刪除沖擊波和沖擊波克星病毒解決方案(2) |
發(fā)布時(shí)間: 2012/7/4 11:46:33 |
二、生成刪除沖擊波克星在注冊(cè)表中設(shè)置的服務(wù)項(xiàng)的文件
這一步很簡(jiǎn)單根據(jù)中聯(lián)綠盟給出的注冊(cè)表鍵值,直接從注冊(cè)表中刪除,該文件如下
三、生成刪除沖擊波克星文件的Bat文件
如果按照步驟執(zhí)行,以上的net stop兩句本來(lái)是多余的,但為了防止用戶(hù)不按順序操作,所以特意加上,就當(dāng)是最簡(jiǎn)單的容錯(cuò)吧。 四、生成不啟動(dòng)"阻止ICMP響應(yīng)"的reg文件
五、交付用戶(hù)使用 以上的文件都是文本格式,十分小巧,可以很簡(jiǎn)單地用一張軟盤(pán)帶走。所以win2k的用戶(hù)可以用以下的方式來(lái)進(jìn)行對(duì)沖擊波的防御/殺除/修復(fù)工作(以下操作說(shuō)明是當(dāng)時(shí)天緣針對(duì)幾乎沒(méi)有什么電腦使用知識(shí)的網(wǎng)內(nèi)Win2000用戶(hù)而寫(xiě)的,同行們看了請(qǐng)不要指責(zé)我說(shuō)法不夠?qū)I(yè)。粗體是當(dāng)時(shí)寫(xiě)給用戶(hù)的操作說(shuō)明;小字是我對(duì)每一步操作的解釋?zhuān)闹惺菦](méi)有的) 1. 拔掉網(wǎng)線(xiàn)(注意:其實(shí)這步本來(lái)斷掉網(wǎng)絡(luò)連接就可以了,但是因?yàn)閷?shí)際中發(fā)現(xiàn),讓用戶(hù)拔掉網(wǎng)線(xiàn)遠(yuǎn)比教他斷開(kāi)網(wǎng)絡(luò)連接容易,因此就這樣咯) 2. 雙擊使用officmp.reg,把本機(jī)的ICMP響應(yīng)停掉; 3. 雙擊使用save.reg,把沖擊波從服務(wù)里清除 (注意:由于windows的機(jī)理是在Explorer.exe調(diào)用的時(shí)候和開(kāi)機(jī)啟動(dòng)的時(shí)候才調(diào)用注冊(cè)表里的最新設(shè)置,因此其實(shí)2、3步對(duì)注冊(cè)表的修改設(shè)置必須要重新啟動(dòng)機(jī)器才能起到作用) 4. 重新啟動(dòng)系統(tǒng) 5. 雙擊使用save.bat,把沖擊波文件給干掉 (注意:之所以安排在這里,一是的確在確認(rèn)該病毒文件沒(méi)使用時(shí)才能用del命令殺除,另外一個(gè)原因就是利用用戶(hù)操作所花費(fèi)的時(shí)間,巧妙地把開(kāi)機(jī)ip安全策略實(shí)施時(shí)會(huì)放行大概10個(gè)icmp的弊病回避開(kāi)) 6. 插上網(wǎng)線(xiàn),上網(wǎng)在xxxx地址下針對(duì)win2k的sp4補(bǔ)丁,和RPC漏洞補(bǔ)丁 (注意:如上所述,在這一步插上網(wǎng)線(xiàn)時(shí),ip策略已經(jīng)被應(yīng)用,就不會(huì)產(chǎn)生有染毒機(jī)器發(fā)到本機(jī)的icmp被響應(yīng)的情況了,確保了安全) 7. 安裝sp4,并重新啟動(dòng) 8. 安裝RPC漏洞補(bǔ)丁,并重新啟動(dòng)系統(tǒng) 9. 雙擊使用onicmp.reg文件,打開(kāi)本機(jī)的ICMP響應(yīng); 經(jīng)過(guò)以上9步,利用reg文件和bat文件,很方便地解決了內(nèi)網(wǎng)中win2k用戶(hù)因?yàn)闆_擊波克星無(wú)法上網(wǎng)下載sp4補(bǔ)丁,而安裝RPC漏洞補(bǔ)丁又必須先裝上sp4(其實(shí)是sp2以上就夠了,但都是100多M的大家伙)這個(gè)"先有雞還是先有蛋"的死鎖問(wèn)題。而且步驟簡(jiǎn)單,所以操作對(duì)用戶(hù)透明,只需要看好軟盤(pán)copy回去的文件名依照步驟進(jìn)行雙擊操作就行了。半天后,整個(gè)網(wǎng)絡(luò)清凈了。 沖擊波和沖擊波克星病毒解決方案總結(jié): 記得在上一次的網(wǎng)管筆記中,我特別提到網(wǎng)管應(yīng)該熟悉操作系統(tǒng)的結(jié)構(gòu)和操作系統(tǒng)的內(nèi)部工具以及腳本語(yǔ)言。在這次的真實(shí)例子中,我們用到了哪些知識(shí)呢?本地安全策略的設(shè)置、本地安全設(shè)置在注冊(cè)表中的位置、如何在reg文件中刪除注冊(cè)表內(nèi)一個(gè)鍵值、注冊(cè)表設(shè)置的作用時(shí)間、如何寫(xiě)簡(jiǎn)單的bat文件、如何閱讀利用國(guó)內(nèi)外組織的安全公告。網(wǎng)管不少時(shí)候就象救生員一樣,是在危機(jī)關(guān)頭必須盡快作出方案來(lái)解決問(wèn)題,因此平時(shí)對(duì)知識(shí)細(xì)節(jié)的掌握就格外重要了。 一旦找到存活主機(jī),就會(huì)嘗試用DCOM RPC溢出。溢出成功后監(jiān)聽(tīng)本機(jī)隨機(jī)的一個(gè)小于1000的TCP端口,等待目標(biāo)主機(jī)回連,連接成功后首先發(fā)送"dir dllcache\tftpd.exe"和"dir wins\dllhost.exe"命令,根據(jù)返回字符串判斷目標(biāo)系統(tǒng)上是否有這兩個(gè)文件,如果目標(biāo)系統(tǒng)上有tftpd.exe文件,則"copy dllcache\tftpd.exe wins\svchost.exe",如果沒(méi)有,就利用自己建立的tftp服務(wù)將文件傳過(guò)去。并根據(jù)tftp命令的返回判斷是否執(zhí)行成功,若成功,就執(zhí)行,不成功則退出。 沖擊波和沖擊波克星病毒的清除,你學(xué)會(huì)了嗎?只要按照如上所述的操作步驟進(jìn)行就可以了,相信你要認(rèn)真一定可以成功消滅沖擊波和沖擊波克星。 本文出自:億恩科技【mszdt.com】 服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)!虛擬主機(jī)域名注冊(cè)頂級(jí)提供商!15年品質(zhì)保障!--億恩科技[ENKJ.COM] |