE = -Name{Debugger};
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\FP-WIN.EXE    = -Name{Debugger};
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\FRW.EXE       = -Name{Debugger};
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\F-STOPW.EXE   = -Name{Debugger};
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IAMAPP.EXE    = -Name{Debugger};
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IAMSERV.EXE   = -Name{Debugger};
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IBMASN.EXE    = -Name{Debugger};
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IBMAVSP.EXE   = -Name{Debugger};
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ICLOAD95.EXE = -Name{Debugger};
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ICLOADNT.EXE = -Name{Debugger};
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ICMON.EXE     = -Name{Debugger};
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ICSUPP95.EXE = -Name{Debugger};
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ICSUPPNT.EXE = -Name{Debugger};
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IFACE.EXE     = -Name{Debugger};
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IOMON98.EXE   = -Name{Debugger};
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Iparmor.exe   = -Name{Debugger};
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\JEDI.EXE      = -Name{Debugger};
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAV32.exe     = -Name{Debugger};
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVPFW.EXE    = -Name{Debugger};
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVsvc.exe    = -Name{Debugger};
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVSvcUI.exe = -Name{Debugger};
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVFW.EXE      = -Name{Debugger};
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVMonXP.exe   = -Name{Debugger};
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVMonXP.kxp   = -Name{Debugger};
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVSrvXP.exe   = -Name{Debugger};
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVwsc.exe     = -Name{Debugger};
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KvXP.kxp      = -Name{Debugger};
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KWatchUI.EXE = -Name{Debugger};
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\LOCKDOWN2000.EXE= -Name{Debugger};
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options               = -Key{Logo_1.exe};
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options               = -Key{Logo1_.exe};
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\LOOKOUT.EXE   = -Name{Debugger};
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\LUALL.EXE     = -Name{Debugger};
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MAILMON.EXE   = -Name{Debugger};
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MOOLIVE.EXE   = -Name{Debugger};
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MPFTRAY.EXE   = -Name{Debugger};
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\N32SCANW.EXE = -Name{Debugger};
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Navapsvc.exe = -Name{Debugger};
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Navapw32.exe = -Name{Debugger};
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\NAVLU32.EXE   = -Name{Debugger};
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\NAVNT.EXE     = -Name{Debugger};
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\navw32.EXE    = -Name{Debugger};
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\NAVWNT.EXE    = -Name{Debugger};
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\NISUM.EXE     = -Name{Debugger};
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\NMain.exe     = -Name{Debugger};
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\NORMIST.EXE   = -Name{Debugger};
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\NUPGRADE.EXE = -Name{Debugger};
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\NVC95.EXE     = -Name{Debugger};
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PAVCL.EXE     = -Name{Debugger};
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PAVSCHED.EXE = -Name{Debugger};
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PAVW.EXE      = -Name{Debugger};
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PCCWIN98.EXE = -Name{Debugger};
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PCFWALLICON.EXE = -Name{Debugger};
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PERSFW.EXE    = -Name{Debugger};
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PFW.EXE       = -Name{Debugger};
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\QQLogin.exe   = -Name{Debugger};
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Rav.exe       = -Name{Debugger};
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RAV7.EXE      = -Name{Debugger};
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RAV7WIN.EXE   = -Name{Debugger};
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RAVmon.exe    = -Name{Debugger};
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RAVmonD.exe   = -Name{Debugger};
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RAVtimer.exe = -Name{Debugger};
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Rising.exe    = -Name{Debugger};
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SAFEWEB.EXE   = -Name{Debugger};
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SCAN32.EXE    = -Name{Debugger};
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SCAN95.EXE    = -Name{Debugger};
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SCANPM.EXE    = -Name{Debugger};
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SCRSCAN.EXE   = -Name{Debugger};
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SERV95.EXE    = -Name{Debugger};
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SMC.EXE       = -Name{Debugger};
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SPHINX.EXE    = -Name{Debugger};
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SWEEP95.EXE   = -Name{Debugger};
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\TBSCAN.EXE    = -Name{Debugger};
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\TCA.EXE       = -Name{Debugger};
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\TDS2-98.EXE   = -Name{Debugger};
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\TDS2-NT.EXE   = -Name{Debugger};
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\THGUARD.EXE   = -Name{Debugger};
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\TrojanHunter.exe = -Name{Debugger};
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\VET95.EXE     = -Name{Debugger};
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\VETTRAY.EXE   = -Name{Debugger};
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\VSCAN40.EXE   = -Name{Debugger};
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\VSECOMR.EXE   = -Name{Debugger};
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\VSHWIN32.EXE = -Name{Debugger};
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\VSSTAT.EXE    = -Name{Debugger};
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\WEBSCANX.EXE = -Name{Debugger};
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\WFINDV32.EXE = -Name{Debugger};
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\XYD2.exe      = -Name{Debugger};
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ZONEALARM.EXE = -Name{Debugger};
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\_AVP32.EXE    = -Name{Debugger};
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\_AVPCC.EXE    = -Name{Debugger};
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\_AVPM.EXE     = -Name{Debugger};
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\修复工具.exe = -Name{Debugger};
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cmd.exe       = -Name{Debugger};
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe   = -Name{Debugger};
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit32.exe = -Name{Debugger};
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedt32.exe = -Name{Debugger};
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe = -Name{Debugger};
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon                                   = -Data{SFCDisable:REG_DWORD(0)};
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon                                   = -Name{SFCScan};
HKLM\SYSTEM\CurrentControlSet\Control                                                        = -Data{WaitToKillServiceTimeout:REG_SZ(2000)};
HKLM\SYSTEM\CurrentControlSet\Control\Session Manager                                        = -Name{PendingFileRenameOperations};
HKLM\SYSTEM\ControlSet001\Control\Session Manager                                            = -Name{PendingFileRenameOperations};
HKLM\SYSTEM\ControlSet002\Control\Session Manager                                            = -Name{PendingFileRenameOperations};
HKLM\SYSTEM\ControlSet003\Control\Session Manager                                            = -Name{PendingFileRenameOperations};
HKLM\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL       = ifData{CheckedValue:REG_SZ(0||1)} +Data{CheckedValue:REG_DWORD(0)};
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows                                    = -Data{AppInit_DLLs:REG_SZ()};
//HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{*}                     = ifData{:REG_SZ(autorun.pif||Setup.pif)} -Key{Shell};
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{*}                     = ifData{:REG_SZ(ntldr.exe)} -Key{Shell};
HKUS\{*}                                                                                     = ifData{:REG_SZ(ntldr.exe)} -Key{Shell};

