本文目录一览:
- 1、怎样删除c:\windows\temp\Ins1c.tmp病毒?
- 2、C盘里有个AddIns\mssfea.dll 的文件说是木马,怎么解决?
- 3、木马病毒
- 4、MYINS.EXE是特洛伊木马吗?
- 5、帮忙 病毒
怎样删除c:\windows\temp\Ins1c.tmp病毒?
清除了又有,不死木马病毒,可能是某个程序造成的,删除了一联网又重新生成,可以清理一下插件,建议使用其他安全软件先检测一下,检测不出来的话只能自行查找了:用任务管理器查看正在运行的服务,发现异常再删除,若您可以确认此文件无毒无害(多个安全软件都没有检测出来),则可能是金山毒霸误判了,可以点添加信任。当然也可能是系统本身就有病毒,换个系统
C盘里有个AddIns\mssfea.dll 的文件说是木马,怎么解决?
用360安全卫士检查后,按照步骤做,前提是用你的卡帕斯基检查过,一般情况下,是检查后,会让你自动关机的,你确定就好了,重启后就应该没有了!如果始终用不了的话,那只有重新安装系统了!不过,最好还是用360安全卫士检查并修复一下,重装系统太麻烦了,如果,它不能帮你修复的话,那只有重新安装系统了!不过,如果没有什么大的影响,就对付用吧!
木马病毒
其实楼主就是中了一个木马下载者以后,通过下载者下载了其他各类木马的。
处理办法:
1.断网。
2.结束病毒进程,可以用冰刃查可疑进程。冰刃下载地址如下:
3.卡巴全盘杀毒,碰到提示要重新启动才可以清理的病毒,别点击启动清理。最简单的方法是用一个叫unlocker的软件,下载安装完后分别解锁卡巴提示要重新启动的那个文件(安装完那个软件后会在右键菜单上自动生成一个unlocker的菜单项),然后就可以把病毒文件删除了.
去华军网下载unlocker1.85
地址:
4.删除临时文件:
C:\temp
C:\windows\prefetch
C:\document and setting\各个用户\local setting\ Temporary Internet Files
C:\document and setting\各个用户\ Templates
C:\Program Files\Internet Explorer\ PLUGINS(这个位置也会有病毒)
5.最后打开注册表编辑器(在运行里输入regedit打开),分别在
HKEY_LOCAL_MACHINE\SYSTEM\Controlset001\Services
HKEY_LOCAL_MACHINE\SYSTEM\Controlset002\Services
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
下找到以病毒文件名命名的项并删除。
6.到控制面板的服务里面停止病毒的服务项。
到此该病毒清理完毕。
但是为了系统的长久安全,推荐还进行下列操作:
一:首先禁用或者删除guest帐号,防止黑客帐号克隆。将系统内建的administrator帐号改名改的越复杂越好,最好改成中文的,而且要设置一个密码,最好是8位以上字母数字符号组合。
打开管理工具.本地安全设置.密码策略
1.密码必须符合复杂要求性.启用
2.密码最小值.我设置的是8
3.密码最长使用期限.我是默认设置42天
4.密码最短使用期限0天
5.强制密码历史 记住0个密码
6.用可还原的加密来存储密码 禁用
本地策略:
这个很重要,可以帮助我们发现那些心存叵测的人的一举一动,还可以帮助我们将来追查黑客。
(虽然一般黑客都会在走时会清除他在你电脑中留下的痕迹,不过也有一些不小心的)
打开管理工具
找到本地安全设置.本地策略.审核策略
1.审核策略更改 成功失败
2.审核登陆事件 成功失败
3.审核对象访问 失败
4.审核跟踪过程 无审核
5.审核目录服务访问 失败
6.审核特权使用 失败
7.审核系统事件 成功失败
8.审核帐户登陆时间 成功失败
9.审核帐户管理 成功失败
本地安全策略:
打开管理工具
找到本地安全设置.本地策略.安全选项
1.交互式登陆:不显示上次登陆的用户名
2.网络访问.不允许SAM帐户的匿名枚举 启用
3.网络访问.可匿名的共享 将后面的值删除
4.网络访问.可匿名的命名管道 将后面的值删除
5.网络访问.可远程访问的注册表路径 将后面的值删除
6.网络访问.可远程访问的注册表的子路径 将后面的值删除
7.网络访问.限制匿名访问命名管道和共享
8.帐户.(前面已经详细讲过)
用户权限分配策略:
打开管理工具
找到本地安全设置.本地策略.用户权限分配
1.从网络访问计算机 里面一般默认有5个用户,除Admin外我们删除4个,当然,等下我们还得建一个属于自己的ID
2.从远程系统强制关机,Admin帐户也删除,一个都不留
3.拒绝从网络访问这台计算机 将ID删除
4.从网络访问此计算机,Admin也可删除,如果你不使用类似3389服务
二:
删除默认共享(每次输入一个)
net share admin$ /delete
net share c$ /delete
net share d$ /delete(如果有e,f,……可以继续删除)
关闭135端口;
135端口被用做查询服务外,它还可能引起直接的攻击,关闭方法是:开始-运行-输入dcomcnfg,在弹出的组件服务窗口里选择默认属性标签,取消“在此计算机上启用分布式COM”即可。
关闭自己的139端口(netbios协议),ipc和RPC漏洞存在于此。
