- 挂牌上市企业
- 60秒人工响应
- 99.99%连通率
- 7*24h人工
- 故障100倍补偿
删除冲击波和冲击波克星病毒解决方案(2) |
| 发布时间: 2012/7/4 11:46:33 |
|
二、生成删除冲击波克星在注册表中设置的服务项的文件
这一步很简单根据中联绿盟给出的注册表键值,直接从注册表中删除,该文件如下
三、生成删除冲击波克星文件的Bat文件
如果按照步骤执行,以上的net stop两句本来是多余的,但为了防止用户不按顺序操作,所以特意加上,就当是最简单的容错吧。 四、生成不启动"阻止ICMP响应"的reg文件
五、交付用户使用 以上的文件都是文本格式,十分小巧,可以很简单地用一张软盘带走。所以win2k的用户可以用以下的方式来进行对冲击波的防御/杀除/修复工作(以下操作说明是当时天缘针对几乎没有什么电脑使用知识的网内Win2000用户而写的,同行们看了请不要指责我说法不够专业。粗体是当时写给用户的操作说明;小字是我对每一步操作的解释,原文中是没有的) 1. 拔掉网线(注意:其实这步本来断掉网络连接就可以了,但是因为实际中发现,让用户拔掉网线远比教他断开网络连接容易,因此就这样咯) 2. 双击使用officmp.reg,把本机的ICMP响应停掉; 3. 双击使用save.reg,把冲击波从服务里清除 (注意:由于windows的机理是在Explorer.exe调用的时候和开机启动的时候才调用注册表里的最新设置,因此其实2、3步对注册表的修改设置必须要重新启动机器才能起到作用) 4. 重新启动系统 5. 双击使用save.bat,把冲击波文件给干掉 (注意:之所以安排在这里,一是的确在确认该病毒文件没使用时才能用del命令杀除,另外一个原因就是利用用户操作所花费的时间,巧妙地把开机ip安全策略实施时会放行大概10个icmp的弊病回避开) 6. 插上网线,上网在xxxx地址下针对win2k的sp4补丁,和RPC漏洞补丁 (注意:如上所述,在这一步插上网线时,ip策略已经被应用,就不会产生有染毒机器发到本机的icmp被响应的情况了,确保了安全) 7. 安装sp4,并重新启动 8. 安装RPC漏洞补丁,并重新启动系统 9. 双击使用onicmp.reg文件,打开本机的ICMP响应; 经过以上9步,利用reg文件和bat文件,很方便地解决了内网中win2k用户因为冲击波克星无法上网下载sp4补丁,而安装RPC漏洞补丁又必须先装上sp4(其实是sp2以上就够了,但都是100多M的大家伙)这个"先有鸡还是先有蛋"的死锁问题。而且步骤简单,所以操作对用户透明,只需要看好软盘copy回去的文件名依照步骤进行双击操作就行了。半天后,整个网络清净了。 冲击波和冲击波克星病毒解决方案总结: 记得在上一次的网管笔记中,我特别提到网管应该熟悉操作系统的结构和操作系统的内部工具以及脚本语言。在这次的真实例子中,我们用到了哪些知识呢?本地安全策略的设置、本地安全设置在注册表中的位置、如何在reg文件中删除注册表内一个键值、注册表设置的作用时间、如何写简单的bat文件、如何阅读利用国内外组织的安全公告。网管不少时候就象救生员一样,是在危机关头必须尽快作出方案来解决问题,因此平时对知识细节的掌握就格外重要了。 一旦找到存活主机,就会尝试用DCOM RPC溢出。溢出成功后监听本机随机的一个小于1000的TCP端口,等待目标主机回连,连接成功后首先发送"dir dllcache\tftpd.exe"和"dir wins\dllhost.exe"命令,根据返回字符串判断目标系统上是否有这两个文件,如果目标系统上有tftpd.exe文件,则"copy dllcache\tftpd.exe wins\svchost.exe",如果没有,就利用自己建立的tftp服务将文件传过去。并根据tftp命令的返回判断是否执行成功,若成功,就执行,不成功则退出。 冲击波和冲击波克星病毒的清除,你学会了吗?只要按照如上所述的操作步骤进行就可以了,相信你要认真一定可以成功消灭冲击波和冲击波克星。 本文出自:亿恩科技【www.enkj.com】 |
0371-60135900
京公网安备41019702002023号
香港服务器租用
美国服务器租用
电信骨干机房
联通骨干机房
