1. 我把dllhost给删除了,怎么办
警惕!新病毒(蠕虫刀客)攻击资料及处理方法(dllhost.exe)
新病毒攻击资料及处理方法
相关资料一:
2003年8月18日,有一种破坏力极强的神秘病毒(国内外都没有确定)在互联网上快速传播,下午4:34分病毒开始进入我公司内部,4:40分迅速感染了一批没有安装系统补丁的机器,立刻造成内网全网拥堵,是继“冲击波”之后又一台风般的袭击。公司IT部门与多家防病毒厂商寻求解决方案,均给予不知详情的答复。在面临着全网终止服务并可能影响19日正常办公的巨大压力下,IT 技术人员决定自己倾力解决。从对网络硬件、软件性能监测,对计算机软件、硬件流量控制,网络各种协议的分析,到网络内每台计算机的请求等各种可能存在的原因查找,同时在我们的安全合作厂商的协助下,终于在19日凌晨掌握了病毒的特征与清理办法,并自己给病毒命中文名为 “蠕虫刀客”
病毒的特征:
1. 硬盘狂转。
2. 随意组织目标地址狂ping 不止,直使网络瘫痪而不休。
3. 本地机器性能下降。
4. 任务管理器内有“DLLHOST.EXE”进程,一般手工终止不了。
5. 在 系统盘的“ WINNNT\SYSTEM32\WINS\”目录下生成两个文件:dllhost.exe svchost.exe
手工清理办法:
当大家一接到此通知,可能网络仍受不关机又感染病毒计算机的影响,不能正常使用,因此大家必须先手工处理,然后再逐步上网。
1. 拔掉本地网线;
2. 查看任务管理器内是否运行 DLLHOST.EXE进程;
3. 如果有,立刻把计算机的系统日期改为2004年的任一天;
4. 重新启动计算机;
5. 删除 WINNNT\SYSTEM32\WINS 目录下的 svchost.exe 文件。
6. 插上网线,OK 。
易感病毒计算机
1. 没有安装微软系统安全补丁,9:00前安装完毕
2. 没有安装DCOM RPC 漏洞补丁,9:00前安装完毕
病毒的两种解决办法:1、日期调整到2005、重起计算机;2、重起计算机按F8进入安全模式,从任务栏中结束dllhost进程,同时删除system32\wins目录下的文件;3、安装RPC相关补丁,参见内部网安全专栏中关于冲击波森粗带(Worm.Blaster)蠕虫病毒说明.
注意:只需从任务栏中结束dllhost进程即可
相关资料二:
svchost有两种:
1.系统目录system32\和system32\dllcache下的这个不是病毒,用来启动某些正常的服务,包括RPC服务。虽然近来有个大大的漏洞,但是这个的确是正常的。如果贸然禁用这个服务,会有,paste不能用,有些属性页不能打开之类的症状发生,所以要打补丁
,或用放火墙封端口,建议不要停止服务。
2.系统目录system32\wins\下的。这是dllhost病毒的产物,实际是一个tftpd.exe重命名而来,虽然也是微软造,但被病毒制造者改了名字此芦,利用了。和前面的那个有个明显的区别:右键点击,属性,版本,内部名称还是tftpd.exe。这个svchost在服务里注册了一个叫Network connection Sharing的服务。这个服务是不正常的。要停掉,禁用。
顺便说一下,dllhost.exe也是有两种或更多。只有那个wins\目录下的是病毒。不要见到dllhost就一股脑儿全删光
* 清除蠕虫
如果发现系统已经被蠕虫感染,我们建议您按照以下步骤手工清除蠕虫:
1、按照上述方法安装补丁。
2、点击左下角的“开始”菜单,选择“运行”,在其中键入“cmd”,点击“确定”。
这样就启动了命令提示符。在其中键入:
net stop RpcPatch
net stop RpcTftpd
3、删除%systemroot%\system32\wins\svchost.exe和%systemroot%\system32\wins\dllhost.exe。
4、点击左下角的“开始”菜单,选择“运行”,在其中键入凳乱“regedit”,点击“确定”。这样就启动注册表编辑器。在注册表中删除键:
定”。这样就启动注册表编辑器。在注册表中删除键:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcPatch
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcTftpd
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\RpcTftpd
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\RpcPatch
5、重新启动系统。
也可利用蠕虫检测系统时间,自动清除自身的特性,将系统时间改到2004年,然后重新启动系统,再将时间改回来。 * 针对蠕虫发送大量ICMP导致的网络阻塞解决建议可暂时在网络设备上禁止或者限制ICMP ECHO数据包。由于蠕虫发送的ICMP报文的源IP都是真实的,可通过在Sniffer上设定过滤规则,捕获大小为92字节的ICMP ECHO数据包,统计源IP,即可了解网络中那些系统被蠕虫感染,并采取相应措施。
你删的是不是它 啊~?
