使用Mcafee命令行快速查杀病毒

概述 1.下载Mcafee最新病毒库文件如sdat5035.exe; 2.执行sdat5035.exe /e命令解压; 3.在解压缩后的目录中执行scan /ad命令和参数执行全盘杀毒。 今天和技术部2个客户端猛将去为一个新客户实施全网查杀病毒的项目。该客户为一芯片设计行业外资企业,IT人员长期缺位,客户端和服务器安全防护非常差,网络内病毒肆虐。最近在很多员工的计算机上发现去年流行的威金病毒变种,导致无法打开word、excel等文档,严重影响客户正常业务;此外员工普遍反映最近上网非常不稳定,测试中ping网关设备断断续续,掉包非常严重,在排除线路故障后怀疑网络内有arp病毒攻击。 解决思路: 所有终端重启进入安全模式,使用威金专杀工具和传统杀毒软件扫描所有本地驱动器,查杀病毒;此外在网络中部署一台anti arp sniffer主机监控arp欺骗攻击。 在项目实施中,原计划为每个客户端项目成员在安全模式中使用avast!杀毒软件为系统做常规杀毒,但实际操作中发现avast!报未授权错误而无法正常进行杀毒操作。故变更方案为使用Mcafee的命令行模式完成此操作。 操作流程: 1.在Mcafee官方网站下载最新病毒库文件sdat5035.exe; 2.执行sdat5035.exe /e命令解压缩该更新文件; 3.在命令行下进入该解压文件夹,使用scan命令和/ad参数在全部驱动器上查杀病毒; scan /ad 4.等待查杀操作完成后,保存报告。
写给准备用mcafee8.5i企业版的朋友 mcafee是最受公认的监控最灵敏的防病毒软件 但是真正的精髓部分应该是它的文件访问保护部分(以及端口阻挡,注册表防护等等) 首先,若您想使用mcafee 我建议您要学会自己动手DIY最适合自己的规则 为自己的机器“量身定做”一套属于自己的,独一无二的细密而强大的保护规则 (别人做的规则不一定是适合您的) 您对系统的熟悉度越高,mcafee就越强大 反之,如果您对此一窍不通的话,mcafee也就发挥不出它应有的强大保护力了 可以说这样:只要您懂得并会熟练的运用好mcafee(8.5i)的访问保护 无论什么新型病毒,什么变种木马,加了什么壳,加了多少层壳 在您开着监控的情况下基本上都是无法对您的系统造成任何侵害的 附上我自己编写的部分规则: (仅供参考) 禁止在C盘根目录创建文件 禁止在WINDOWS目录中新建任何文件 禁止修改WINDOWS目录中的任何文件 禁止删除WINDOWS目录中的任何文件 禁止在WINDOWS根目录下新建任何文件 禁止在system32根目录下新建任何文件 禁止在C盘中新建,修改任何SCR文件(防范某些木马) 禁止cscript.exe运行 禁止mshta.exe运行 禁止format.com运行(防范恶意格式化行为) 禁止hh.exe运行 禁止cmd.exe运行 禁止修改文件访问控制权限 禁止私自启用计划运行任务程序 防范远程注册表操作,禁止调用regsvc.dll 禁止在C盘中新建任何VXD文件 禁止私自创建共享文件夹 禁止telnet.exe运行 禁止在C盘中新建任何EXE可执行文件 禁止在C盘中新建任何COM可执行文件 禁止在C盘中新建任何DLL动态连接库文件 防范脚本病毒,禁止scrrun.dll 禁止在C盘中新建任何批处理BAT文件 禁止在C盘中新建任何VBS脚本文件 禁止访问TEMP文件夹,防止恶意安装程序 禁止在C盘中新建任何JS脚本文件 禁止在C盘中新建任何JSE脚本文件 禁止对Access数据库文件进行任何操作 禁止在C盘中新建任何VBE文件 禁止C盘中新建,运行任何WSH文件 禁止C盘中新建任何WSF文件 禁止在本地新建,修改,执行任何AUTORUN.INF文件 禁止在C盘中新建任何SYS文件 禁止在Downloaded Program Files目录中新建任何文件 禁止添加桌面文件 禁止启用远程桌面程序 禁止在开始菜单中添加项目 禁止在C盘中新建ZIP文件(防范某些蠕虫) 禁用NetMeeting网络会议程序 禁止在system.ini中创建和写入内容 禁止在win.ini中创建和写入内容 禁止在wininit.ini中创建和写入内容 禁止在本地新建任何*desktop.ini文件 禁止java目录下的程序私自运行 禁止在C盘中新建CHM文件 保护本机所有EXE可执行文件(防止修改) 禁止私自在Program Files根目录下新建文件 禁止nwscript.exe运行 禁用自动下载连接管理器 禁止未经许可的控件注册 禁止script.dll运行 禁用SQL Server 客户端网络工具 禁止创建,修改或删除磁盘的卷标(名称) 禁止调用路由跟踪命令 防范某些网络蠕虫扩散,禁止私自运行PING命令 禁止私自用源目录中的同名文件替换目标目录中的文件 禁止私自更改当前登录用户的权限 禁止私自调用文件属性修改工具 禁止对Boot.ini配置文件执行编辑操作 