当前位置:首页>>软件教程>>病毒安全>>新闻内容  
关闭常见木马和未授权控制软件
作者: 发布时间:2005-5-5 22:14:10 | 【字体:

    如果计算机里存在着木马病毒和未经授权的远程控制软件,那别人不但能得到你所有的隐私信息和账号密码,更能随时夺走计算机的控制权,本文主要讲述如何关闭这两类软件。

  需要说明的一点是,本文介绍的各种木马及未授权被安装的远程控制软件均是由于没有正确的设置管理员密码导致系统被侵入而存在的。因此请先检查系统中所有帐号的口令是否设置的足够安全。

  口令设置要求:

  1.口令应该不少于8个字符;

  2.不包含字典里的单词、不包括姓氏的汉语拼音;

  3.同时包含多种类型的字符,比如大写字母(A,B,C,..Z)、小写字母(a,b,c..z)、数字(0,1,2,…9)、标点符号(@,#,!,$,%,& …)。

  注意:下文中提到的相关路径根据您的操作系统版本不同会有所不同,请根据自己的系统做相应的调整

  Win98系统:c:\Windows、c:\Windows\system
  Winnt和Win2000系统:c:\Winnt、c:\Winnt\system32
  Winxp系统:c:\Windows、c:\Windows\system32
 
  根据系统安装的路径不同,目录所在盘符也可能不同,如系统安装在D盘,请将C:\Windows改为D:\Windows依此类推。

  大部分的木马程序都可以改变默认的服务端口,我们应该根据具体的情况采取相应的措施,一个完整的检查和删除过程如下例所示:

  例:113端口木马的清除(仅适用于Windows系统):这是一个基于irc聊天室控制的木马程序。

  1.首先使用netstat -an命令确定自己的系统上是否开放了113端口;

  2.使用fport命令察看出是哪个程序在监听113端口;

  例如我们用fport看到如下结果:

  Pid  ProcessPort Proto Path
  392  svchost -> 113  TCP
  C:\WinNT\system32\vhos.exe
 
  我们就可以确定在监听在113端口的木马程序是vhos.exe而该程序所在的路径为c:\Winnt\system32下。

  3.确定了木马程序名(就是监听113端口的程序)后,在任务管理器中查找到该进程,并使用管理器结束该进程。

  4.在开始-运行中键入regedit运行注册表管理程序,在注册表里查找刚才找到那个程序,并将相关的键值全部删掉。

  5.到木马程序所在的目录下删除该木马程序。(通常木马还会包括其他一些程序,如rscan.exe、psexec.exe、ipcpass.dic、ipcscan.txt等,根据木马程序不同,文件也有所不同,你可以通过察看程序的生成和修改的时间来确定与监听113端口的木马程序有关的其他程序)。

    6.重新启动机器

  以下列出的端口仅为相关木马程序默认情况下开放的端口,请根据具体情况采取相应的操作:

  707端口的关闭:

  这个端口开放表示你可能感染了nachi蠕虫病毒,该蠕虫的清除方法如下:

  1、停止服务名为WinS Client和Network Connections Sharing的两项服务;
  2、删除c:\Winnt\SYSTEM32\WinS\目录下的DLLHOST.EXE和SVCHOST.EXE文件;
  3、编辑注册表,删除HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services项中名为RpcTftpd和RpcPatch的两个键值。
 
  1999端口的关闭:

  这个端口是木马程序BackDoor的默认服务端口,该木马清除方法如下:

  1、使用进程管理工具将notpa.exe进程结束;
  2、删除c:\Windows\目录下的notpa.exe程序;
  3、编辑注册表,删除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run项中包含c:\Windows\notpa.exe /o=yes的键值。
 
  2001端口的关闭:

  这个端口是木马程序黑洞2001的默认服务端口,该木马清除方法如下:

  1、首先使用进程管理软件将进程Windows.exe杀掉;
  2、删除c:\Winnt\system32目录下的Windows.exe和S_Server.exe文件;
  3、编辑注册表,删除    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\项中名为Windows的键值;
  4、将HKEY_CLASSES_ROOT和HKEY_LOCAL_MACHINE\Software\CLASSES项中的Winvxd项删除;
  5、修改HKEY_CLASSES_ROOT\txtfile\shell\open\command项中的c:\Winnt\system32\S_SERVER.EXE %1为C:\WinNT\NOTEPAD.EXE %1;
  6、修改HKEY_LOCAL_MACHINE\Software\CLASSES\txtfile\shell\open\command项中的c:\Winnt\system32\S_SERVER.EXE %1键值改为  C:\WinNT\NOTEPAD.EXE %1。


[首页]    [上一页]    [下一页]    [末页]    

文章来源:中国教育和科研计算机网
·查电脑是否被安装木马三个小命令
·一个让word文档打开死慢的木马(winlogin.exe)
·微型PHP木马的探讨
·巧设密码气死木马
·警惕木马Dropper病毒链接非法网站
·看看你是为谁在养“木马”
·各种木马隐藏技术全方位大批露
·躲避FSO木马的有害侵扰
·手工剿灭QQ广告弹出木马
·用命令检查电脑是否被安装木马
 放生
 愚爱
 够爱
 触电
 白狐
 葬爱
 光荣
 画心
 火花
 稻香
 小酒窝
 下雨天
 右手边
 安静了
 魔杰座
 你不像她
 边做边爱
 擦肩而过
 我的答铃
 怀念过去
 等一分钟
 放手去爱
 冰河时代
 你的承诺
 自由飞翔
 原谅我一次
 吻的太逼真
 左眼皮跳跳
 做你的爱人
 一定要爱你
 飞向别人的床
 爱上别人的人
 感动天感动地
 心在跳情在烧
 玫瑰花的葬礼
 有没有人告诉你
 即使知道要见面
 爱上你是一个错
 最后一次的温柔
 爱上你是我的错
 怎么会狠心伤害我
 不是因为寂寞才想
 亲爱的那不是爱情
 难道爱一个人有错
 寂寞的时候说爱我