2. 无线网卡MAC地址被过滤了怎么办
一般说来,每个符合TCP/IP协议接入网络的设备都有其自身的IP地址,无线路由器自然也不例外。一般的路由器都会有自身固定的局域网内IP地址,这一设计也方便了用户通过访问这一IP地址来配置和进行无线路由器的各项测试。 当然,不同品牌型号的无线路由器的IP地址不尽相同,具体可以参考说明书。需要注意的是对无线网卡的IP地址的设置也必须根据路由器的网络设置要求来设定,使它们处于同一IP网段。比如无线路由器的IP地址为192.168.1.1,则网卡的IP也必须指定为192.168.1.XXX网段上的地址,否则两者的连接便无法正确建立。
打开IE浏览器,在地址栏内输入192.168.1.1,回车后即可看到路由器的登录界面,需要以管理员的身份才能够登录。厂家在设备出厂时的默认设置可以在说明书上找到。TP-LINK路由器的默认设置均为Admin,然后单击确定按钮后,即可进入到无线设置界面.下面要做的事情便是根据自己的要求进行设定了。
登录窗口
管理界面
上网方式
要使用路由器共享上网,首先就要告诉路由器目前所使用的上网方式。在路由器设置窗口左侧依次选择“网络参数→WAN口设置”,在“WAN口连接类型”旁的下来菜单中选择自己所用的上网方式.如果你的上网方式为ADSL虚拟拨号,这选择“PPPoE”方式;若你拥有网络服务商提供的固定IP地址,则需要选择“静态IP”。而如果你是小区宽带用户(长城宽带、电信LAN等),每次登录上网都是从网络服务器自动获取的IP地址,就要选择“动态IP”。其余包括子网掩码、DNS服务器和网关等信息都可以在安装宽带的时候咨询网络服务器获得。
选择上网方式
动态IP方式,因此路由器自动获取了DNS服务器、网关等信息,也省去了设置的麻烦。当然,在每台上网的电脑上还是要进行DNS服务器以及网关信息、子网掩码的设置。
无线设置
无线设置是整个无线路由器设置的核心,有关无线连接的各种选项都必须在此进行设定。在路由器设置窗口左侧单击“无线设置”即可进入设置页面。
无线设置页面
1. SSID设置
服务集标志符(SSID)是无线访问点使用的识别字符串,客户端利用它就能和无线路由器建立连接。通俗的说,SSID便是你给自己的无线网络所取的名字,并没有其他太多的技术方面的因素。需要注意的是,同一生产商推出的无线路由器或AP都使用了相同的SSID,这给那些企图非法连接无线网络的攻击者提供了入侵的机会。一旦他们利用通用的初始化字符串来连接无线网络,就极易建立起一条非授权的链接,从而给我们的无线网络带来威胁。因此,首先便将SSID进行重命名,取的是一个再普通不过的名字:link。
默认情况下,无线路由器打开了SSID广播功能,这样其他用户也能够通过SSID搜索到无线路由器的存在。但是并不想让自己的无线网络被别人通过SSID号搜索到,因此他在取消了对“允许SSID广播”复选框的勾选。
提示:SSID广播禁止后,无线网络仍然可以使用,只是不会出现在其他人所搜索到的可用网络列表中。
2. 设置传输模式
无线路由器一般都提供了多种传输模式,比方说WR541G无线路由器便有11Mbps带宽的802.11b模式和54Mbps带宽的802.11g模式供选择。一看默认的传输模式是11Mbps,而自己所购买的无线路由器和网卡都支持54Mbps的传输模式,因此就毫不犹豫地将传输模式改成了54Mbps。
提示:有些用户由于设备购买先后次序的问题,有可能无线设备选择的是54M路由器和11M的无线网卡。此时,就要注意在路由器的设置页面中将传输模式改为11Mbps,否则有可能会出现兼容性的问题导致网络故障。
3. 设置网络密钥
自己的网络当然不能让外人来用,因此安全性设置可能是必不可少的。在设置页面的安全选项中,将安全认证类型设定为“自动选择”,密钥格式为“16进制”,然后在密钥的设定中选择了保密性较高的128位,并设置了相应的密码。
提示:如果要为每个无线网卡分别设定不同的密钥,则可以分别激活密钥2、密钥3、密钥4进行设置。
