0909 防火墙 Ewido

最近程序老是被天网防火墙整,索性找找几个知名的试一试。
ZoneAlarm Pro v6.5.737.000
ZoneAlarm 就会自动启动,帮你执行任务。你可以自由设置所有程序是否允许连接Internet,利用此种方法来防治一些来路不明的软件偷偷上网。最好的方法是锁住(Lock)网络不让任何程序通过,只有你核准的软件才可以通行无阻。你还可利用它来看看你开机后已经使用多少网络资源,也可以设定锁定网络的时间,这么好用的软件你一定要亲自使用才能感觉到它的威力。

BlackICE PC Server v3.6 cpn
该软件在九九年获得了PC Magazine 的技术卓越大奖,专家对它的评语是:“对于没有防火墙的家庭用户来说,BlackICE是一道不可缺少的防线;而对于企业网络,它又增加了一层保护措施–它并不是要取代防火墙,而是阻止企图穿过防火墙的入侵者。BlackICE集成有非常强大的检测和分析引擎,可以识别 200 多种入侵技巧,给你全面的网络检测以及系统防护,它还能即时监测网络端口和协议,拦截所有可疑的网络入侵,无论黑客如何费尽心机也无法危害到你的系统。而且它还可以将查明那些试图入侵的黑客的NetBIOS(WINS)名、DNS名或是他目前所使用的IP地址记录下来,以便你采取进一步行动。封言用过后感觉,该软件的灵敏度和准确率非常高,稳定性也相当出色,系统资源占用率极少,是每一位上网朋友的最佳选择。

Ewido V4.0.0.172c┊病毒库升级程序V3.3 Final
许多的反木马程序中,Ewido 是最好的。国内的木马x星等和它比简直是小儿科了。最近在http://www .anti-trojan-software-reviews .com/上的测试里表明,它可以有效地检测出多形态和进程注入式木马,这些甚至完全不能被像诺顿和AVG等杀毒软件所查杀。不过它没有TDS-3 或Trojan Hunter有效.但TDS-3目前还没推出支持中文操作系统的版本,Trojan Hunter是英文的没汉化版。但对于个人而言Ewido足够强大了,和kaspersky结合使用加上ZoneAlarm防火墙,可以使得系统坚若磐石。推荐所有没有安装反木马扫描器的个人计算机用户下载这个软件,并每周定期扫描。我猜你可能在你会为所得到的结果感到惊讶,
用这个扫描了一下硬盘,基本正常,就发现一个CNSmIN 和 CoolWebSearch的注册表残留
CNSmIN 就一个残留的3721键值、 CoolWebSearch 却是在VISUALSTATUIO 里面,真是奇怪。

更古怪的是,可能下载的是别人用过的,里面显示感染 NEWDOTNET
都是指向C盘,不过我C盘没有东西,只是引导

反间谍软件公司WebrootSoftware周二称,CoolWebSearch工具可以自行安装恶意HTML应用软件并利用IE上的安全漏洞。
  Webroot的常务董事NickLewis说:“对消费者而言,CoolWebSearch可能是最下流也最恶毒的程序之一。它完全劫持了IE浏览器,害你什么事都做不成。”  CoolWebSearch是Webroot评选的最新十大最下流间谍软件和广告软件列表中威胁最大的一个。Webroot的十大最坏的列表中还包括:
  PurityScan,一个显示弹出广告,声称可以发现并删除个人电脑上的色情内容的程序。
  Transponder (vx2),一个IE“浏览器助手”,它能够监控网络浏览并发送相关广告。
  KeenValue是一个广告程序,它收集个人信息并向计算机用户发送广告。
  Perfect Keylogger一个记录所访问过的站点、击键的记录和鼠标的移动的工具。它记录下用户的口令和账户等信息。
  “为了能躲避监测和清除,这些软件的编写者的编写技巧也在不断提高。”Webroot威胁研究的副主席Stiennon说,“这十个间谍软件是根据他们的影响和流行程度来选出的。”
  Webroot建议大家安装微软的安全补丁,避免使用免费软件并关闭通过IE中的ActiveX下载功能。

昨天晚上用上网助手扫描电脑时发现有提示危险的插件(间谍软件),其安装位置是c:\\program files\\NewDotNet,用上网助手没法删除,也不能直接删除,就用偶的另一套系统把NewDotNet目录删除了,可是这个开始了偶一夜的恶梦--我的系统不能上网了!!系统获得的是169段的IP,偶用了指定IP,DNS已经重新安装网卡驱动的等方法,都不能正常上网。最后只能求助于网络,几经折腾,总算弄懂了些:NewDotNet是介于正常插件与间谍软件之间的一种软件。又去了此软件的官方网站http://www .newd otnet.com/removal.html才知道了怎么删除它--一定要用软件本身的反安装程序NNuninstall.exe才行啊!
重要提示:NewDotNet不是一般的间谍软件,它没那么危险,但它却又改动了系统的网络设置,所以千万不要直接删除它,而要用其自身的反安装程序才行

[绝对新鲜出炉的原创]newdotnet恶梦

今天下午照例在网上瞎转悠,忽然速度变得奇慢。当时的第一反映就是中招。
一看进程,似乎没有问题。但是速度奇慢的事实证明了,中招是难免的。
于是打开了从黑基淘来的procexp,一看进程所调用的DLL,顿时傻了。
所有跟上网有关的进程里全都与NEWDOTNET里的两个神奇的DLL文件有瓜葛。
删除与之有关的EXE之后,恶梦从此开始。那newdotnet6_38.dll 死活删不掉。并且被一大堆
的系统进程调用。最要命的是,与网络有关的任何程序都连接不上网络。
用流氓软件杀手,杀手同志可以认出来。但是依然束手无册。
没辙,全自动删除吧(全部都要自己动手的删除方式……)。