防止多用户同时登陆,禁用termsrv.dl 禁止使用NetMeeting功能访问远程桌面 禁止“私自指定某些程序在指定的时间运行” 禁止在C盘中新建任何PIF文件 禁止私自修改本地用户帐户数据库 禁止在Default User目录下新建任何文件 禁止在LocalService目录下新建任何文件 禁止在NetworkService目录下新建任何文件 禁止在Application Data目录下新建任何项目 保护本机所有EXE可执行文件(防止删除) 禁止网络检测命令net.exe运行 禁止在PCHEALTH目录中新建,修改,删除任何文件 禁止Config目录下新建,修改,删除任何文件 禁止在security目录下新建,修改,删除任何文件 禁止在system目录下新建,修改,删除任何文件 禁止在Registration目录下新建,修改,删除任何文件 禁止在drivers目录下新建,修改,删除任何文件 禁止启用系统还原程序 禁止控制台程序tlntsvr.exe运行 禁止私自调用系统配置编辑器 禁止在C盘中新建CMD文件(防范某些蠕虫) 禁止在C盘中新建HTT文件(防范某些病毒) 保护WINDOWS的"系统文件替换"备份目录 保护WINDOWS的"最后一次正确启动配置"备份文件目录 禁止在C盘中新建,修改任何CPL文件(防范某些木马) 禁止在C盘中新建,修改任何DOT文件(防范宏病毒) 禁止在C盘中新建,修改任何DOC文件(防范宏病毒) 禁止运行Windows脚本宿主工具 禁止在C盘中新建,修改任何BFF文件(防止宏病毒寄生) 禁止读取Cookies文件 禁止创建新的Cookies文件 这些规则看起来似乎让人很头晕,但其实这还只是属于框架部分(我们还需要制定一些特定规则) 这些规则看似复杂,但是却不会对我电脑的以及机器上程序的正常使用造成任何妨碍 您必须学会用两至三条的规则对某个区域形成一个防护体系 并且能够使电脑最终在这些复杂而强悍的规则的防护下运行自如 有些用户发现他们使用了mcafee后的“主要工作”就是需要不停的添加排除进程 好在这些规则是可以逐渐积累的,而且是可以将其最终保存起来的 (终将会形成一套属于您自己的强大的防护体系) 我喜欢用mcafee的另一个原因是它让我感觉到了自己是自己电脑真正的“主宰者” 什么程序(甚至后台服务)可以被运行,什么程序不可以被运行 什么文件可以被修改,删除,什么文件不可以 什么地方可以被写入(创建)新文件,什么地方不可以新建任何文件 什么地方只可以被写入什么格式的文件,全都由我说了算,呵呵。(知识若不分享 实在没有意义 http://www.yidabu.com) 能用好mcafee您就会明白其顶尖的监控和强大的保护规则配合起来的好处 而对于那些不懂得如何设置和运用好mcafee的保护规则的初级用户来讲 呵呵,mcafee同样是一个令人头疼的“梦魇”。 mcafee自定义规则在系统中表示 使用工具可以查看注册表自定义规则,随意导入、修改和合并自定义规则,见我的另一帖子。 对于显示的结果各项含义举例如下: 文件规则: UserString(用户命名) UR14(系统使用名称) "A47 禁止私自启用命令行运行工具"(用户规则名称) UserEnforce(阻止) UR14 1(选) UserReport(报告) UR14 0(不选) UserProcess(用户进程) UR14 {Include(包含) *;Exclude(排除) Explorer.EXE} UserRule(用户规则) UR14 G_User {File(文件) R(读)W(写)X(执行)C(创建)D(删除) { Include C:\\WINDOWS\\system32\\cmd.exe } } 端口规则: UserString UR126 "A32 禁止(监视)一切高端动态\\私有端口的连接尝试行为" UserEnforce UR126 1 UserReport UR126 1 UserProcess UR126 {Include *} UserRule UR126 G_User {Port(端口) I(入)O(出)UT {Include 49152 65535} } 注册表规则: UserString UR70 "8-401 RD 淇濇姢\[鏄剧ず鎵 鏈夋枃浠\] K" UserEnforce UR70 1 UserReport UR70 1 UserProcess UR70 {Include *} UserRule UR70 G_User {Key(注册表) CWD {Include HKULM/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Advanced/Folder/Hidden/**} } 没有技术含量,只为比我更菜的人能读懂。只发卡饭,其它坛子不发了。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值