在这里,要提醒各位的是,许多无线路由器或AP在出厂时,数据传输加密功能是关闭了的,如果你拿来就用而不作设置的话,那么你的无线网络就成为了一个“不设防”的摆设,其他人只要使用一些简单的无线嗅探软件(如“network stumbler”),便可以搜索到你的网络然后大摇大摆的进入。因此,为你的无线网络进行加密是极为重要的。
以上设置完成后,单击“保存”按钮,路由器将会自动重启来应用新的设置。
防火墙设置
只设置一个密钥显然还不能满足对网络安全的要求,因此来了一个“双保险”,那就是使用MAC地址过滤。
我们知道,每个无线网卡都有一个身份标志,那就是MAC地址。一般情况下,任何两块无线网卡的MAC地址都不可能相同。因此,根据这个特性,我们可将允许接入无线网络的用户的网卡MAC地址输入无线路由器或AP的MAC地址允许列表中,并启用MAC地址过滤功能,那么不在列表中的无线网卡即使侵入我们的网络也无法使用网络服务。
在无线路由器的设置页面单击“安全设置→防火墙设置”,在右侧的页面中勾选“开启防火墙”复选框,然后便可以对MAC地址过滤进行设定了。
首先,勾选“开启MAC地址过滤”,将“过滤规则”设定为“仅允许已设MAC地址列表中已生效的MAC地址访问Internet”,然后单击页面左侧“MAC地址过滤”,在该页面中对MAC地址列表进行编辑即可。
开启MAC地址过滤功能
编辑MAC地址过滤列表
到这里,无线路由器的关键设置都基本完成了,再对每台电脑上的无线网卡稍加设置,便可以共享上网了!
祝你成功!!
3. 聊聊怎样才能知道网络IP是否被占用
聊聊怎样才能知道网络IP是否被占用
一旦发生ip冲突,导致所有局域网内的电脑无法访问服务器了。如果局域网是通过此服务器上网的,那所有电脑无法上网了。那么我就来告诉大家怎样才能知道网络IP是否被占用。
方法一:原始ping法
第一个方法比较简单,而且受环境限制比较大。众所周知在没有安装防火墙和设置过滤规则的计算机上都容许ICMP协议数据包的通过,那么可以通过“ping ip地址”这个命令来查看该IP地址是否有计算机使用。通过任务栏的“开始-运行”,输入CMD后回车进入命令行模式。假设公司网络是192.168.1.0/255.255.255.0,那么可以通过ping 192.168.1.1,ping 192.168.1.2......ping 192.168.1.254来测试IP地址是否被占用。这种方法遇到计算机上安装了防火墙对ICMP协议进行过滤的话,或者公司交换机和路由器上对ICMP实施ACL访问控制列表过滤的话就不可行了。因此这个方法受的局限比较大,一般测试的成功率不高,很容易把安装了防火墙的计算机对应的IP地址认为没有被使用。
方法二:扫描器扫描法
由于扫描器扫描时并不是仅仅使用ICMP协议进行ping,可以设置,让扫描器多扫描几个端口,多扫描几个服务。这样即使计算机上安装了防火墙或者交换机上有访问控制列表过滤ICMP协议,只要该计算机开放了某些端口或某些服务,就不会出现漏报的问乱枯题。通过扫描器扫描出来的IP地址列表还可以导出成HTML文件或TXT文件,这样方便保存和统计。使用扫描器扫描法可以查看出网络中几乎全部计算机使用的IP地址,但是对于那些极个别的设置了防火墙的复杂规则,过滤了大部分常用端口和常见服务的计算机来说,还是会或多或少的出现漏报或错报的问题,再加上扫描器扫描法还需要我们下载专门的工具,所以也给操作上带来了不方便。
方法三:sniffer监视法
作为网络管理员的我们应该都会使用sniffer,那么只需要在网络中开启sniffer对网络传输的数据包进行监视,过一段时间就会查出有哪些IP地址有数据包发出,这样就可以确定该哗饥洞IP地址已经被占用了。不过用sniffer的方法不能将已经占用的IP地址保存成文件输出,而且给人有一种大材小用的感觉,毕竟sniffer正统不是用来做扫描IP地址的。
方法四:ARP缓存法
ARP缓存法是以前面介绍的ping法为基础而来的,对于安装了防火墙或设置过滤规则的计算机来说直接ping该IP地址是得不到返回信息的,但是有一点必须注意,那就是虽然无法从ping的返回信息中得出该IP地址是否被占用,但是从ARP缓存中却可以看出来。防火墙等过滤设置可以不容许ICMP协议返回数据包给源地址,但是由于ARP是工作在二层上的',所以在ICMP协议数据包被过滤前ARP已经通过查看MAC的方式获得了网络中在线主机的MAC地址。
