1. 我把dllhost給刪除了,怎麼辦
警惕!新病毒(蠕蟲刀客)攻擊資料及處理方法(dllhost.exe)
新病毒攻擊資料及處理方法
相關資料一:
2003年8月18日,有一種破壞力極強的神秘病毒(國內外都沒有確定)在互聯網上快速傳播,下午4:34分病毒開始進入我公司內部,4:40分迅速感染了一批沒有安裝系統補丁的機器,立刻造成內網全網擁堵,是繼「沖擊波」之後又一台風般的襲擊。公司IT部門與多家防病毒廠商尋求解決方案,均給予不知詳情的答復。在面臨著全網終止服務並可能影響19日正常辦公的巨大壓力下,IT 技術人員決定自己傾力解決。從對網路硬體、軟體性能監測,對計算機軟體、硬體流量控制,網路各種協議的分析,到網路內每台計算機的請求等各種可能存在的原因查找,同時在我們的安全合作廠商的協助下,終於在19日凌晨掌握了病毒的特徵與清理辦法,並自己給病毒命中文名為 「蠕蟲刀客」
病毒的特徵:
1. 硬碟狂轉。
2. 隨意組織目標地址狂ping 不止,直使網路癱瘓而不休。
3. 本地機器性能下降。
4. 任務管理器內有「DLLHOST.EXE」進程,一般手工終止不了。
5. 在 系統盤的「 WINNNT\SYSTEM32\WINS\」目錄下生成兩個文件:dllhost.exe svchost.exe
手工清理辦法:
當大家一接到此通知,可能網路仍受不關機又感染病毒計算機的影響,不能正常使用,因此大家必須先手工處理,然後再逐步上網。
1. 拔掉本地網線;
2. 查看任務管理器內是否運行 DLLHOST.EXE進程;
3. 如果有,立刻把計算機的系統日期改為2004年的任一天;
4. 重新啟動計算機;
5. 刪除 WINNNT\SYSTEM32\WINS 目錄下的 svchost.exe 文件。
6. 插上網線,OK 。
易感病毒計算機
1. 沒有安裝微軟系統安全補丁,9:00前安裝完畢
2. 沒有安裝DCOM RPC 漏洞補丁,9:00前安裝完畢
病毒的兩種解決辦法:1、日期調整到2005、重起計算機;2、重起計算機按F8進入安全模式,從任務欄中結束dllhost進程,同時刪除system32\wins目錄下的文件;3、安裝RPC相關補丁,參見內部網安全專欄中關於沖擊波森粗帶(Worm.Blaster)蠕蟲病毒說明.
注意:只需從任務欄中結束dllhost進程即可
相關資料二:
svchost有兩種:
1.系統目錄system32\和system32\dllcache下的這個不是病毒,用來啟動某些正常的服務,包括RPC服務。雖然近來有個大大的漏洞,但是這個的確是正常的。如果貿然禁用這個服務,會有,paste不能用,有些屬性頁不能打開之類的症狀發生,所以要打補丁
,或用放火牆封埠,建議不要停止服務。
2.系統目錄system32\wins\下的。這是dllhost病毒的產物,實際是一個tftpd.exe重命名而來,雖然也是微軟造,但被病毒製造者改了名字此蘆,利用了。和前面的那個有個明顯的區別:右鍵點擊,屬性,版本,內部名稱還是tftpd.exe。這個svchost在服務里注冊了一個叫Network connection Sharing的服務。這個服務是不正常的。要停掉,禁用。
順便說一下,dllhost.exe也是有兩種或更多。只有那個wins\目錄下的是病毒。不要見到dllhost就一股腦兒全刪光
* 清除蠕蟲
如果發現系統已經被蠕蟲感染,我們建議您按照以下步驟手工清除蠕蟲:
1、按照上述方法安裝補丁。
2、點擊左下角的「開始」菜單,選擇「運行」,在其中鍵入「cmd」,點擊「確定」。
這樣就啟動了命令提示符。在其中鍵入:
net stop RpcPatch
net stop RpcTftpd
3、刪除%systemroot%\system32\wins\svchost.exe和%systemroot%\system32\wins\dllhost.exe。
4、點擊左下角的「開始」菜單,選擇「運行」,在其中鍵入凳亂「regedit」,點擊「確定」。這樣就啟動注冊表編輯器。在注冊表中刪除鍵:
定」。這樣就啟動注冊表編輯器。在注冊表中刪除鍵:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcPatch
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcTftpd
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\RpcTftpd
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\RpcPatch
5、重新啟動系統。
也可利用蠕蟲檢測系統時間,自動清除自身的特性,將系統時間改到2004年,然後重新啟動系統,再將時間改回來。 * 針對蠕蟲發送大量ICMP導致的網路阻塞解決建議可暫時在網路設備上禁止或者限制ICMP ECHO數據包。由於蠕蟲發送的ICMP報文的源IP都是真實的,可通過在Sniffer上設定過濾規則,捕獲大小為92位元組的ICMP ECHO數據包,統計源IP,即可了解網路中那些系統被蠕蟲感染,並採取相應措施。
你刪的是不是它 啊~?
