需要註意的是,本文介紹的各種木馬和未經授權的遠程控制軟件之所以存在,是因為沒有正確設置管理員密碼導致系統被入侵。因此,請檢查系統中所有帳戶的密碼設置是否足夠安全。
密碼設置要求:
1.密碼應不少於8個字符;
2.不包括詞典中的字,也不包括姓氏的漢語拼音;
3.它同時包含多種類型的字符,比如大寫字母(A,B,C,..z),小寫字母(a,b,c..z),數字(0,1,2,...9)、標點(@、#、!、$、%、& amp…)。
註:根據您的操作系統版本,下面提到的相關路徑會有所不同。請根據自己的系統做相應的調整。
Win98系統:c:\Windows,c:\Windows\system。
Winnt和Win2000系統:c:\Winnt,c:\Winnt\system32。
Winxp系統:c:\Windows,c:\Windows\system32。
根據系統的安裝路徑,目錄的驅動器號可能會有所不同。如果系統安裝在驅動器D上,請將C:\Windows改為D:\Windows,依此類推。
大多數特洛伊程序都可以更改默認服務端口,我們要根據具體情況采取相應的措施。以下示例顯示了完整的檢查和刪除流程:
例如:113端口特洛伊移除(僅限Windows系統):這是壹個基於irc聊天室控制的特洛伊木馬程序。
1.首先,使用netstat -an命令確定113端口是否在您的系統上打開;
2.用fport命令找出哪個程序在監聽端口113;
例如,我們使用fport來查看以下結果:
Pid過程端口原始路徑
392 svchost->;113 TCP
C:\WinNT\system32\vhos.exe
我們可以確定監聽端口113的木馬程序是vhos.exe,程序所在的路徑是c:\Winnt\system32。
3.確定木馬程序名(即監聽端口113的程序)後,在任務管理器中找到進程,使用管理器結束進程。
4.在開始運行時,鍵入regedit運行註冊表管理程序,找到剛剛在註冊表中找到的程序,並刪除所有相關的鍵值。
5.刪除所在目錄下的木馬程序。(木馬通常包括其他程序,如ipcscan.txt、psexec.exe、ipcpass.dic、ipcscan.txt等。根據不同的特洛伊程序,文件也不同。通過查看程序生成和修改的時間,您可以確定與監控端口113的特洛伊程序相關的其他程序。).
6.重啟機器。
下面列出的端口只是默認情況下對相關特洛伊木馬開放的端口。請根據具體情況采取相應措施:
關閉端口707:
這個端口是開放的,這意味著妳可能感染了納奇蠕蟲。該蠕蟲的刪除方法如下:
1.停止兩個名為WinS客戶端和網絡連接共享的服務;
2.刪除目錄c:\Winnt\SYSTEM32\WinS\中的DLLHOST.EXE和SVCHOST.EXE文件;
3.編輯註冊表並刪除HKEY _本地_機器\系統\當前控制集\服務中名為RpcTftpd和RpcPatch的兩個鍵值。
1999端口關閉:
此端口是特洛伊後門的默認服務端口。特洛伊的去除方法如下:
1.使用流程管理工具結束notpa.exe流程;
2.刪除c:\Windows\目錄下的notpa.exe程序;
3.編輯註冊表,刪除HKEY _ local _ machine \ software \ Microsoft \ Windows \ current version \ run中包含c:\Windows\notpa.exe /o=yes的鍵值。
關閉端口2001:
該端口是特洛伊黑洞2001的默認服務端口。特洛伊的去除方法如下:
1.第壹,用流程管理軟件殺死流程Windows.exe;
2.刪除目錄c:\Winnt\system32中的Windows.exe和S_Server.exe文件;
3.編輯註冊表,刪除HKEY _ local _ machine \ software \ Microsoft \ Windows \ current version \ run services \中名為Windows的鍵值;
4.刪除HKEY _類_根和HKEY _本地_機器\軟件\類中的Winvxd項;
5.將HKEY _ class _ root \ txt file \ shell \ open \ command中的C:\ win nt \ system32 \ s _ server . exe % 1更改為C: \ C:\WinNT\NOTEPAD。EXE % 1;+0;
6.將HKEY _ local _ machine \ software \ classes \ txt file \ shell \ open \ command中C:\ win nt \ system32 \ s _ server . exe % 1的鍵值更改為c: \ C:\WinNT\NOTEPAD。EXE %1+。
