禁用文件的命令
2008-07-06 22:23
| 这里就用到了一个禁用文件的命令了,禁用了文件,文件就不会运行,这样就可以轻松清除了~~ 先打开cmd (按开始-运行-输入“CMD”-打开-出现黑框) 然后输入下边说要输入的命令,回车。 reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\要禁止运行的文件" /v debugger /t reg_sz /d debugfile.exe /f 比如要禁用d22e1.exe,那么楼主就要输入这个命令 reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\d22e1.exe" /v debugger /t reg_sz /d debugfile.exe /f 这样的话,即使d22e1.exe文件存在也没法运行了,病毒不会发作了呵呵~ 楼主不信的话可以自己试试俄~比如禁止QQ运行。 那么命令就是 reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\QQ.exe" /v debugger /t reg_sz /d debugfile.exe /f 输入后你关掉QQ就再也打不开了 取消方法: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\QQ.exe" /f 以上用的是IFEO技术禁用文件的方法实现禁用病毒的。 |
【再谈ARP发起欺骗攻击解决方法】
2008-04-28 16:28
| 故障现象:机器以前可正常上网的,突然出现可认证,不能上网的现象(无法ping通网关),重启机器或在MSDOS窗口下运行命令ARP -d后,又可恢复上网一段时间。 故障原因:这是APR病毒欺骗攻击造成的。 引起问题的原因一般是由传奇外挂携带的ARP木马攻击。当在局域网内使用上述外挂时,外挂携带的病毒会将该机器的MAC地址映射到网关的IP地址上,向局域网内大量发送ARP包,从而致使同一网段地址内的其它机器误将其作为网关,这就是为什么掉线时内网是互通的,计算机却不能上网的原因。 临时处理对策: 步骤一、在能上网时,进入MS-DOS窗口,输入命令:arp –a 查看网关IP对应的正确MAC地址,将其记录下来。 注:如果已经不能上网,则先运行一次命令arp –d将arp缓存中的内容删空,计算机可暂时恢复上网(攻击如果不停止的话),一旦能上网就立即将网络断掉(禁用网卡或拔掉网线),再运行arp –a。 步骤二、如果已经有网关的正确MAC地址,在不能上网时,手工将网关IP和正确MAC绑定,可确保计算机不再被攻击影响。手工绑定可在MS-DOS窗口下运行以下命令: arp –s 网关IP 网关MAC 例如:假设计算机所处网段的网关为218.197.192.254,本机地址为218.197.192.1在计算机上运行arp –a后输出如下: C:\Documents and Settings>arp -a Interface: 218.197.192.1 --- 0x2 Internet Address Physical Address Type 218.197.192.254 00-01-02-03-04-05 dynamic 其中00-01-02-03-04-05就是网关218.197.192.254对应的MAC地址,类型是动态(dynamic)的,因此是可被改变。 被攻击后,再用该命令查看,就会发现该MAC已经被替换成攻击机器的MAC,如果大家希望能找出攻击机器,彻底根除攻击,可以在此时将该MAC记录下来,为以后查找做准备。 手工绑定的命令为: arp –s 218.197.192.254 00-01-02-03-04-05 绑定完,可再用arp –a查看arp缓存: C:\Documents and Settings>arp -a Interface: 218.197.192.1 --- 0x2 Internet Address Physical Address Type 218.197.192.254 00-01-02-03-04-05 static 这时,类型变为静态(static),就不会再受攻击影响了。但是,需要说明的是,手工绑定在计算机关机重开机后就会失效,需要再绑定。所以,要彻底根除攻击,只有找出网段内被病毒感染的计算机,令其杀毒,方可解决。 找出病毒计算机的方法: 如果已有病毒计算机的MAC地址,可使用NBTSCAN软件找出网段内与该MAC地址对应的IP,即病毒计算机的IP地址,然后可报告校网络中心对其进行查封。 