2. 無線網卡MAC地址被過濾了怎麼辦
一般說來,每個符合TCP/IP協議接入網路的設備都有其自身的IP地址,無線路由器自然也不例外。一般的路由器都會有自身固定的區域網內IP地址,這一設計也方便了用戶通過訪問這一IP地址來配置和進行無線路由器的各項測試。 當然,不同品牌型號的無線路由器的IP地址不盡相同,具體可以參考說明書。需要注意的是對無線網卡的IP地址的設置也必須根據路由器的網路設置要求來設定,使它們處於同一IP網段。比如無線路由器的IP地址為192.168.1.1,則網卡的IP也必須指定為192.168.1.XXX網段上的地址,否則兩者的連接便無法正確建立。
打開IE瀏覽器,在地址欄內輸入192.168.1.1,回車後即可看到路由器的登錄界面,需要以管理員的身份才能夠登錄。廠家在設備出廠時的默認設置可以在說明書上找到。TP-LINK路由器的默認設置均為Admin,然後單擊確定按鈕後,即可進入到無線設置界面.下面要做的事情便是根據自己的要求進行設定了。
登錄窗口
管理界面
上網方式
要使用路由器共享上網,首先就要告訴路由器目前所使用的上網方式。在路由器設置窗口左側依次選擇「網路參數→WAN口設置」,在「WAN口連接類型」旁的下來菜單中選擇自己所用的上網方式.如果你的上網方式為ADSL虛擬撥號,這選擇「PPPoE」方式;若你擁有網路服務商提供的固定IP地址,則需要選擇「靜態IP」。而如果你是小區寬頻用戶(長城寬頻、電信LAN等),每次登錄上網都是從網路伺服器自動獲取的IP地址,就要選擇「動態IP」。其餘包括子網掩碼、DNS伺服器和網關等信息都可以在安裝寬頻的時候咨詢網路伺服器獲得。
選擇上網方式
動態IP方式,因此路由器自動獲取了DNS伺服器、網關等信息,也省去了設置的麻煩。當然,在每台上網的電腦上還是要進行DNS伺服器以及網關信息、子網掩碼的設置。
無線設置
無線設置是整個無線路由器設置的核心,有關無線連接的各種選項都必須在此進行設定。在路由器設置窗口左側單擊「無線設置」即可進入設置頁面。
無線設置頁面
1. SSID設置
服務集標志符(SSID)是無線訪問點使用的識別字元串,客戶端利用它就能和無線路由器建立連接。通俗的說,SSID便是你給自己的無線網路所取的名字,並沒有其他太多的技術方面的因素。需要注意的是,同一生產商推出的無線路由器或AP都使用了相同的SSID,這給那些企圖非法連接無線網路的攻擊者提供了入侵的機會。一旦他們利用通用的初始化字元串來連接無線網路,就極易建立起一條非授權的鏈接,從而給我們的無線網路帶來威脅。因此,首先便將SSID進行重命名,取的是一個再普通不過的名字:link。
默認情況下,無線路由器打開了SSID廣播功能,這樣其他用戶也能夠通過SSID搜索到無線路由器的存在。但是並不想讓自己的無線網路被別人通過SSID號搜索到,因此他在取消了對「允許SSID廣播」復選框的勾選。
提示:SSID廣播禁止後,無線網路仍然可以使用,只是不會出現在其他人所搜索到的可用網路列表中。
2. 設置傳輸模式
無線路由器一般都提供了多種傳輸模式,比方說WR541G無線路由器便有11Mbps帶寬的802.11b模式和54Mbps帶寬的802.11g模式供選擇。一看默認的傳輸模式是11Mbps,而自己所購買的無線路由器和網卡都支持54Mbps的傳輸模式,因此就毫不猶豫地將傳輸模式改成了54Mbps。
提示:有些用戶由於設備購買先後次序的問題,有可能無線設備選擇的是54M路由器和11M的無線網卡。此時,就要注意在路由器的設置頁面中將傳輸模式改為11Mbps,否則有可能會出現兼容性的問題導致網路故障。
3. 設置網路密鑰
自己的網路當然不能讓外人來用,因此安全性設置可能是必不可少的。在設置頁面的安全選項中,將安全認證類型設定為「自動選擇」,密鑰格式為「16進制」,然後在密鑰的設定中選擇了保密性較高的128位,並設置了相應的密碼。
提示:如果要為每個無線網卡分別設定不同的密鑰,則可以分別激活密鑰2、密鑰3、密鑰4進行設置。
