服务器装的卡巴60全盘杀毒,一个没杀出来搜索“共享自动停止“,找到如下解决方法:
病毒名称:魔波(WormMocbota)
危害等级:★★★★
该病毒利用MS06-040漏洞进行传播。传播过程中可导致系统服务崩溃,网络连接被断开等现象
例如
应用程序发生异常
未知软件异常0xc0000409
位置为0x5fdda3c0
被感染的计算机会自动连接指定的IRC服务器,被黑客远程控制,同时还会自动从互联网上下载的一个名为“等级代理木马变种AWP(TrojanProxyRankyawp)”的木马病毒。
病毒会创建系统服务,实现随系统启动自动运行的目的。
利用MS06-040漏洞传播
该病毒会利用Microsoft
Windows
Server服务远程缓冲区溢出漏洞(MS06-040
Microsoft
Windows的Server服务在处理RPC通讯中的恶意消息时存在溢出漏洞,远程攻击者可以通过发送恶意的RPC报文来触发这个漏洞,导致执行任意代码)
该病毒会关闭server服务,导致共享失败,如果是adsl用户,将无法拔号,不能上网。
补丁信息:
文件名
WindowsServer2003-KB921883-v2-x86-CHSexe
版本:
921883
安全公告:
MS06-040
知识库
(KB)
文章针对系统的默认共享,有以下几种方法可以考虑:\x0d\\x0d\一、右键“停止共享”法\x0d\到“计算机管理”窗口中某个共享项(比如H$)上右键单击,选择“停止共享” 并确认后就会关闭这个共享,它下面的共享图标就会消失,重复几次所有的项目都可以停止共享。\x0d\\x0d\注意:但这种方法治标不治本,如果机器重启的话,这些共享又会恢复。此法比较适合于永不关闭的服务器,简单而且有效。\x0d\\x0d\二、批处理自启动法\x0d\打开记事本,输入以下内容(记得每行最后要回车):\x0d\net share ipc$ /delete\x0d\net share admin$ /delete\x0d\net share c$ /delete\x0d\net share d$ /delete\x0d\net share e$ /delete\x0d\(你有几个硬盘分区就写几行这样的命令)\x0d\保存为NotSharebat(注意后缀!),然后把这个批处理文件拖到“程序”→“启动”项,这样每次开机就会运行它,也就是通过net命令关闭共享。\x0d\如果哪一天你需要开启某个或某些共享,只要重新编辑这个批处理文件即可(把相应的那个命令行删掉)。\x0d\\x0d\三、注册表改键值法\x0d\“开始”→“运行”输入“regedit”确定后,打开注册表编辑器,找到“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters”项,双击右侧窗口中的“AutoShareServer”项将键值由1改为0,这样就能关闭硬盘各分区的共享。如果没有AutoShareServer项,可自己新建一个再改键值。然后还是在这一窗口下再找到“AutoShareWks”项,也把键值由1改为0,关闭admin$共享。最后到“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa”项处找到“restrictanonymous”,将键值设为1,关闭IPC$共享。\x0d\注意:本法必须重启机器,但一经改动就会永远停止共享。\x0d\\x0d\四、停止服务法\x0d\还是到“计算机管理”窗口中,单击展开左侧的“服务和应用程序”并选中其中的“服务”,此时右侧就列出了所有服务项目。共享服务对应的名称是“Server”(在进程中的名称为services),找到后双击它,在d出的“常规”标签中把“启动类型”由原来的“自动”更改为“已禁用”。然后单击下面“服务状态”的“停止”按钮,再确认一下就OK了。\x0d\\x0d\五、卸载“文件和打印机共享”法\x0d\右击“网上邻居”选“属性”,在d出的“网络和拨号连接”窗口中右击“本地连接”选“属性”,从“此连接使用下列选定的组件”中选中“Microsoft网络的文件和打印机共享”后,单击下面的“卸载”按钮并确认一下。\x0d\注意:本方法最大的缺陷是当你在某个文件夹上右击时,d出的快捷菜单中的“共享”一项消失了,因为对应的功能服务已经被卸载掉了!使用Windows 2000/XP的用户都会碰到一个问题,那就是默认的管理共享。虽然用户并没有设置共享,但每个盘符都被Windows自动设置了共享,其共享名为盘符后面加一个符号$。一般来说,除了每个硬盘都被共享外,还存在Admin、IPC这两个共享(分别为远程管理共享与远程网络连接)。这样,局域网内同一工作组内的计算机,只要知道被访问主机的管理员密码,就可以通过在浏览器的地址栏中输入“计算机名盘符$”来访问你的文件。例如,假如你的计算机名为ID1,那么别的计算机只要输入ID1C$就可以访问你的C盘了,是不是觉得很不安全?