关闭139端口的方法是在“网络和拨号连接”中“本地连接”中选取“Internet协议(TCP/IP)”属性,进入“高级TCP/IP设置”“WinS设置”里面有一项“禁用TCP/IP的NETBIOS”,打勾就关闭了139端口。
445端口的关闭
修改注册表,添加一个键值
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBT\Parameters在右面的窗口建立一个SMBDeviceEnabled 为REG_DWORD类型键值为 0这样就ok了
3389的关闭
XP:我的电脑上点右键选属性-- 远程,将里面的远程协助和远程桌面两个选项框里的勾去掉。
修改3389的默认端口
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
来到这里,找到PortNumber ,十进制是3389的,你随意把它改成其它4个数字吧,我改成1314了
这样入侵者就不能3389入侵你的电脑了。
三:关闭垃圾服务:
关掉大部分没用的服务,不但可以使系统安全得到提升,而且系统的资源占用率有了大幅度的下降,开机速度明显加快。
Alerter -错误警报器。
Automatic updates -windows自动更新。
COmputer browser - 用来浏览局域网电脑的服务,但关了也不影响浏览!
Distributed link tracking client-用于局域网更新连接信息,比如在电脑A有个文件,在B做了个连接,如果文件移动了,这个服务将会更新信息。占用4兆内存。
MYINS.EXE是特洛伊木马吗?
是木马,下载360安全卫士扫描一下。360对付木马很好用,有自带多种专杀,
配合专杀使用,查杀效果更好。
帮忙 病毒
说明:源头的判断来自下面分析的第二项,表说bms.yesky.com跟天极网没有关系!]
��以下是转自金山病毒百科的内容,毒霸定义其为Win32.Troj.ADLoad.an
��该病毒为Windows平台下的下载广告的木马型病毒,病毒运行后的通过网络下载相关的广告插件,下载后的文件伪装成系统正常文件使用户不易察觉。
病毒主要通过捆绑软件方式进行传播。
1、下载/生成以下文件:
%Windir%\System32\magicap.dll
%Windir%\System32\magicap.ver
%Windir%\System32\magicaptmp.ver
%Windir%\System32\taskmngr.exe
%Windir%\System32\autorun.inf
%Windir%\System32\taskmngrtmp.exe
%Windir%\System32\d11host.exe
%Windir%\System32\magicapf.log
%Windir%\System32\oleauto32.dll
%Windir%\System32\ntcoredll.dll
%Windir%\System32\rpcfap.dll
%Windir%\System32\fileap.dll
%Windir%\System32\fileap.ver
%Windir%\System32\msieinslog.dat
%Windir%\prfexp.dat
%Windir%\secupadf.dat
%Windir%\msimfinst.log
%Windir%\ntcoredlltmp.dll
2、通过可用的网络资源下载以下文件:
保存为: %Windir%\system32\magicap.ver
保存为: %Windir%\system3\taskmngr.exe
3、将%windir%\system32\spydll.dll注入explorer进程
4、写入注册表项:
[HEKY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
{372F096E-977F-4BF9-A97E-0BBED41332F2}="magicaps"
[HEKY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
{372F096E-977F-4BF9-A97E-0BBED41332F2}="magicaps"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
d11host="C:\\WINNT\\System32\\d11host.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
这是一个新的广告插件Win32.Troj.ADLoad.an,会自动封住用户的登陆和注销方式,并在注册表里写入广告信息,查看一下你的收藏夹里有没有被加进一些乱七八糟的网页,如果有的话就是这个家伙无疑。GinaDLL="rpcfap.dll"
��处理说明:
由于没有实例,只好进行空手道的描述,中标者可以扫描自己的SREng日志或hijackthis日志,然后对照上面的分析进行处理,SREng和hijackthis以及下面提到的工具在置顶日志里的反病毒常用工具有下载,如果有些东东删除不动,就用killbox或unlocker来进行,整个处理过程可能需要进入安全模式,并设置文件夹选项为显示所有隐藏文件及系统文件。
你可以在网上下载一个杀毒工具,--ewido,对付这个还是很有效的!