解决措施 NBTSCAN的使用方法: 下载nbtscan.rar到硬盘后解压,然后将cygwin1.dll和nbtscan.exe两文件拷贝到c:\windows\system32(或system)下,进入MSDOS窗口就可以输入命令:nbtscan -r 218.197.192.0/24 (假设本机所处的网段是218.197.192,掩码是255.255.255.0;实际使用该命令时,应将斜体字部分改为正确的网段)。 注:使用nbtscan时,有时因为有些计算机安装防火墙软件,nbtscan的输出不全,但在计算机的arp缓存中却能有所反应,所以使用nbtscan时,还可同时查看arp缓存,就能得到比较完全的网段内计算机IP与MAC的对应关系。 补充一下: Anti ARP Sniffer 使用说明 一、功能说明: 使用Anti ARP Sniffer可以防止利用ARP技术进行数据包截取以及防止利用ARP技术发送地址冲突数据包。 二、使用说明: 1、ARP欺骗: 填入网关IP地址,点击[获取网关mac地址]将会显示出网关的MAC地址。点击[自动防护]即可保护当前网卡与该网关的通信不会被第三方监听。 注意:如出现ARP欺骗提示,这说明攻击者发送了ARP欺骗数据包来获取网卡的数据包,如果您想追踪攻击来源请记住攻击者的MAC地址,利用MAC地址扫描器可以找出IP 对应的MAC地址。 2、IP地址冲突 首先点击“恢复默认”然后点击“防护地址冲突”。 如频繁的出现IP地址冲突,这说明攻击者频繁发送ARP欺骗数据包,才会出现IP冲突的警告,利用Anti ARP Sniffer可以防止此类攻击。 首先您需要知道冲突的MAC地址,windows会记录这些错误。 查看具体方法如下: 右击[我的电脑]-->[管理]-->点击[事件查看器]-->点击[系统]-->查看来源为--->双击事件可以看到显示地址发生冲突,并记录了该MAC地址,请复制该MAC地址并填入Anti ARP Sniffer的本地MAC地址输入框中(请注意将:转换为-),输入完成之后点击[防护地址冲突],为了使MAC地址生效请禁用本地网卡然后再启用网卡,在CMD命令行中输入Ipconfig /all,查看当前MAC地址是否与本地MAC地址输入框中的MAC地址相符,如果更改失败请与我联系。如果成功将不再会显示地址冲突。 注意:如果您想恢复默认MAC地址,请点击[恢复默认],为了使MAC地址生效请禁用本地网卡然后再启用网卡。 当然可以下载ARP防火墙回来,也是有一定的效果的 |
XP設置大全
2007-11-28 22:01
| 我们都习惯在桌面上放不少快捷方式,这里面很多都是我们非常熟悉的。快捷方式下面的文字看起来很碍眼,能不能改成空白的?系统能让空白的文件名存在吗? WindowsXP桌面图标下总是有一些文字,绝大多数程序图标我们都相当清楚,如果能让它消失,就可以使桌面更加清爽。我找到了一个简单的方法来消除它,那就是把图标重命名为空格。当然系统是绝不会允许使用空格命名的,所以还需要有点小技巧。 第一步:确定桌面上图标下的文字背景为透明。按Win+Break键打开“系统属性”,接着在“高级”选项卡中单击性能的“设置”按钮,从视觉效果标签下选中“调整为最佳外观”或选中“自定义”,再从下面列表中选中“在桌面上为图标标签使用阴影”确定进行设置。 第二步:右击桌面图标选择重命名,选择“中文-内码”输入法输入aad3,输入一个空格,回车确定,再选中其他图标,马上可以看到图标下的文字已完全消失了。按此方法可以逐一把各图标下的文字消去。当然你不熟悉的图标就不要消除文字了。 小提示 ★其实还可以按住Alt键,然后在小键盘输入“0160”,这样也可以达到同样效果。 ★若找不到内码输入法,可右击输入法切换图标选择“设置”,再单击“添加”按钮从“键盘布局/输入法”下拉列表中选择安装。键入编码应在aaa1- affe之间,如:abc1、abc2、abd1、abd2……,字库中在这些编码没有字符,所以虽是不同的字但都同样显示为空格,你只要不重复用同一编码命名,系统是不会抗议的。此外还要选择后面一点的编码以免调用到造字程序做的字。 回收站改名方法: 1、按<开始>键 -> 按<运行> -> 输入 regedit 2、按 ->HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID 按 -> {645FF040-5081-101B-9F08-00AA002F954E} -> shellFolder主键。 3、左键双击右侧窗口的"Attributes",在弹出的对话框中将键值"40 01 00 20"修改为"50 01 00 20"。 4、如果右侧窗口有“CallForAttributes” 则删除。 