Windows提供了Net Share这一命令来删除管理共享。在“运行”中输入cmd,进入到命令提示符窗口,输入net share c$ /del就可以删除该管理共享,但这种删除只是暂时的,当电脑重新启动后被删除的共享又会自动出现。为了彻底消除这种隐患,可以通过修改注册表来达到目的,但是毕竟对注册表的改动具有一定的风险性,初学者也不敢轻易动手。其实,我们完全可以不动注册表,用下面的方法就可以轻松把管理共享从电脑中请出去了。
首先,运行cmd,在系统的DOS窗口中,在命令提示符后输入Net Share,系统便会把本机上所有的共享资源列出。也可以在[控制面板]→[管理工具]→[计算机管理]窗口中进行查看(如图)。这样,我们就心里有数,知道自己要“消灭的对象”了。
接下来,新建一个后缀名为BAT的批处理文件,在该文件中按以下格式输入命令:
net share admin$ /del
net share ipc$ /del
net share c$ /del
net share d$ /del
如果还有其他盘符共享,可以依次添加进去。
第三步是将刚刚创建好的批处理文件加入到系统的“任务计划”,并在执行任务的选项中选择“计算机启动时”。这样在每次开机后系统就会自动运行该批处理文件,关闭指定的默认共享服务了。如果你不想使用“计划任务”,那么可以把该批处理文件的快捷方式拖到“启动”菜单中,同样也能达到目的。
注册表彻底关闭共享:
可以单击“开始→运行”命令,在运行窗口键入“Regedit”后回车,打开注册表编辑器。依次展开[HKEY_LOCAL_MACHINE\SYSTEM\Current-ControlSet\Services\lanmanserver\parameters ]分支,将右侧窗口中的DOWRD值"AutoShareServer”设置为“0”即可。分类: 电脑/网络 >> *** 作系统/系统故障
解析:
如何防范ipc$入侵
1、禁止空连接进行枚举(此 *** 作并不能阻止空连接的建立)
首先运行regedit,找到如下组建[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Co
ntrol\LSA]把
RestrictAnonymous = DWORD的键值改为:。
restrictanonymous REG_DWORD
0x0 缺省
0x1 匿名用户无法列举本机用户列表
0x2 匿名用户无法连接本机IPC$共享
说明:不建议使用2,否则可能会造成你的一些服务无法启动,如SQL Server
2、禁止默认共享
1)察看本地共享资源
运行-cmd-输入 share
2)删除共享(每次输入一个)
share ipc$ /delete
share admin$ /delete
share c$ /delete
share d$ /delete(如果有e,f,……可以继续删除)
3)修改注册表删除共享
运行-regedit
找到如下主键[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServ
er\Parameters]
把AutoShareServer(DWORD)的键值改为:。
如果上面所说的主键不存在,就新建(右击-新建-双字节值)一个主健再改键值。
3、停止server服务
1)暂时停止server服务
stop server /y (重新启动后server服务会重新开启)
2)永久关闭ipc$和默认共享依赖的服务:lanmanserver即server服务
控制面板-管理工具-服务-找到server服务(右击)-属性-常规-启动类型-已禁用
4、安装防火墙(选中相关设置),或者端口过滤(滤掉139,445等)
1)解开文件和打印机共享绑定
鼠标右击桌面上[网络邻居]→[属性]→[本地连接]→[属性],去掉“Microsoft网络
的文件和打印机共享”前面的勾,解开文件和打印机共享绑定。这样就会禁止所有从13
9和445端口来的请求,别人也就看不到本机的共享了。
停止server服务 100%可以!!!下面这些服务根据自己的需要,不用的都可以放心的关掉:Adaptive brightness监视周围的光线状况来调节屏幕明暗,如果该服务被禁用,屏幕亮度将不会自动适应周围光线状况。该服务的默认运行方式是手动,如果你没有使用触摸屏一类的智能调节屏幕亮度的设备,该功能就可以放心禁用。Application Layer Gateway ServiceWindows XP/Vista中也有该服务,作用也差不多,是系统自带防火墙和开启ICS共享上网的依赖服务,如果装有第三方防火墙且不需要用ICS方式共享上网,完全可以禁用掉。Application Management该服务默认的运行方式为手动,该功能主要适用于大型企业环境下的集中管理,因此家庭用户可以放心禁用该服务。Background Intelligent Transfer Service在后台传输客户端和服务器之间的数据。如果禁用了BITS,一些功能,如 Windows Update,就无法正常运行。该服务的默认运行方式是自动,这个服务的主要用途还是用于进行Windows Update或者自动更新,最好不要更改这个服务。Base Filtering Engine同样为系统防火墙,***以及IPsec提供依赖服务,同时也是系统安全方面的服务,如果使用第三方***拨号软件并且不用系统的防火墙以及ICS共享上网,为了系统资源,关闭它吧,否则就别动它。BitLocker Drive Encryption Service向用户接口提供BitLocker客户端服务并且自动对数据卷解锁。该服务的默认运行方式是手动,如果你没有使用BitLocker设备,该功能就可以放心禁用。Block Level Backup Engine Service估计是和备份恢复方面用的服务,无任何依赖关系,默认是手动,也从来没有看他启动过。就放那吧,不用管了。Bluetooth Support Service如果你没有使用蓝牙设备,该功能就可以放心禁用。Certificate Propagation为智能卡提供证书。该服务的默认运行方式是手动。如果你没有使用智能卡,那么可以放心禁用该服务。CNG Key Isolation那么这个服务将被使用,建议不使用自动有线网络配置和无线网络的可以关掉。Computer Browser不过如果你没有使用局域网或者你根本就不想使用局域网,该功能就可以放心禁用,禁用后任然可以使用Diagnostic Policy ServiceDiagnostic Policy服务为Windows组件提供诊断支持。如果该服务停止了,系统诊断工具将无法正常运行。如果该服务被禁用了,那么任何依赖该服务的其他服务都将无法正常运行。该服务的默认运行方式是自动,Vista或IE7有时会d出对话框问你是否需要让它帮忙找到故障的原因,只有1%的情况下它会帮忙修复Internet断线的问题,可以关掉。Diagnostic Service Host这就是帮上面Diagnostic Policy Service做具体事情的服务,会随着上面的服务启动,可以一起关掉。Diagnostic System Host基本和Diagnostic Policy Service/Diagnostic Service Host是同类,可以一起关掉。Distributed Link Tracking Client:这个功能一般都用不上,完全可以放心禁用。
欢迎分享,转载请注明来源:内存溢出
评论列表(0条)