案執行cmd的指令相關問題

Question

我最近好像中毒了，防毒也每天都會掃到一個病毒，電腦也變的怪怪的。

我案開始>執行>cmd>netstat -n之後

我發現一些很怪的ip連線我的電腦，還有ftp連接埠的，我根本沒連ftp押......

可是我卻不知道要輸入什麼指令來斷開IP，請問有人可以提供相關的指令嗎?

Answer 1

瀏覽網頁硬碟被共用，和“萬花穀”一樣，受害者都是在瀏覽了含有有害代碼的ActiveX網頁文件後中招的。以下是該網頁原代碼中的關鍵部分：
注意：以“Shl.RegWrite”開頭的這幾句代碼的作用是寫入瀏覽者的註冊表，在HKEY_LOCAL_MACHINE\Software\ Microsoft\Windows\CurrentVersion\Network\LanMan下面添加鍵值“RWC$”，在RWC$”下又分別建立鍵值“Flags”、“Type”“Path”，這樣就把c盤設為共用了，共用名稱為RWC$。而且你在網路屬性中還看不到硬碟被共用了！如果把 "Flags"=dword:00000302改成"Flags"=dword:00000402就可看到硬碟被共用。看來這個害人的傢夥很聰明，想到了 Flags值改成302後就可以秘密共用

由於只要瀏覽這類網頁硬碟即被共用，因此其危害較之木馬更大（個人觀點）。如果不小心中招，那麼給你下套的人完全可以把你的硬碟當做他的一個邏輯硬碟，他可以在你電腦中隨意拷貝檔，刪除檔，給檔改名……如果這樣還不能令他滿意，他完全可以給你再下個木馬（哦，錯了！不是一個、是一群木馬），那樣你就生不如死了，什麼秘密都沒有了：上網賬號、QQ密碼、給MM的信件……如果他高興還可以格式化你的硬碟，或者是在你的電腦中運行“江民炸彈”之類的軟體破壞你的硬碟。總之，你的一切都在他的掌握之下了，想想夠可怕了吧？！

解決辦法：把HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ Network\LanMan下面的“RWC$”刪掉。狠一點的，也可以把windows\system\下面的Vserver.vxd （Microsoft網路上的檔與印表機共用，虛擬周邊設備驅動程式）刪掉，再把HKEY_LOCAL_MACHINE\System\ CurrentControlSet\Services\VxD\下的Vserver鍵值刪掉，永絕這類“木馬”的後路吧。
防禦防範：
1、要避免中招，關鍵是不要輕易去一些自己並不瞭解的站點，特別是那些看上去美麗誘人的網址更不要貿然前往，否則吃虧的往往是你。

2、運行IE，點擊“工具→Internet選項→安全→Internet區域的安全級別，把安全極別由“中”改為“高”

3、由於該類網頁是含有有害代碼的ActiveX網頁檔，因此在IE設定中將ActiveX插件和控制項、Java腳本等全部禁止就可以避免中招。具體方法是：在IE窗口中點擊“工具→Internet選項，在彈出的對話方塊中選擇“安全”標籤，再點擊“自定義級別”按鈕，就會彈出“安全設定”對話方塊，把其中所有ActiveX插件和控制項以及Java相關全部選擇“禁用”即可。不過，這樣做在以後的網頁瀏覽過程中可能會造成一些正常使用ActiveX的網站無法瀏覽。唉，有利就有弊，您還是自己看著辦吧。

4、對於Windows98用戶，請打開C:\WINDOWS\JAVA\ Packages\CVLV1NBB.ZIP，把其中的“ActiveXComponent.class”刪掉；對於WindowsMe用戶，請打開C: \WINDOWS\JAVA\Packages\5NZVFPF1.ZIP，把其中的“ActiveXComponent.class”刪掉。請放心，刪除這個元件不會影響到你正常瀏覽網頁的。