[Other]

C:\_uninsep.bat;C:\ca*.bat;C:\d2b*.bat;C:\b4*.bat;C:\e7d*.bat;
C:\_*.bat;C:\0*.bat;C:\1*.bat;C:\2*.bat;C:\3*.bat;C:\4*.bat;C:\5*.bat;C:\6*.bat;C:\7*.bat;C:\8*.bat;C:\9*.bat;
%Cache%\*.exe;%Cache%\*.dll;
%LocalSettings%\Temp\?.exe;%LocalSettings%\Temp\dns.exe;
%ProgramFiles%\svhost32.exe;
%ProgramFiles%\command\svhost32.exe;
%ProgramFiles%\internet explorer\boot.exe;
%ProgramFiles%\internet explorer\coot.exe;
%ProgramFiles%\internet explorer\explor.exe;
%ProgramFiles%\internet explorer\intern.exe;
%ProgramFiles%\internet explorer\plugins\system2.sys;
%ProgramFiles%\internet explorer\rundll32.exe;
%ProgramFiles%\internet explorer\svchost.exe;
%ProgramFiles%\internet explorer\zt.exe;
%ProgramFiles%\internet explorer\plugins\system.sys;
%ProgramFiles%\internet explorer\boot.exe;
%ProgramFiles%\internet explorer\coot.exe;
%ProgramFiles%\internet explorer\explor.exe;
%ProgramFiles%\internet explorer\intern.exe;
%ProgramFiles%\internet explorer\plugins\system2.sys;
%ProgramFiles%\internet explorer\rundll32.exe;
%ProgramFiles%\internet explorer\svchost.exe;
%ProgramFiles%\internet explorer\zt.exe;
%ProgramFiles%\internet explorer\plugins\system.sys;
%ProgramFiles%\Internet Explorer\iexplore.com;
%ProgramFiles%\Internet Explorer\PLUGINS\NvSys_55.Sys;
%ProgramFiles%\Internet Explorer\PLUGINS\WinSys8v.Sys;
%ProgramFiles%\Internet Explorer\PLUGINS\SysWin7s.Jmp;
%ProgramFiles%\Microsoft\svhost32.exe;
%ProgramFiles%\microsoft\svchost32.exe;
%ProgramFiles%\microsoft\rundll32.exe;
%ProgramFiles%\microsoft\svchost.exe;
%ProgramFiles%\microsoft\service.exe;
%ProgramFiles%\svchost32.exe;
%SystemRoot%\System32\command\Rundll32.exe;
%SystemRoot%\System32\Download\swflash.dll;
%SystemRoot%\system32\DRIVERS\msaclue.sys;
%SystemRoot%\system32\drivers\*.tmp;
%SystemRoot%\system32\drivers\msyecp.sys;
%SystemRoot%\system32\drivers\mselk.sys;
%SystemRoot%\system32\drivers\Ewatch.exe;
%SystemRoot%\system32\drivers\msosfpids32.sys;
%SystemRoot%\system32\qqedit\msvcr71.dll;
%SystemRoot%\system32\qqedit\npkcrypt.dll;
%SystemRoot%\system32\qqedit\npkcrypt.sys;
%SystemRoot%\system32\qqedit\npkcusb.sys;
%SystemRoot%\system32\qqedit\npkpdb.dll;
%SystemRoot%\system32\qqedit\qqedit.dll;
%SystemRoot%\Config\svhost32.exe;
%SystemRoot%\debug\debugp~1.exe;
%SystemRoot%\Downlo~1\rundll32.exe;
%SystemRoot%\Downlo~1\svhost32.exe;
%SystemRoot%\uninstall\rundl132.exe;
%SystemRoot%\system\tes.exe;
%SystemRoot%\command\rundll32.exe;
%SystemRoot%\Debug\DebugProgram.exe;
%SystemRoot%\fonts\*.com;%SystemRoot%\fonts\*.dll;%SystemRoot%\fonts\*.exe;
%SystemRoot%\Fonts\*\system\*.*;
%SystemRoot%\Prefetch\*.*;

