UC知道【邀请崔衍渠回答】此种病毒如何防范
来源:百度知道 编辑:UC知道 时间:2024/05/21 14:07:42
中的是木马群,网吧主板自带三茗保护卡,大部分机器没事,有些机器开机就下载N多木马,有还原也没用,中毒机器一开机欣向ARP扫描就提示,网吧用的是MSS软路由服务器,路由上和客户端都双向绑定IP MAC,下面客户端是开机执行MSS上的批处理绑定的,但是遇到ARP有的机器还是掉线,批处理里面已经添加类似:
md c:\WINDOWS\IGM.exe >nul 2>nul
>>%systemroot%\system32\drivers\etc\hostsecho 0.0.0.0 72.8.136.158
注册表里面也添加类似:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IGM.exe]
"Debugger"="c:\\病毒类.exe"
但是没什么效果,病毒照样运行,请问崔老师,这样的病毒该如何防范措施免疫?比如添加批处理命令,或客户机组策略绑定,谢谢!
md c:\WINDOWS\IGM.exe >nul 2>nul
>>%systemroot%\system32\drivers\etc\hostsecho 0.0.0.0 72.8.136.158
注册表里面也添加类似:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IGM.exe]
"Debugger"="c:\\病毒类.exe"
但是没什么效果,病毒照样运行,请问崔老师,这样的病毒该如何防范措施免疫?比如添加批处理命令,或客户机组策略绑定,谢谢!
I do not think so! ! Perhaps it is that what I did is wrong, but you should not retaliate against me with this way! ! Not only this, I but also know, you have not accomplished my requirement to you at all times! ! I am sorry! ! It is impossible for us! !
其实,这个是客户机上的MAC地址没有绑死。因为网上流传的绑定MAC的批处理实际上是抓网络里ARP包来确定网关MAC,如果网络里的这个包是假的话,客户机第一时间就会中。所以不要用网上那个批处理,直接用ARP -S 绑定。至于破还原,一般的病毒都没这本事,而且你也没有全中。所以我认为只是有几台中了,报毒的断网恢复系统,应该就可以了。
PS:我是你同行,一名网吧网管。