教你如何清除3389密码劫持器(这些文件能记录登陆3389的用户密码)
这个木马后门困扰了我好多天,一直未有解决的方法,上网也根本无人发过类似的文章,可能是今日天气好所以心情好吧,今日居然让我找到了清除这个木马的途径了
PS:软件名称为看3389的用户密码WinlogonHack.rar 里面包含(install.bat、ReadLog.bat、Uninstall.bat、Hookmsgina.dll、On.reg、Un.reg共5个文件,这个是原版)小心使用!其中Hookmsgina.dll被杀毒软件追杀,没有做免杀的一般都能被干掉~~
首先我在C盘的C:\WINDOWS\system文件下发现了这些东西
此主题相关图片如下:
明眼人一看就知是什么东西来的了,不明白的可以上网查一下相关的字眼,其中install.bat是这个3389劫持木马的安装文件来的了,我用文本把它打开看看是什么,结果又发现了这些代码:
同一网段安装SERV-U出现密匙冲突的解决办法
关掉Microsoft网络客户端的具体办法是: 网络连接--本地连接--右键--Microsoft网络客户端(把前面的钩去掉就OK了)
清除系统里未知的自启动程序
文件夹
一、当前用户专有的启动文件夹
这是许多应用软件自动启动的常用位置,Windows自动启动放入该文件夹的所有快捷方式。用户启动文件夹一般在:\Documents and Settings\<用户名字>\“开始”菜单\程序\启动,其中“<用户名字>”是当前登录的用户帐户名称。
二、对所有用户有效的启动文件夹
做服务器的进来,把这个存成bat文件运行,保你服务器最基本的安全!
reg delete HKEY_CLASSES_ROOT\WScript.Shell /f
reg delete HKEY_CLASSES_ROOT\WScript.Shell.1 /f
reg delete HKEY_CLASSES_ROOT\Shell.application /f
reg delete HKEY_CLASSES_ROOT\Shell.application.1 /f
reg delete HKEY_CLASSES_ROOT\WSCRIPT.NETWORK /f
reg delete HKEY_CLASSES_ROOT\WSCRIPT.NETWORK.1 /f
regsvr32 /s /u wshom.ocx
regsvr32 /s /u wshext.dll
regsvr32 /s /u shell32.dll
Echo 注册表危险组件删除设定完毕!
PAUSE >nul
禁止BAT类程序执行的好办法!
实测5款ARP主流防护软件 下载 图文分析 ~
ARP欺骗(地址解析协议欺骗)是一种存在于局域网中的恶意欺骗攻击行为,如果进行“ARP欺骗”的恶意木马程序入侵某个局域网中的计算机系统,那么该系统就会试图通过ARP攻击手段截获所在局域网络内其他计算机系统的通信信息,导致该局域网出现突然掉线,过一段时间后又会恢复正常的现象。同时,网内的其他计算机系统也会受到影响,出现IP地址冲突、频繁断网、IE浏览器频繁出错以及系统内一些常用软件出现故障等问题。
如今能够实现ARP攻击的第三方工具有很多,比如“xx终结者”、“xx剪刀手”、“xx执法官”等等,这些软件制作的初衷本是为了更加合理有效的进行企业内部网络资源的管理,例如关闭某些端口禁止企业内部员工在上班时间闲聊QQ或者下载文件占用公司大量的网络带宽等,但是由于软件操作十分简单,已被不少恶意人士拿来进行恶意的局域网破坏。本文将针对ARP恶意攻击与防范向企业用户推荐如今主流的ARP防护工具
彻底预防ARP.要从系统文件改起.从双绑定开始
ARP搞来搞去真是搞死人了。后来我外地一个朋友来了帮我搞定~~
ARP这个病毒厉害是厉害.,但是他唯一的问题就是必须调用系统里的npptools.dll文件...网络执法官一类的软件也用这个...如果你把这个DLL文件删除了..之后随便弄个DLL改名为npptools.dll然后NTFS分区格式把权限都弄掉...如果是FAT格式弄个只毒就OK了.`~`
然后再加个开机P处理...
@echo off
::::::::::::::::::::::::::::::::::::::::::::::::::::
:: 本机以及网关IP和MAC地址绑定批处理程序 ::
:: 说明:此方法治标不治本,要想根本解决ARP请 ::
:: 采用路由和本机实现双向绑定,程序编写QQ:457514 ::
::::::::::::::::::::::::::::::::::::::::::::::::::::
:::::::::读取本机Mac地址
if exist ipconfig.txt del ipconfig.txt
ipconfig /all >ipconfig.txt
if exist phyaddr.txt del phyaddr.txt
find "Physical Address" ipconfig.txt >phyaddr.txt
for /f "skip=2 tokens=12" %%M in (phyaddr.txt) do set Mac=%%M
:::::::::读取本机ip地址
if exist IPAddr.txt del IPaddr.txt
find "IP Address" ipconfig.txt >IPAddr.txt
for /f "skip=2 tokens=15" %%I in (IPAddr.txt) do set IP=%%I
:::::::::绑定本机IP地址和MAC地址
arp -s %IP% %Mac%
:::::::::读取网关地址
if exist GateIP.txt del GateIP.txt
find "Default Gateway" ipconfig.txt >GateIP.txt
for /f "skip=2 tokens=13" %%G in (GateIP.txt) do set GateIP=%%G
:::::::::读取网关Mac地址
if exist GateMac.txt del GateMac.txt
arp -a %GateIP% >GateMac.txt
for /f "skip=3 tokens=2" %%H in (GateMac.txt) do set GateMac=%%H
:::::::::绑定网关Mac和IP
arp -s 192.168.0.1 00-17-16-00-88-ad (注释:改为你真实的网关地址和网关的MAC地址)
exit
phpMyAdmin出现无法载入 mcrypt 扩展,请检查 PHP 配置的解决方法
1、没有正确安装Mysql数据库,在系统服务中Mysql相关的服务没有启动 (请查看正确安装Mysql的方法)
2、在系统的 system32(C:\windows\system32) 目录下缺少 libmcrypt.dll文件,解决方法是找到php目录下的libmcrypt.dll,并将libmcrypt.dll复制到C:\windows\system32目录中,然后重新启动Web服务。
3、在C:\windows目录下的php.ini文件中,没有将“;extension=php_mcrypt.dll”中的前面一个“;”去掉,所以不能使用相应功能,解决方法是打开php.ini文件
找到
;extension=php_mcrypt.dll
改成
extension=php_mcrypt.dll //去掉前面的;使之生效
4、Mysql目录没有读取权限,正确的目录权限如下:
administrator 完全控制
system 完全控制
user 读取加运行
其他的用户权限全部删除(也可保留,但安全性不高,建议删除),然后重启MYsql服务和Web服务(建议修改此项后重启一下服务器)
当你试过所有办法之后还是不行,其实还有一步,网上很少有说,解决办法,我的是2003+IIS+PHP5+MYSQL5
桌面>我的电脑>右键属性>高级>环境变量>系统变量>新建
名:phprc
值:D:\Server\php(你的PHP在什么目录就是什么)
服务器安全之《卸载最不安全的组件》
关键词:WScript.Shell, Shell.application, WScript.Network
危害:xp_cmdshell可以让系统管理员以操作系统命令行解释器的方式执行给定的命令字符串,并以文本行方式返回任何输出,是一个功能非常强大的扩展存贮过程。
破坏方式:
是否可以删除:根据情况。