关于趋势科技发现病毒以后对系统修改的探索【动态图象操作教程＋懒人专用方案】

驭龙

相关情况看http://bbs.kafan.cn/thread-1406924-1-1.html

功夫不负有心人，终于解决最后一个问题，现在本帖操作基本无误！


注意，本帖提供的修改方法，未必百分之百有效，但是我已经亲自测试，在我的个人系统环境有效。大家试一试吧，如果不行的话，请见谅。

今后本帖将不断完善，最终确定最少修改选项的最佳修改方案

本帖仅供参考，不代表任何问题。
--------------------------------------------------------------------------------------------------------------------
懒人专用方案：

在操作之前请先更新趋势科技，然后退出趋势科技，否则，趋势科技的自我保护是不允许替换文件


将解压以后的附件tsc.ini.cfg，复制到下面的位置，替换原来的tsc.ini.cfg配置文件，该文件是损害修复引擎配置文件。
C:\Program Files\Trend Micro\AMSP\resource\pattern\c3t1208221976l-1p-1r-1o-1\12.7\tsc.ini.cfg
（注：c3t1208221976l-1p-1r-1o-1文件夹后面的文件夹是版本号，今后可能会在升级后发生变化）


接着将解压以后的附件tsc.ini，复制到下面的位置，替换原来的tsc.ini配置文件，该文件是特洛伊木马程序扫描引擎的配置文件。
C:\Program Files\Trend Micro\AMSP\module\10002\2.5.1331\7.0.1028\tsc.ini
（注：10002文件夹后面的两个文件夹是版本号，今后可能会在升级后发生变化）

注意一旦趋势科技更新特洛伊木马程序扫描引擎或损坏清理引擎配置，请重新进行修改！

完成上面两个文件替换以后，将C:\Windows\里面的RegBootClean程序，删除，使C:\Windows文件夹不存在这个修复注册表工具。

RegBootClean在重新启动以后，由于趋势科技修复性的修改注册值，所以开机以后先启动RegBootClean程序，然后按照默认修复注册值，最后再启动资源管理器Explorer进程。RegBootClean是开机黑屏和修复系统设置的元凶！

提醒一下如果趋势科技提醒重新启动计算机，来清理清理威胁时，请不要重新启动因为此时趋势科技将重建RegBootClean程序，请删除RegBootClean程序再重新启动，否则，RegBootClean会默认修复系统！

===========================================================
手动修改流程：

注意一旦趋势科技更新特洛伊木马程序扫描引擎或损坏清理引擎配置，请重新进行修改！


记事本要以管理员身份运行，才能打开相关文件，修改之前需要退出趋势，再修改



C:\Program Files\Trend Micro\AMSP\module\10002\2.5.1331\7.0.1028\tsc.INI



C:\Program Files\Trend Micro\AMSP\resource\pattern\c3t1208221976l-1p-1r-1o-1\12.7\tsc.ini.cfg


两个文件进行修改，之后把相关项1改成0。

要注意必须让tsc.ini的注册值与tsc.ini.cfg完全相同，否则，趋势科技在更新的时候，会把tsc.ini还原，那样就不能保存修改。

功能修改注册值：
ConsentPromptBehaviorAdmin=0
PromptOnSecureDesktop=0
上面两个选项是UAC控制，第一个是恢复UAC高级别选项，第二个是UAC恢复默认选项，全部1改0以后，趋势科技不再修改UAC设置。

SuperHidden=0
1改0以后，趋势科技不再修改桌面背景。

Start page=0
1改0以后，趋势科技不再修改IE首页设置。

ShowSuperHidden=0
1改0以后，趋势科技不再修改显示隐藏文件设置。


修改完成上面的两个文件以后，将C:\Windows\里面的RegBootClean程序删除，使C:\Windows文件夹不存在这个修复注册表工具。


RegBootClean在重新启动以后，由于趋势科技修复性的修改注册值，所以开机以后先启动RegBootClean程序，然后按照默认修复注册值，最后再启动资源管理器Explorer进程。RegBootClean是开机黑屏和修复系统设置的元凶！


再次提醒一下如果趋势科技提醒重新启动计算机，来清理清理威胁时，请不要重新启动因为此时趋势科技将重建RegBootClean程序，请删除RegBootClean程序再重新启动，否则，RegBootClean会默认修复系统！

寒山竹语

这样几乎就差不多了，也欢迎楼主后续的补充。这是个好消息。希望用趋势又恐怖的同学参考。

驭龙

寒山竹语 发表于 2012-11-8 16:15
这样几乎就差不多了，也欢迎楼主后续的补充。这是个好消息。希望用趋势又恐怖的同学参考。

我明后天再仔细测试一下，然后把修改好的TSC文件发上了，到时候我再仔细研究一下，不能对不起这个技术值，是吧

子夜看星

难得见到加技术的贴。。。收下了，谢

寒山竹语

驭龙 发表于 2012-11-8 16:19
我明后天再仔细测试一下，然后把修改好的TSC文件发上了，到时候我再仔细研究一下，不能对不起这个技术值， ...

必须的呀，希望继续跟进。或许，我也可以反映给上海那帮人，继续深入。如果这样看，这还真不是bug。只能说是设计上的缺陷和思路。

驭龙

寒山竹语 发表于 2012-11-8 16:20
必须的呀，希望继续跟进。或许，我也可以反映给上海那帮人，继续深入。如果这样看，这还真不是bug。只能说 ...

好的，我现在的系统上正安装了蛐蛐，所以我有时间的时候，会跟进，更新帖子内容的。

嗯，这个不是bug，是清理修复引擎的概念问题，真的不是BUG

明月丶舞白衣

一技术到手了 关系驭龙哥  打劫

明月丶舞白衣

寒山竹语 发表于 2012-11-8 16:15
这样几乎就差不多了，也欢迎楼主后续的补充。这是个好消息。希望用趋势又恐怖的同学参考。

早知道我最近动手了 求魅力

Sammi888

感谢我们版主的努力，也感谢楼主的付出！如果可能，我们会和大家一起解决这个叫大家不舒服的问题！谢谢楼主。

明月丶舞白衣

驭龙 发表于 2012-11-8 16:24
好的，我现在的系统上正安装了蛐蛐，所以我有时间的时候，会跟进，更新帖子内容的。

嗯，这个不是bug， ...

清理修复为什么非要那样做呢？说真的  这的确不太好……