如果計算機里存在著木馬病毒和未經(jīng)授權(quán)的遠程控制軟件�����,那別人不但能得到你所有的隱私信息和賬號密碼����,更能隨時奪走計算機的控制權(quán),本文主要講述如何關(guān)閉這兩類軟件�����。
需要說明的一點是�����,本文介紹的各種木馬及未授權(quán)被安裝的遠程控制軟件均是由于沒有正確的設(shè)置管理員密碼導(dǎo)致系統(tǒng)被侵入而存在的����。因此請先檢查系統(tǒng)中所有帳號的口令是否設(shè)置的足夠安全�����。
口令設(shè)置要求:
1.口令應(yīng)該不少于8個字符;
2.不包含字典里的單詞����、不包括姓氏的漢語拼音;
3.同時包含多種類型的字符����,比如大寫字母(A�����,B����,C,..Z)����、小寫字母(a,b�����,c..z)�����、數(shù)字(0����,1����,2�����,…9)����、標點符號(@,#�����,!����,$�����,%����,& …)�����。
注意:下文中提到的相關(guān)路徑根據(jù)您的操作系統(tǒng)版本不同會有所不同����,請根據(jù)自己的系統(tǒng)做相應(yīng)的調(diào)整
Win98系統(tǒng):c:Windows�����、c:Windowssystem
Winnt和Win2000系統(tǒng):c:Winnt�����、c:Winntsystem32
Winxp系統(tǒng):c:Windows�����、c:Windowssystem32
根據(jù)系統(tǒng)安裝的路徑不同�����,目錄所在盤符也可能不同,如系統(tǒng)安裝在D盤����,請將C:Windows改為D:Windows依此類推。
大部分的木馬程序都可以改變默認的服務(wù)端口����,我們應(yīng)該根據(jù)具體的情況采取相應(yīng)的措施,一個完整的檢查和刪除過程如下例所示:
113端口木馬的清除(僅適用于Windows系統(tǒng)):這是一個基于irc聊天室控制的木馬程序����。
1.首先使用netstat -an命令確定自己的系統(tǒng)上是否開放了113端口;
2.使用fport命令察看出是哪個程序在監(jiān)聽113端口;
例如我們用fport看到如下結(jié)果:
Pid ProcessPort Proto Path
392 svchost -> 113 TCP
C:WinNTsystem32vhos.exe
我們就可以確定在監(jiān)聽在113端口的木馬程序是vhos.exe而該程序所在的路徑為c:Winntsystem32下。
3.確定了木馬程序名(就是監(jiān)聽113端口的程序)后�����,在任務(wù)管理器中查找到該進程�����,并使用管理器結(jié)束該進程�����。
4.在開始-運行中鍵入regedit運行注冊表管理程序�����,在注冊表里查找剛才找到那個程序����,并將相關(guān)的鍵值全部刪掉。
5.到木馬程序所在的目錄下刪除該木馬程序����。(通常木馬還會包括其他一些程序,如rscan.exe����、psexec.exe、ipcpass.dic�����、ipcscan.txt等�����,根據(jù)木馬程序不同����,文件也有所不同,你可以通過察看程序的生成和修改的時間來確定與監(jiān)聽113端口的木馬程序有關(guān)的其他程序)。
6.重新啟動機器
以下列出的端口僅為相關(guān)木馬程序默認情況下開放的端口�����,請根據(jù)具體情況采取相應(yīng)的操作:
707端口的關(guān)閉:
這個端口開放表示你可能感染了nachi蠕蟲病毒�����,該蠕蟲的清除方法如下:
1�����、停止服務(wù)名為WinS Client和Network Connections Sharing的兩項服務(wù);
2�����、刪除c:WinntSYSTEM32WinS目錄下的DLLHOST.EXE和SVCHOST.EXE文件;
3�����、編輯注冊表�����,刪除HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices項中名為RpcTftpd和RpcPatch的兩個鍵值�����。
#p#副標題#e#
1999端口的關(guān)閉:
這個端口是木馬程序BackDoor的默認服務(wù)端口����,該木馬清除方法如下:
1、使用進程管理工具將notpa.exe進程結(jié)束;
2�����、刪除c:Windows目錄下的notpa.exe程序;
3����、編輯注冊表,刪除HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun項中包含c:Windowsotpa.exe /o=yes的鍵值����。
2001端口的關(guān)閉:
這個端口是木馬程序黑洞2001的默認服務(wù)端口,該木馬清除方法如下:
1����、首先使用進程管理軟件將進程Windows.exe殺掉;
2、刪除c:Winntsystem32目錄下的Windows.exe和S_Server.exe文件;
3����、編輯注冊表����,刪除HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices項中名為Windows的鍵值;
4����、將HKEY_CLASSES_ROOT和HKEY_LOCAL_MACHINESoftwareCLASSES項中的Winvxd項刪除;
5、修改HKEY_CLASSES_ROOTtxtfileshellopencommand項中的c:Winntsystem32S_SERVER.EXE %1為C:WinNTNOTEPAD.EXE %1;
6����、修改HKEY_LOCAL_MACHINESoftwareCLASSEStxtfileshellopencommand項中的c:Winntsystem32S_SERVER.EXE %1鍵值改為C:WinNTNOTEPAD.EXE %1。
2023端口的關(guān)閉:
這個端口是木馬程序Ripper的默認服務(wù)端口�����,該木馬清除方法如下:
1����、使用進程管理工具結(jié)束sysrunt.exe進程;
2、刪除c:Windows目錄下的sysrunt.exe程序文件;
3�����、編輯system.ini文件����,將shell=explorer.exe sysrunt.exe 改為shell=explorer.exe后保存;
4�����、重新啟動系統(tǒng)����。
2583端口的關(guān)閉:
這個端口是木馬程序Wincrash v2的默認服務(wù)端口�����,該木馬清除方法如下:
1����、編輯注冊表����,刪除HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun項中的WinManager = "c:Windowsserver.exe"鍵值;
2、編輯Win.ini文件����,將run=c:Windowsserver.exe改為run=后保存退出;
3、重新啟動系統(tǒng)后刪除C:Windowssystem SERVER.EXE����。
3389端口的關(guān)閉:
首先說明3389端口是Windows的遠程管理終端所開的端口�����,它并不是一個木馬程序�����,請先確定該服務(wù)是否是你自己開放的����。如果不是必須的����,請關(guān)閉該服務(wù)。
Win2000關(guān)閉的方法:
1�����、Win2000server
開始-->程序-->管理工具-->服務(wù)里找到Terminal Services服務(wù)項�����,選中屬性選項將啟動類型改成手動����,并停止該服務(wù)�����。
2�����、Win2000pro
開始-->設(shè)置-->控制面板-->管理工具-->服務(wù)里找到Terminal Services服務(wù)項����,選中屬性選項將啟動類型改成手動�����,并停止該服務(wù)�����。
Winxp關(guān)閉的方法:
在我的電腦上點右鍵選屬性-->遠程�����,將里面的遠程協(xié)助和遠程桌面兩個選項框里的勾去掉�����。
關(guān)鍵詞標簽:木馬,病毒
