还是病毒
还是发现了一些病毒,或者叫做木马。
又搞了半天,更有点对病毒作战的感悟
首先是两个软件很不错,一个是冰剑(IceSword),一个是SREng(System Repair Engineer)
冰剑可以删除taskmanager不能杀得进程,也能删掉explorer不能删掉的文件。
SREeng可以发现注册表的问题,今天就是它提示的,提示APPINIT_DLLS被修改了。就用冰剑把那个文件(dll)删掉了。
二是禁用VB脚本,尽量使用firefox了。
在当前用户的temp下发现了类似这样的文件
Set Shell = CreateObject(”Wscript.Shell”)
Shell.Run(”C:\DOCUME~1\a\LOCALS~1\Temp\zj.exe”)
set Shell=Nothing
i=1
下面的这条命令可以禁止文件系统对象(FileSystemObject)
regsvr32 scrrun.dll /u
总之,另外,这几次发现的都是盗用密码之类的木马,而且都是明目张胆的往某些ip地址post数据,抓出这些傻逼病毒使用者/制造者很容易吧,我们的保护神公安局在干什么呢?
以下来自网络搜索结果,我也没全尝试:
_______________________________________
2、禁用Wscript.Shell组件:
Wscript.Shell可以调用系统内核运行DOS基本命令。可以通过修改注册表,将此组件改名,来防止此类木马的危害。HKEY_CLASSES_ROOT\Wscript.Shell\ 及HKEY_CLASSES_ROOT\Wscript.Shell.1\改名为其它的名字。将两项clsid的值也改一下HKEY_CLASSES_ROOT\Wscript.Shell\CLSID\项目的值和HKEY_CLASSES_ROOT\Wscript.Shell.1\CLSID\项目的值,也可以将其删除。
3、禁用Shell.Application组件
Shell.Application也可以调用系统内核运行DOS基本命令。可以通过修改注册表,将此组件改名,来防止此类木马的危害。HKEY_CLASSES_ROOT\Shell.Application\ 及HKEY_CLASSES_ROOT\Shell.Application.1\ 改名为其它的名字。将HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值更改或删除。同时,禁止Guest用户使用shell32.dll来防止调用此组件。使用命令:cacls C:\WINNT\system32\shell32.dll /e /d guests
4、FileSystemObject组件
FileSystemObject可以对文件进行常规操作可以通过修改注册表,将此组件改名,来防止此类木马的危害。对应注册表项为HKEY_CLASSES_ROOT\scripting.FileSystemObject\。可以禁止guests用户使用或直接将其删除。考虑到很多的上传都会使用到这个组件,为了方便,这里不建议更改或删除。