瑞星卡卡安全论坛

首页 » 技术交流区 » 系统软件 » 求助:用net share查看的,我的电脑是否已中木马?
asenc - 2007-5-6 12:55:00
如图,被远程管理?

附件: 439455200756124557.jpg
超级游戏迷 - 2007-5-6 13:04:00
把TLENT等不必要的远程控制的服务项目关闭就可拉。
     ↑
错误应是“Telnet”服务
万恶我为首 - 2007-5-6 14:18:00
引用:
【超级游戏迷的贴子】把TLENT等不必要的远程控制的服务项目关闭就可拉。
     ↑
错误应是“Telnet”服务
………………

我的没有

附件: 371386200756140850.bmp
超级游戏迷 - 2007-5-6 21:52:00
引用:
【超级游戏迷的贴子】把TLENT等不必要的远程控制的服务项目关闭就可拉。
     ↑
错误应是“Telnet”服务
………………
谢谢版主修改。
oO随风飞舞Oo - 2007-5-6 21:59:00
bu dong
蚊舞双拳 - 2007-5-6 22:16:00
远程服务这个垃圾干嘛不关了?
asenc - 2007-5-7 11:38:00
可是Telnet服务早就被我禁用了啊?

附件: 439455200757112818.jpg
超级游戏迷 - 2007-5-7 11:42:00
原来自己一直都有,等高手解释一下:

附件: 819803200757113212.jpg
zgr稳得起 - 2007-5-7 12:38:00
引用:
【asenc的贴子】可是Telnet服务早就被我禁用了啊?
………………

你的系统里还有应该关闭的服务没有关闭嘛,还有“Guest”用户可能没禁止掉嘛?系统做得不干净不彻底嘛。所以会被远程了。
zgr稳得起 - 2007-5-7 12:45:00
引用:
【超级游戏迷的贴子】原来自己一直都有,等高手解释一下:
………………

你把下面的文字内容保存为“inf”文件再安装一回再将蓝绿色的字符保存为“bat”并且执行一回批处理文件重新启动一回系统再执行一回那个批处理文件就应该没有了。

[version]
Signature=$CHICAGO$
[defaultinstall]
addreg=My.add.reg
[My.add.reg]

HKLM,SYSTEM\CurrentControlSet\Services\NetBT\Parameters,SMBDeviceEnabled,,0x00010001,0,;←①彻底关闭445端口
HKLM,SYSTEM\CurrentControlSet\Services\lanmanserver\parameters,AutoShareServer,0x00010001,0,;←②封杀共享磁盘禁止默认共享
HKLM,SYSTEM\CurrentControlSet\Services\lanmanserver\parameters,AutoShareWks,0x00010001,0,;←③封杀共享磁盘禁止默认共享
HKLM,SYSTEM\CurrentControlSet\Control\Lsa,restrictanonymous,0x00010001,1,;←④(不允许SAM帐户和共享的匿名枚举)
HKLM,Software\Microsoft\Windows\CurrentVersion\Policies\System,dontdisplaylastusername,0x00010001,1,;←⑤(不显示上次登陆的用户名)
HKLM,SYSTEM\CurrentControlSet\Control\SecurePipeServers\winreg,RemoteRegAccess,0x00010001,1,;←⑥禁止远程修改注册表
HKLM,SYSTEM\ControlSet001\Services\lanmanserver,Start,0x00010001,4;←⑦(Server)支持此计算机通过网络的文件、打印、和命名管道共享。如果服务停止,这些功能不可用。如果服务被禁用,任何直接依赖于此服务的服务将无法启动。


@ECHO OFF

net share c$ /delete
net share d$ /delete
net share e$ /delete
net share f$ /delete
net share g$ /delete
net share admin$ /delete
lsf668668 - 2007-5-7 12:46:00
原来我的也是这样呀!

附件: 527636200757123647.jpg
lsf668668 - 2007-5-7 13:00:00
引用:
【zgr稳得起的贴子】
你把下面的文字内容保存为“inf”文件再安装一回再将蓝绿色的字符保存为“bat”并且执行一回批处理文件重新启动一回系统再执行一回那个批处理文件就应该没有了。

[version]
Signature=$CHICAGO$
[defaultinstall]
addreg=My.add.reg
[My.add.reg]

HKLM,SYSTEM\CurrentControlSet\Services\NetBT\Parameters,SMBDeviceEnabled,,0x00010001,0,;←①彻底关闭445端口
HKLM,SYSTEM\CurrentControlSet\Services\lanmanserver\parameters,AutoShareServer,0x00010001,0,;←②封杀共享磁盘禁止默认共享
HKLM,SYSTEM\CurrentControlSet\Services\lanmanserver\parameters,AutoShareWks,0x00010001,0,;←③封杀共享磁盘禁止默认共享
HKLM,SYSTEM\CurrentControlSet\Control\Lsa,restrictanonymous,0x00010001,1,;←④(不允许SAM帐户和共享的匿名枚举)
HKLM,Software\Microsoft\Windows\CurrentVersion\Policies\System,dontdisplaylastusername,0x00010001,1,;←⑤(不显示上次登陆的用户名)
HKLM,SYSTEM\CurrentControlSet\Control\SecurePipeServers\winreg,RemoteRegAccess,0x00010001,1,;←⑥禁止远程修改注册表
HKLM,SYSTEM\ControlSet001\Services\lanmanserver,Start,0x00010001,4;←⑦(Server)支持此计算机通过网络的文件、打印、和命名管道共享。如果服务停止,这些功能不可用。如果服务被禁用,任何直接依赖于此服务的服务将无法启动。


@ECHO OFF

net share c$ /delete
net share d$ /delete
net share e$ /delete
net share f$ /delete
net share g$ /delete
net share admin$ /delete

………………

谢谢版主,按照你的方法做了,确实没有了.