在這里,要提醒各位的是,許多無線路由器或AP在出廠時,數據傳輸加密功能是關閉了的,如果你拿來就用而不作設置的話,那麼你的無線網路就成為了一個「不設防」的擺設,其他人只要使用一些簡單的無線嗅探軟體(如「network stumbler」),便可以搜索到你的網路然後大搖大擺的進入。因此,為你的無線網路進行加密是極為重要的。
以上設置完成後,單擊「保存」按鈕,路由器將會自動重啟來應用新的設置。
防火牆設置
只設置一個密鑰顯然還不能滿足對網路安全的要求,因此來了一個「雙保險」,那就是使用MAC地址過濾。
我們知道,每個無線網卡都有一個身份標志,那就是MAC地址。一般情況下,任何兩塊無線網卡的MAC地址都不可能相同。因此,根據這個特性,我們可將允許接入無線網路的用戶的網卡MAC地址輸入無線路由器或AP的MAC地址允許列表中,並啟用MAC地址過濾功能,那麼不在列表中的無線網卡即使侵入我們的網路也無法使用網路服務。
在無線路由器的設置頁面單擊「安全設置→防火牆設置」,在右側的頁面中勾選「開啟防火牆」復選框,然後便可以對MAC地址過濾進行設定了。
首先,勾選「開啟MAC地址過濾」,將「過濾規則」設定為「僅允許已設MAC地址列表中已生效的MAC地址訪問Internet」,然後單擊頁面左側「MAC地址過濾」,在該頁面中對MAC地址列表進行編輯即可。
開啟MAC地址過濾功能
編輯MAC地址過濾列表
到這里,無線路由器的關鍵設置都基本完成了,再對每台電腦上的無線網卡稍加設置,便可以共享上網了!
祝你成功!!
3. 聊聊怎樣才能知道網路IP是否被佔用
聊聊怎樣才能知道網路IP是否被佔用
一旦發生ip沖突,導致所有區域網內的電腦無法訪問伺服器了。如果區域網是通過此伺服器上網的,那所有電腦無法上網了。那麼我就來告訴大家怎樣才能知道網路IP是否被佔用。
方法一:原始ping法
第一個方法比較簡單,而且受環境限制比較大。眾所周知在沒有安裝防火牆和設置過濾規則的計算機上都容許ICMP協議數據包的通過,那麼可以通過“ping ip地址”這個命令來查看該IP地址是否有計算機使用。通過任務欄的“開始-運行”,輸入CMD後回車進入命令行模式。假設公司網路是192.168.1.0/255.255.255.0,那麼可以通過ping 192.168.1.1,ping 192.168.1.2......ping 192.168.1.254來測試IP地址是否被佔用。這種方法遇到計算機上安裝了防火牆對ICMP協議進行過濾的話,或者公司交換機和路由器上對ICMP實施ACL訪問控制列表過濾的話就不可行了。因此這個方法受的局限比較大,一般測試的成功率不高,很容易把安裝了防火牆的計算機對應的IP地址認為沒有被使用。
方法二:掃描器掃描法
由於掃描器掃描時並不是僅僅使用ICMP協議進行ping,可以設置,讓掃描器多掃描幾個埠,多掃描幾個服務。這樣即使計算機上安裝了防火牆或者交換機上有訪問控制列表過濾ICMP協議,只要該計算機開放了某些埠或某些服務,就不會出現漏報的問亂枯題。通過掃描器掃描出來的IP地址列表還可以導出成HTML文件或TXT文件,這樣方便保存和統計。使用掃描器掃描法可以查看出網路中幾乎全部計算機使用的IP地址,但是對於那些極個別的設置了防火牆的復雜規則,過濾了大部分常用埠和常見服務的計算機來說,還是會或多或少的出現漏報或錯報的問題,再加上掃描器掃描法還需要我們下載專門的工具,所以也給操作上帶來了不方便。
方法三:sniffer監視法
作為網路管理員的我們應該都會使用sniffer,那麼只需要在網路中開啟sniffer對網路傳輸的數據包進行監視,過一段時間就會查出有哪些IP地址有數據包發出,這樣就可以確定該嘩飢洞IP地址已經被佔用了。不過用sniffer的方法不能將已經佔用的IP地址保存成文件輸出,而且給人有一種大材小用的感覺,畢竟sniffer正統不是用來做掃描IP地址的。
方法四:ARP緩存法
ARP緩存法是以前面介紹的ping法為基礎而來的,對於安裝了防火牆或設置過濾規則的計算機來說直接ping該IP地址是得不到返回信息的,但是有一點必須注意,那就是雖然無法從ping的返回信息中得出該IP地址是否被佔用,但是從ARP緩存中卻可以看出來。防火牆等過濾設置可以不容許ICMP協議返回數據包給源地址,但是由於ARP是工作在二層上的',所以在ICMP協議數據包被過濾前ARP已經通過查看MAC的方式獲得了網路中在線主機的MAC地址。
