方法一:
直接删除C:\WINDOWS\system32和C:\WINDOWS\system32\dllcache这两个目录的sethc.exe文件,(注意:dllcache这个目录是隐藏的,要在文件夹选项里选择"显示所有文件和文件夹"把"隐藏受系统保护的操作系统文件"的选择取消才能看得到).这种方法不能完全解除,当服务器重启后,还是会出现后门。
方法二:
使用权限来约束这两个文件C:\WINDOWS\system32和C:\WINDOWS\system32\dllcache这两个目录的sethc.exe文件,操作步骤:
1、找到C:\WINDOWS\system32目录下的sethc.exe文件,找不到的用户可直接搜索sethc,在sethc上右键,选择属性;
2、切换到【文件】选卡,点击”高级“,去掉“允许父项的继承权限传播到该对象和所有子对象”的勾选选项,点击【更改】,弹出选择用户和组 框点击”立即查找“,在搜索结果www.winwin7.com中找到”Everone“用户,点击确定 如图所示:
3、继续确定-- 确定,重新打开sethc属性,在安全选卡下将”Everoy“用户的权限设置为全部拒绝。
(注意:dllcache这个目录是隐藏的,要在文件夹选项里选择"显示所有文件和文件夹"把"隐藏受系统保护的操作系统文件"的选择取消才能看得到). 在权限里设置为所有用户(Everyone)禁止运行。通过以上方法即可彻底删除3389shift后门!
分享到: