你好:

     感谢你访问我的 Blog ,本博客只提供博主的技术经验分享,你可以在此做简单的留言和评论,我会抽空回复你;若是要深入交流探讨,请联系QQ:47853253或者加QQ群:12012081


 

网吧盗号解决办法以及易乐游安全中心最新导出的配置

在安全中心里边阻止进程名,拦截特征码,屏蔽网址。

 禁止360极速浏览器安装新版:

C:\360极速浏览器\Chrome\User Data\v3update\install     install目录不给权限

c:\msiexec.exe  建立一个没有权限的目录

c:\windows\temp\csrrs.exe

c:\windows\temp\svchost.exe

 

_____

 

 
txupd.exe
wowexec.exe
888.exe
usb3mon.exe
elxplorarwinad.exe
_____________
bdzgwb.exe
ltuy.exe
fetyym.exe
suilyclient.exe
ltfmuxcq.exe
ltmsjaw.exe
entupdate.exe
syslemcyqji.exe
oyiw.exe
ltc.exe
___________
fekyc4.exe
svcheev.exe
7M9QVX.exe
2TDtfm.exe
svchffk.exe
____________
rJODA77.tmp
f28BD26.tmp
 temp
 
 
 
p.vf5c.com
www.netbars.net
www.hbwymy.com
www.zzhuatai.com
www.lslstribe.com
s11.cnzz.com
c.cnzz.com
z13.cnzz.com
cnzz.mmstat.com
p.5mnh.com
pcookie.cnzz.com
cnzz.com
www.dy2004.com
i2.tietuku.com
v.5youka.com
p.vf5c.com
jump.aizijiol.com
p1.16610.com
 
 
 
119.147.138.202
119.63.38.120
124.232.141.6
122.224.54.43
192.74.251.190
61.142.250.103
 
 
 
在c:\windows\temp\创建svchost.exe 和 csrrs.exe的禁止访问的目录。
以下特征码拦截:
 
 
 
 
52E53942D9F81E9C7D32CD553F145295
e1532e3e30e58e66fe4d36f8293a3c26
150abec156488e68c002d43f4368c452
9c7ca18f29b67707fb3d431c3a83be85
14ea972c1423bdb0f645f7485e3a63d8
a30bb9e6fe58c04ce9395a1605a7310c
fc46c41ac446c83c1d8999902a07e630
88765cb878cc3fbde6af26cc8d1cf572
3056bf2ac4be62234d70e2e2c734aac9
 
以上确定没问题
__________________________________
 
4FABBEA96FD3E7D07CBFCC481926A2E0
D52D7B0B1CB4292CDCF41A22E3731264
54CBEECFA52917CB09B59AEC2A994B0A
602FF3D6114A83C954727F6597DB8CFA
91B18021CA2A26CEABF8E81A4B28812B
8B0E54AF2F0A8B610E4F342445A0D96C
388D2EB8A670E69D26984A60087B7068
AF4EDDAB12089CDFF37E39766DB22D9E
138662D153EB34813DDACF17E3D3F0AE
___________________________________
初步怀疑:以下3行
35AE50873C393181C00CB461B85FC5EA
2A57FB35B6C1619BD9FEDE1D1D5106DC
46805FFD996B172DBE96C491B51E30B8
 
-----------------------------
C7BBFA8CEF4592CA715CFB800D1A63A4
41E7A253D782EF0653DDC29CF52EF4A6
----------------------------------------
 
 
C:\windows\temp\svchost.exe 
4FABBEA96FD3E7D07CBFCC481926A2E0
 
C:\windows\temp\csrrs.exe
D52D7B0B1CB4292CDCF41A22E3731264
 
54CBEECFA52917CB09B59AEC2A994B0A
C:\Program Files\Nhckyt\l0FsdQ.exe
 _______________________________
jPK5E06.tmp
91B18021CA2A26CEABF8E81A4B28812B
 