只要网络中的计算机想上网,那么一定会将自己网卡的MAC地址告诉与其连接的交换机,接下来交换机也会进一步将他知道的MAC地址信息反馈给使用ping的主机。这样在使用ping的主机上就能够通过是否获得MAC地址的方式来了解该IP地址对肢缺应的计算机是否在线了。
通过任务栏的“开始-运行”,输入CMD后回车进入命令行模式。假设公司网络是192.168.1.0/255.255.255.0,那么可以通过ping 192.168.1.1,ping 192.168.1.2......ping 192.168.1.254来测试IP地址是否被占用。当然不管ping返回的是通还是不通,全部ping完后执行arp -a命令显示ARP缓存表,出现在缓存表中的IP地址就是被占用的地址。
;4. 如何使用抓包工具
怎么使用抓包工具fiddler
Fiddler(二) - 使用Fiddler做抓包分析
blog.csdn/...849983
图文教程,请参考,按步骤进行操作
如何使用抓世纤包工具
开始界面
wireshark是捕获机器上的某一块网卡的网络包,当你的机器上有多块网卡的时候,你需要选择一个网卡。
点击Caputre->Interfaces.. 出现下面对话框,选择正确的网卡。然后点击"Start"按钮, 开始抓包
Wireshark 窗口介绍
WireShark 主要分为这几个界面
1. Display Filter(显示过滤器), 用于过滤
2. Packet List Pane(封包列表), 显示捕获到的封包, 有源地址和目标地址,端口号。 颜色不同,代表
3. Packet Details Pane(封包详细信息), 显示封包中的字段
4. Dissector Pane(16进制数据)
5. Miscellanous(地址栏,杂项)
使用过滤是非常重要的, 初学者使用wireshark时,将会得到大量的冗余信息,在几千甚至几万条记录中,以至于很难找到自己需要的部分。搞得晕头转向。
过滤器会帮助我们在大量的数据中迅速找到我们需要的信息。
过滤器有两种,
一种是显示过滤器,就是主界面上那个,用来在捕获的记录中找到所需要的记录
一种是捕获过滤器,用来过滤捕获的封包,以免捕获太多的记录。 在Capture -> Capture Filters 中设置
保存过滤
在Filter栏上,填好Filter的表达式后,点击Save按钮, 取个名字。比如"Filter 102",
抓包工具wireshark怎么用
这里有教程,一看就懂blog.jobbole/70907/
抓包工具是干什么的?如何使用
抓数据包的,可以用来分析网络流量,可以用来破译抓来的数据,比如密码之类的。网上应该有相关教程,自己研究
如何使用抓包工具?为什么要带厅抓包
抓包主要抓取流量,用于分析,如网络诊断、流量分析等等 可以试试基于进程抓包QPA工具
网络抓包工具怎么用
点开用 会抓取你电脑经过网卡的数据包 分为 tcp udp ip arp 的数据包 然后自己分析
怎样使用抓包工具直接在电脑上抓包
抓包工具很多啊,比wshark 、当然也有watch 等,你用的哪个工具,就去度娘找相关的教程就好了,一般网络经验上都有介绍的。
说说会哪些抓包工具,怎么用
Charles是目前最强大的调试工具,在界面和功能上远胜于Fiddler,同时是全平台支持,这么好用的软件可惜就是收费的,网上是有破解版的Charles,学习交流可下载。
如何用wireshark中文抓包工具
你必须利用 wireshark 软件,在该软件中设置 filter 过滤规则,对你所需要的数据包进行抓包,然后对抓包后的数据包进行分析。否则的话,如果不设置过滤规则,那样数据包就太多了,根本达不到用户的需求。
怎么用网络抓包工具最好是有 流蠢返隐程的
如果需要专业一点请用
ethereal(英文)不是超简单
sniffer (有中文汉化的)也不错,有许多人说是最强的,但我还是认为ethereal最简单好用