[Find]

motou.exe;

[End]

说明：本脚本适合于病毒杀戮者 2.10 最新版本注册用户使用，用户可以针对未知病毒特征，自行在上述各字段中添加病毒服务、进程、模块、注册表等项目，即可立即完成软件的自我升级。未注册用户可使用这个脚本的加密版本（即程序自带的脚本），无法转换为此明文脚本，更不能升级脚本！

病毒杀戮者 2.10 正式发布

清音妙曲 — Thu, 19 Jun 2008 09:18:43 +0800

病毒杀戮者 2.10 是一款针对特定病毒的绿色开放式专杀软件，无须安装，不驻留内存，不占用系统资源，可以躲避绝大多数木马病毒的侦测和屏蔽，杀毒无须进入安全模式，无须重启系统，是目前XP平台下唯一具备支持用户自主扩充杀毒脚本，查杀未知病毒功能的新型专杀软件。

经过再次修改和调试，这款软件终于可以和大家见面了，现已经由天空软件站提供下载，下载地址：

病毒杀戮者 V2.10：http://tele.skycn.com/soft/45572.html

另一款免费软件 Wdfmgr 病毒专杀 1.0 软件也同时提供下载，下载地址：

Wdfmgr 病毒专杀工具：http://tele.skycn.com/soft/45573.html

有关病毒杀戮者的软件及脚本升级信息，以后将不定期在此进行更新！请各位网友注意，及时升级软件或脚本！

滴水之恩，当涌泉相报 ---- 赈灾排行榜是对人类爱心的残酷践踏

清音妙曲 — Thu, 22 May 2008 23:29:08 +0800

这两天来，所谓“国际铁公鸡”排行榜的手机短信漫天飞，着实让人吃惊不小。网上更是热闹非凡，关于“国际铁公鸡”排行榜的帖子充斥着各个网站论坛，网民们纷纷跟贴，群起而攻之，口诛笔伐，大有打一场新的人民战争之势。很快，商务部部长陈德铭出来为这些“国际铁公鸡”们正名了，指出“‘铁公鸡’说法无依据，对捐款宣传不够”。

正当全国人民在党中央统一部署下，众志成城、抗震救灾的重大历史时刻，出现这样的不和谐插曲，真让人心寒。新闻的制造者无论是出于什么目的，都是对这场抗震救灾伟大斗争的恶意破坏，是对人类爱心的残酷践踏。

从表面上看，他们似乎是在揭露“洋鬼子”们知恩不报的恶行，以一种十分的爱国主义面孔出现，唤起民众的支持和响应。人们在大灾面前，心理往往会变得十分脆弱和情绪化，这种明显带有煽动性的言论，就更容易引起人们的共鸣，使人失去理智的判断，即使是一种十分低劣，漏洞百出的谣言，人们也更愿意宁信其有，不信其无，民族情绪就很容易被调动起来。