2023端口關閉:
該端口是特洛伊Ripper的默認服務端口,特洛伊刪除方法如下:
1.使用流程管理工具結束sysrunt.exe流程;
2.刪除c:\Windows目錄下的sysrunt.exe程序文件;
3.編輯system.ini文件,將shell=explorer.exe的sysrunt.exe改為shell = explorer.exe並保存;
4.重啟系統。
關閉端口2583:
該端口是Wincrash v2的默認服務端口,特洛伊刪除方法如下:
1.編輯註冊表,刪除HKEY _ local _ machine \ software \ Microsoft \ Windows \ Current version \ Run \中win manager = " c:\ Windows \ server . exe "的鍵值;
2.編輯Win.ini文件,將run=c:\Windows\server.exe改為run=,然後保存並退出;
3.重啟系統後刪除C:\ Windows \ System \ SERVER.EXE。
關閉端口3389:
首先,3389端口是Windows遠程管理終端打開的端口,並不是木馬程序。請確認該服務是否是自己開通的。如果沒有必要,請關閉該服務。
Win2000關閉方法:
1、Win2000server
開始-& gt;程序-& gt;管理工具-& gt;在服務中可以找到終端服務服務項目。選擇屬性選項將啟動類型更改為手動並停止服務。
2、Win2000pro
開始-& gt;設置-& gt;控制面板->;管理工具-& gt;在服務中可以找到終端服務服務項目。選擇屬性選項將啟動類型更改為手動並停止服務。
Winxp關閉方法:
右鍵單擊我的電腦選擇屬性-& gt;遠程,選中遠程協助和遠程桌面框。
關閉端口4444:
如果妳發現妳的機器打開這個端口,可能意味著妳感染了msblast蠕蟲。刪除該蠕蟲的方法如下:
1.使用流程管理工具結束msblast.exe流程;
2.編輯註冊表,刪除HKEY _ local _ machine \ software \ Microsoft \ Windows \ current version \ run中“Windows auto update”=“msblast . exe”的鍵值;
3.刪除目錄c:\Winnt\system32中的msblast.exe文件。
關閉端口4899:
首先,端口4899是遠程管理員服務器監聽端口。不能算是木馬程序,但是有遠程控制功能。通常殺毒軟件是找不到的。請自行確定該服務是否開放,是否有必要。如果沒有,請關閉它。
關閉方法:
1,請開始-& gt;輸入cmd(98以下是命令),然後cd C:\Winnt\system32(妳的系統安裝目錄),輸入r_server.exe /stop,回車。
然後輸入r _ server/uninstall/silence;
2.轉到C:\Winnt\system32(系統目錄),刪除r _ server.exe、admdll.dll、raddrv.dll三個文件。
端口5800、5900:
首先,端口5800、5900是遠程控制軟件VNC的默認服務端口,但VNC經過修改後會用於某些蠕蟲。請自行確認VNC是否開放,是否有必要,如果沒有,請關閉。
關閉方法:
1.首先用fport命令確定程序監聽5800和5900端口的位置(通常是C:\ win nt C:\ win nt \ fonts \ explorer . exe););
2.在任務管理器中殺死相關進程(註意其中壹個是正常的,請註意!如果被誤殺可以重新運行c:\ win nt \ explorer.exe);
3.刪除C:\Winnt\fonts\中的explorer.exe程序;
4.刪除HKEY _本地_機器\軟件\ Microsoft \ Windows \ current version \ run中的Explorer鍵值;
5.重啟機器。
6129端口關閉:
首先說明端口6129是遠程控制軟件(守護程序實用程序)的監聽端口。不是木馬程序,但有遠程控制功能,普通殺毒軟件檢測不到。請確認該服務是否是自己安裝的,是否有必要,如果沒有,請關閉。
關閉方法:
1,選擇開始->;設置-& gt;控制面板->;管理工具-& gt;服務
找到DameWare Mini遠程控制項,右鍵選擇屬性選項,將啟動類型改為禁用後停止服務;
2.轉到c:\Winnt\system32(系統目錄)刪除DWRCS.EXE程序;
3.在註冊表中刪除HKEY _本地_機器\系統\控制集001 \服務\中的DWRCS鍵值。