8B0E54AF2F0A8B610E4F342445A0D96C
Tgb7F7C.tmp
 
c:\windows\temp\20150823\svchsmo.exe
C7BBFA8CEF4592CA715CFB800D1A63A4
 
c:\windows\temp\20150823\svchkmi.exe
41E7A253D782EF0653DDC29CF52EF4A6
 
602FF3D6114A83C954727F6597DB8CFA
C:\Users\Administrator\AppData\Roaming\Temp\svchsmo.exe
 __________________________________________
 
 388D2EB8A670E69D26984A60087B7068
C:\Program Files\M4rRyc\SPXMtM.exe
 
138662D153EB34813DDACF17E3D3F0AE
C:\Users\Administrator\AppData\Roaming\cqRMqs.exe
 
AF4EDDAB12089CDFF37E39766DB22D9E
C:\Program Files\lsuYnP\GKGiyt.exe
_____________________________
 

 进程:这组进程一看感觉有问题

svcheev.exe

svchffk.exe

svchsmo.exe

svchkmi.exe

 

 

软件限制策略:

____________________________________

C:\Users\Administrator\AppData\Roaming\Temp\svc????.exe
c:\windows\temp\20??????\svc????.exe

——————————————————————————

C:\users\administrator\AppData\Local\Temp\svchost.exe
C:\Program Files\??????\??????.exe
C:\windows\temp\svchost.exe
C:\windows\temp\csrrs.exe

C:\Windows\SysWOW64\SVHOST.EXE

C:\Users\Administrator\AppData\Local\Temp\dico*\*

C:\Users\Administrator\AppData\Local\Temp\58*\*

C:\Users\Administrator\AppData\Local\Temp\ltd\*

————————————————————
以下是允许的:
C:\Program Files\WinRAR\UnRAR.exe
C:\Program Files\WinRAR\Rar.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\Program Files\WinRAR\Uninstall.exe

 

 

驱动防火墙必须放行的几个驱动:

1.万象的驱动:

wxcliker.sys

2.腾讯的:

TesSafe.sys

tesvbox.sys

3.劲舞团:

CPS.sys

4.跑跑卡丁车:

Eaglex64.sys

5.USB:

fastfat.sys

cdrom.sys

6.刀剑英雄:

CProtect64.sys

7.炉石传说需要启动以下windows服务:

Secondary Logon

sc config seclogon start= auto 2>nul 1>nul
sc start seclogon 2>nul 1>nul

 ——————————————————————

被强制安装百度浏览器和QQ浏览器等的办法:

我已经收集的了这些强制安装的软件 的证书在百度空间,搜索证书即可下载,把证书下载之后,利用证书规则阻止该类软件的安装。但注意,如果你导入了腾讯的证书阻止,那有可能QQ都无法启动。

注意:使用了证书规则之后,电脑需要重启才会生效!!

——————————————————————————————

易乐游的安全中心其实利用的就 是windows的本地安全策略如此对应:

进程拦截:路径规则

新建路径规则,不指定路径,直接输入进程名,那不管进程在哪个路径下,都无法启动。如:QQ.exe

其它路径的话可以使用通配符,?表示任意1个字符。*表示所有字符。

如:C:\Program Files\??????\??????.exe   这个表示,C:\Program Files\这个目录下任意6个字符目录下的任意6个字符名的exe文件禁止启动

特征码拦截:散列规则

散列规则,直接浏览到文件上,可以得到文件的希哈值,通过希哈值进行拦截。

Win764位下行为管理捕捉软件WindowsMonitor20150305   这个软件读到希哈值为0x????????????把0x去掉就是文件的希哈值。

 

网址过滤:hosts

编辑c:\windows\system32\drivers\etc\hosts   如:

127.0.0.1 www.baidu.com

 

IP地址过滤:IP安全策略

我的IP————一个特定的IP地址      阻止 

一个特定的IP地址————我的IP      阻止

 

以上这些都可以直接注册表导入,然后gpupdate /force  重启explorer.exe生效。

 



[本日志由 lq3447 于 2016-02-28 03:15 PM 编辑]
文章来自: 本站原创
引用通告: 查看所有引用 | 我要引用此文章
Tags:
评论: 0 | 引用: 0 | 查看次数: 731
发表评论
你没有权限发表留言!