只要網路中的計算機想上網,那麼一定會將自己網卡的MAC地址告訴與其連接的交換機,接下來交換機也會進一步將他知道的MAC地址信息反饋給使用ping的主機。這樣在使用ping的主機上就能夠通過是否獲得MAC地址的方式來了解該IP地址對肢缺應的計算機是否在線了。
通過任務欄的“開始-運行”,輸入CMD後回車進入命令行模式。假設公司網路是192.168.1.0/255.255.255.0,那麼可以通過ping 192.168.1.1,ping 192.168.1.2......ping 192.168.1.254來測試IP地址是否被佔用。當然不管ping返回的是通還是不通,全部ping完後執行arp -a命令顯示ARP緩存表,出現在緩存表中的IP地址就是被佔用的地址。
;4. 如何使用抓包工具
怎麼使用抓包工具fiddler
Fiddler(二) - 使用Fiddler做抓包分析
blog.csdn/...849983
圖文教程,請參考,按步驟進行操作
如何使用抓世纖包工具
開始界面
wireshark是捕獲機器上的某一塊網卡的網路包,當你的機器上有多塊網卡的時候,你需要選擇一個網卡。
點擊Caputre->Interfaces.. 出現下面對話框,選擇正確的網卡。然後點擊"Start"按鈕, 開始抓包
Wireshark 窗口介紹
WireShark 主要分為這幾個界面
1. Display Filter(顯示過濾器), 用於過濾
2. Packet List Pane(封包列表), 顯示捕獲到的封包, 有源地址和目標地址,埠號。 顏色不同,代表
3. Packet Details Pane(封包詳細信息), 顯示封包中的欄位
4. Dissector Pane(16進制數據)
5. Miscellanous(地址欄,雜項)
使用過濾是非常重要的, 初學者使用wireshark時,將會得到大量的冗餘信息,在幾千甚至幾萬條記錄中,以至於很難找到自己需要的部分。搞得暈頭轉向。
過濾器會幫助我們在大量的數據中迅速找到我們需要的信息。
過濾器有兩種,
一種是顯示過濾器,就是主界面上那個,用來在捕獲的記錄中找到所需要的記錄
一種是捕獲過濾器,用來過濾捕獲的封包,以免捕獲太多的記錄。 在Capture -> Capture Filters 中設置
保存過濾
在Filter欄上,填好Filter的表達式後,點擊Save按鈕, 取個名字。比如"Filter 102",
抓包工具wireshark怎麼用
這里有教程,一看就懂blog.jobbole/70907/
抓包工具是干什麼的?如何使用
抓數據包的,可以用來分析網路流量,可以用來破譯抓來的數據,比如密碼之類的。網上應該有相關教程,自己研究
如何使用抓包工具?為什麼要帶廳抓包
抓包主要抓取流量,用於分析,如網路診斷、流量分析等等 可以試試基於進程抓包QPA工具
網路抓包工具怎麼用
點開用 會抓取你電腦經過網卡的數據包 分為 tcp udp ip arp 的數據包 然後自己分析
怎樣使用抓包工具直接在電腦上抓包
抓包工具很多啊,比wshark 、當然也有watch 等,你用的哪個工具,就去度娘找相關的教程就好了,一般網路經驗上都有介紹的。
說說會哪些抓包工具,怎麼用
Charles是目前最強大的調試工具,在界面和功能上遠勝於Fiddler,同時是全平台支持,這么好用的軟體可惜就是收費的,網上是有破解版的Charles,學習交流可下載。
如何用wireshark中文抓包工具
你必須利用 wireshark 軟體,在該軟體中設置 filter 過濾規則,對你所需要的數據包進行抓包,然後對抓包後的數據包進行分析。否則的話,如果不設置過濾規則,那樣數據包就太多了,根本達不到用戶的需求。
怎麼用網路抓包工具最好是有 流蠢返隱程的
如果需要專業一點請用
ethereal(英文)不是超簡單
sniffer (有中文漢化的)也不錯,有許多人說是最強的,但我還是認為ethereal最簡單好用