附件: 527636200757125017.jpg
zgr稳得起 - 2007-5-7 13:09:00
俺的系统很安全。



附件: 691946200757125937.jpg
gtkx - 2007-5-7 13:16:00
我的有问题吗?

附件: 838802200757130600.bmp
zgr稳得起 - 2007-5-7 13:28:00
引用:
【gtkx的贴子】我的有问题吗?
………………

你在那个窗口下打入“net user”和“net share”命令就可以看到结果了。
gtkx - 2007-5-7 13:32:00
引用:
【zgr稳得起的贴子】
你在那个窗口下打入“net user”和“net share”命令就可以看到结果了。

………………

再看看

附件: 838802200757132211.bmp
zgr稳得起 - 2007-5-7 13:34:00
引用:
【gtkx的贴子】
再看看
………………

有问题的,赶快采用我九楼提供的方法处理一下就可以了。
万恶我为首 - 2007-5-7 13:49:00
好了
gtkx - 2007-5-7 13:59:00
引用:
【zgr稳得起的贴子】
有问题的,赶快采用我九楼提供的方法处理一下就可以了。
………………

现在好了吗?

附件: 838802200757134943.jpg
bettertiger - 2007-5-7 14:02:00
是共享默认是打开的,关闭即可了。
gtkx - 2007-5-7 14:26:00
引用:
【bettertiger的贴子】是共享默认是打开的,关闭即可了。
………………

我的好了没?
天月来了 - 2007-5-7 14:39:00
那象家里两台以上的电脑,共享一个宽带的,同时几台电脑之间还得传点文件用用。

这又怎么办呢?

那方法会不会导致,没法共享了。

呵呵!!!!!!!
超级游戏迷 - 2007-5-7 20:12:00
【回复“zgr稳得起”的帖子】再次感谢版主,帖子我收藏了。
asenc - 2007-5-7 20:42:00
感谢版主

看了版主好多的帖子,发现都是用*.inf文件解决问题,请问一下这文件有什么优点吗
asenc - 2007-5-7 21:18:00
引用:
【zgr稳得起的贴子】
你的系统里还有应该关闭的服务没有关闭嘛,还有“Guest”用户可能没禁止掉嘛?系统做得不干净不彻底嘛。所以会被远程了。

………………



帐户管理显示“Guest”用户没有启用,请问是表示被禁用了吗?是有更底层的禁用吗?

附件: 439455200757210831.jpg
asenc - 2007-5-7 21:33:00
引用:
【zgr稳得起的贴子】
你把下面的文字内容保存为“inf”文件再安装一回再将蓝绿色的字符保存为“bat”并且执行一回批处理文件重新启动一回系统再执行一回那个批处理文件就应该没有了。

还有几个问题请教版主:
1.用上述的方法重启电脑后为什么还要再执行一回那个批处理的文件(就是指第二次运行批处理文件),我试过,但是没发现有什么不同
2.安装这个.inf文件是否就相当于在“服务管理“里更改?
3.还原共享的话是否就在图示处输入Y?

4.如下图,貌似我电脑里还有两个帐户,大虾们帮我看看……

附件: 439455200757212311.jpg
ADL - 2007-5-7 21:47:00
直接禁用server服务,一了百了!
asenc - 2007-5-8 9:22:00
但是如25楼图,我的电脑好像有另外一个用户?跟版主的一比较就可以看出来
zgr稳得起 - 2007-5-8 13:51:00
引用:
【asenc的贴子】但是如25楼图,我的电脑好像有另外一个用户?跟版主的一比较就可以看出来
………………

我是将“Administrator”超级管理员用户更名后就直接以超级管理员用户登录的并且还将
“Guest”用户停止了的。所以就与你的不一样了,
你如果也将停用“Guest”用户和更名超级管理员用户并且用他登录也就与俺的一样了。如果确实不想使用“Guest”用户也可以直接将“Guest”用户删除掉也可以的。这样系统更加安全了。要删除“Guest”用户的方法是:打开注册表编辑器定位到:我的电脑\HKEY_LOCAL_MACHINE\SAM\SAM键值上首先击右键在右键菜单上选择权限并赋于它system的管理权限,再刷新一下,再展开到“我的电脑\HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000001F5”在“000001F5”键值上击右键删除即可。(不过事先定要将此键值做一个备份给自己留一条后路)如果是将“Guest”用户删除了系统就非常安全了,不过删除它后有一个小小的缺点就是在组策略里不能管理“设置安全”项下的“安全选项”就不能修改了不过可事先在级策略里设置好再删除他就没关系了。


现代 - 2007-5-8 15:58:00
顶一下,我的是用一些小软件设置没的。
12
查看完整版本: 求助:用net share查看的,我的电脑是否已中木马?
© 2000 - 2026 Rising Corp. Ltd.