其实，这些谣言，如果放在平时，是极少有人会把它当回事的，因为极其简单的调查就可以使谣言不攻自破。但是在大灾难面前，人们被恐惧的环境所笼罩，心理压力增大，情绪低落，理智就会丧失，容易被感情所控制，辨别力大大降低。所以，所谓“国际铁公鸡”排行榜这类违背人们善良心理底线的谣言就会立即唤起人们的愤怒情绪，人们会不辩是非、不由自主地进行谩骂和攻击，这实际上是人们通过这种原始的发泄方式来减轻自身的心理压力，释放压抑已久的情绪而已，如果谁要唱反调的话，这种情绪会马上转移到你身上去的。果然，陈德铭的解释，立刻引起许多网友的质疑和谩骂，说陈部长吃了人家的好，在替人家开脱云云。

本来，我们中国人遭了灾，外国人出于人类特有的慈悲之心为灾区捐些钱物，是人类最美好的善良举动，无论多少，都是值得我们感恩戴德，千恩万谢的。“滴水之恩，当涌泉相报”，这是我们的祖宗总结出来的古训，是我们作为人应该具有的最基本的善良品质。既如此，我们有什么理由对人家争多嫌少，还搞出个什么排行榜呢？

且不说外国人如何动作，看看我们国内，我们自己，我们身边的朋友，同事，我们的领导同志，难道都是按收入捐的款吗？我想大家人人心里都有本帐。捐多捐少，听凭自愿，没人可以强迫。你能说一个小朋友捐了一毛钱就是不爱国，没有善心？你能说一个老板捐了一千万，一个亿就一定比这个小朋友善心大一亿倍，十亿倍？我想无须我回答这个问题，每个人都会有公正答案的。

试问，如果谁硬要搞个什么排行榜的话，那我请问，你捐了多少？你在排行榜上排第几？如果排不到第一的话，那么你有什么资格搞排行榜？我敢说，即使是真的排在第一的人，他也绝不会这样无聊地搞这个东西的，这是由他的实力和人格决定的，而真正无聊更舍不得捐钱的龌龊小人才会如此的。

如果有人说，那些外国人都是靠中国人养肥的，这个时候捐得少了，表明他对中国人没有诚意，没有良心，我们为什么还要继续养着他？让他滚回老家去，也许会叫他认识什么是良心。呵呵，中国人能如此小气吗？吃我一个，就该还我二个，这是你的逻辑，是强盗逻辑，你忘了古训吗？如果忘了，那你还配作中国人吗？这种逻辑绝不是中国人的逻辑！

我听说过这样一个故事，说的是一家在大陆的美国公司，在汶川地震不久，就在公司内部员工中征集募捐，他们对中国员工说，你们捐一块，公司就捐二块，你捐一万，公司就捐二万！中国员工们的考虑是，不能便宜了美国鬼子，让他们也出点血，咱就最少捐一千吧！我不知道这个公司最后的结果是什么，但确实让我心里很难过。是我们的员工更爱国呢，还是美国鬼子在考验中国人？我不愿意在深究下去！

所以，我认为，对于赈灾捐款这样的义举，绝不能以金钱的多少衡量善举，更不能搞什么排行榜之类的违背人类道德的活动。这种举动，是藐视人性、践踏良心的不义之举，也是对所有捐款人一片爱心的最大嘲讽！我们要以平常心面对这场巨大的自然灾害，尽快从地震的阴影中解脱出来，调整好心态，善待自己，善待大家，不要让别有用心的人钻了我们的心理空子！

绝句一首哀悼四川罹难亡魂

清音妙曲 — Thu, 22 May 2008 13:49:20 +0800

2008年5月19日14时28分，笛声突然划破长空，齐声哀鸣，全国人民同时默哀三分钟，以悼念在在四川汶川特大地震中不幸罹难的四万多骨肉同胞。举国哀悼万千罹难百姓，亘古未有，表明中国政府尊重人民生命，视人民利益高于一切的博大胸怀，坚定打赢抗震救灾这场硬仗的气魄和勇气。感人肺腑，遂赋诗一首。

笛声齐鸣半降旗，

告慰亡魂寄哀思。

举国合力救灾急，

誓还川蜀河山丽。