5、关闭"注册表修改器",这时你的"回收站"的名字就可想怎么改就怎么改了。呵呵~ ~!(不用重启就可以看到效果偶^_^) 创建一个无名文件夹 打开命令行提示符,进入要创建文件夹的目录,比如:C:,输入“md”后,按住Alt键,再输入“255”,回车后再到C盘看看,是不是多了一个无名文件夹呢? 不过,如果你选择了一副漂亮的图片放在桌面上,却仍然被一些图标所阻挡着,是否会有不爽的感觉呢? 看我的桌面: 右击桌面--排列图标--取消"显示桌面图标", 右击任务栏--工具栏--勾选"桌面",桌面上程序名称全部控制在四个汉字以内,英文名能简写的简写,不能简写的后面的单词用~省略,只要自己知道就行~O~ 在任务栏的快速启动栏放置网络连接和IE两个常用的图标,其他一概不要. 另外我的任务栏在屏幕上方,方法:右击任务栏,取消锁定任务栏,再用鼠标拖动任务栏至屏幕上方再锁定即可. 这样在开机后,我的桌面空无一物,任务栏左边只有"开始","网络连接"和"IE",右边只有"桌面",杀毒软件(总是隐藏状态)和时间. 我的开始菜单只有"所有程序","注消"和"关闭计算机"三个按钮,方法如下: 右击任务栏--属性--开始菜单--自定义, 1.在常规选项卡下选择小图标,开始菜单程序数目选择0并清除列表,取消在开始菜单上显示"Internet"和"电子邮件", 2.在高级选项卡下,取消突出显示新安装的程序,在"开始菜单项目"里只勾选"启用拖放",其他的一概不勾选或选择"不显示此项目",取消"列出我最近打开的文档"对勾并清除列表. 提示:打开运行程序的热键--Win+R, 打开搜索程序的热键--Win+F 打开帮助和支持的热键--Win+F1 显示桌面的热键--Win+D 控制面板和其他原来在开始菜单显示的程序因为使用率不高,可从我的电脑进入. 简单明了,清爽之极的我的电脑和开始菜单打造完成. |
如何进行局域网设置
2007-06-23 21:21
| 如何利用路由器设置局域网,我们同事用的是TP-LINK路由器共用一条网线上网,听说可以用路由器实现虚服务器实现资源共享,但是XD是个小鸟,不知从哪里下手,请各位大侠指教,谢过。 家庭或小型办公室,如果有两台或更多的计算机,很自然地希望将他们组成一个网络。为方便叙述,以下约定将其称为局域网。在家庭环境下,可用这个网络来共享资源、玩那些需要多人参与的游戏、共用一个调制解调器享用Internet连接等等。办公室中,利用这样的网络,主要解决共享外设如打印机等,此外,办公室局域网也是多人协作工作的基础设施。 别看这样小的网络工程,在过去也是需要专业人员来进行组网配置的。那时,大部分操作的都是手工的,一般的用户都不具备相应...... |
risk.exploit.ani病毒
2007-05-08 23:15
|
怎么添加和删除快速启动按钮
2007-05-06 14:03
|
svchost.exe
2007-05-04 12:55
svchost中可以包含多个服务 1.错误的解决方法描述
3.正确的解决办法
既然系统中Svchost.exe进程数与是否中毒无关,我们究竟如何区别正常的和病毒伪造的Svchost进程呢? 我们可以使用下面两种方法来鉴别:
|
加载c:\\\\PROGRA~1\\\\3721\\.......
2007-05-04 11:48
|
kill病毒
2007-05-03 18:36
这个病毒其实在去年11月就出现的 威力很大 我是最近被感染的 翻然途径是使用移动盘 U盘 将U盘在某台没有感染的机器上运行后 转载到自己电脑上 系统搜索U盘的系统自动生成病毒感染文件 对于经常使用U盘拷贝数据的我们 这个病毒实在危险 症状:右键点磁盘会显示多了一个AUTO选项 开始是系统变慢 然后注册表被修改 导致部分系统内部工具无法运行 比如无法显示隐藏文件 双击打不开磁盘 打开任务管理器 应用程序会显示KILL.EXCEL 其实这个并不是EXCEL格式文件 它只是用EXCEL伪装自己 它是一个tel.xls.exe文件 我们打开 C:WINDOWSsystem32 可以找到 SocksA.exe 它就是病毒!!!删掉OK了吗?不!它只是一个执行文件 执行文件背后有一个拷贝文件 所以即使删除SocksA.exe 拷贝文件都可以自动运行拷贝出SocksA.exe 而且拷贝文件是无法用我们的肉眼去找到的 因为它早就穿了衣服隐藏起来了 就算找的到拷贝文件 那还有一分最初感染的脚本文件呢
目前所有的病毒防护工具都无能为力 木马查杀可以检测到可以文件 杀掉后 病毒拷贝病毒再次运行 幸运者只是系统变慢 倒霉的话 病毒将试图修改你的防火墙和杀毒软件 使其不能工作 TMD着病毒还玩循环呢
|