停止进程(如果有)
ndnuninstall6_38.exe
programfilesdir+\\newdotnet\\uninstall6_38.exe
download.exe

撤消 DLL 的注册:
使用 Regsvr32 撤销以下 DLLs 的注册,然后重启:
programfilesdir+\\newdotnet\\newdotnet6_38.dll

最痛苦的就是注册表
HKEY_CLASSES_ROOT\\clsid\\&leftsign;4a2aacf3-adf6-11d5-98a9-00e018981b9e&rightsign;
HKEY_CLASSES_ROOT\\clsid\\&leftsign;dd521a1d-1f98-11d4-9676-00e018981b9e&rightsign;
HKEY_CLASSES_ROOT\\interface\\&leftsign;4a2aacf1-adf6-11d5-98a9-00e018981b9e&rightsign;
HKEY_CLASSES_ROOT\\interface\\&leftsign;dd521a1c-1f98-11d4-9676-00e018981b9e&rightsign;
HKEY_CLASSES_ROOT\\tldctl2.tldctl2c
HKEY_CLASSES_ROOT\\tldctl2.tldctl2c.1
HKEY_CLASSES_ROOT\\tldctl2.urllink
HKEY_CLASSES_ROOT\\tldctl2.urllink.1
HKEY_CLASSES_ROOT\\typelib\\&leftsign;dd521a10-1f98-11d4-9676-00e018981b9e&rightsign;
HKEY_LOCAL_MACHINE\\software\\microsoft\\code store database\\distribution units\\&leftsign;dd521a1d-1f98-11d4-9676-00e018981b9e&rightsign;
HKEY_LOCAL_MACHINE\\software\\microsoft\\code store database\\distribution units\\&leftsign;dd521a1d-1f98-11d4-9676-00e018981b9e&rightsign;\\contains\\files c:\\windows\\downloaded program files\\tldctl2.ocx
HKEY_LOCAL_MACHINE\\software\\microsoft\\code store database\\distribution units\\&leftsign;dd521a1d-1f98-11d4-9676-00e018981b9e&rightsign;\\installedversion
HKEY_LOCAL_MACHINE\\software\\microsoft\\windows\\currentversion\\moduleusage\\c:/windows/downloaded program files/tldctl2.ocx .owner
HKEY_LOCAL_MACHINE\\software\\microsoft\\windows\\currentversion\\moduleusage\\c:/windows/downloaded program files/tldctl2.ocx &leftsign;dd521a1d-1f98-11d4-9676-00e018981b9e&rightsign;
HKEY_LOCAL_MACHINE\\software\\microsoft\\windows\\currentversion\\run new.net startup
HKEY_LOCAL_MACHINE\\software\\microsoft\\windows\\currentversion\\uninstall\\new.net
HKEY_LOCAL_MACHINE\\software\\microsoft\\windows\\currentversion\\uninstall\\new.net publisher
HKEY_LOCAL_MACHINE\\software\\new.net
HKEY_LOCAL_MACHINE\\software\\new.net discardtag
HKEY_LOCAL_MACHINE\\software\\new.net firsttime
HKEY_LOCAL_MACHINE\\software\\new.net source
HKEY_LOCAL_MACHINE\\software\\microsoft\\windows\\currentversion\\run new.net startup

2000/XP下删除隐藏旧网卡方法
在windows2000中,利用”控制面板”中的添加/删除硬件”选项删除原有的网卡。启动”添加/删除硬件向导”,依次选择”卸载/拔插硬件-卸载设备”,钩选”显示隐藏设备”,可以找到原来的网卡,卸载即可。
在windows xp中,没有”卸载/拔插设备管理器”,而且”设备管理器”中的”查看”选项中虽有”显示隐藏设备”选项,但并不会显示己经拔除的旧网卡。
方法一:”命令提示符下”显示隐藏设备打开在windows xp的命令提示符,输入”set devmgr_show_nonpresent_devices=1”后回车,接着输入”start devmgmt.msc”,打开设备管理器,选择”查看”菜单中的”显示隐藏设备”,展开”网络适配器”,我们就会看到原有的网卡,卸载即可,从而释放原来与它捆绑在一起的IP地址。
方法二:修改”环境变量” 打开系统属性窗口,选择”高级”选项,点击下方的”环境变量”。在当前用户变量或“系统变量”中,点击“新建”按钮,在“变量名”一栏中输入“Devmgr_show_Nonpresent_Devices”,“变量值”一栏中输入“1”。最后,点击“确 定”按钮,关闭桌面窗口,重新打开“系统属性”中的“设备管理器”,选中“显示隐藏设备”,就可以随时查看真正隐藏的设备了。这种方法也可以通过修改注册表来实现。打开注册表编辑窗口,依次展开“HKEY-LOCAL-MACHINE\\\\System\\\\ControlSet001\\\\coontrol\\\\session manage”,在Environment键下新建”字符串值”,命名为”Devmgr_Show_Nonpresent_Devices”,双击此键,将”数据数值”高定为”1”。关闭注册表,重新启动windows xp或重新登录,就能看到真正隐藏的设备了。

历史博文

标签:,
二月 18, 2007 at 1:54 下午 by yippee 1,003 次
Category: Info
Tags: ,