如果計算機裡存在著木馬病毒和未經授權的遠程式控制制軟體,那別人不但能得到你所有的隱私信息和賬號密碼,更能隨時奪走計算機的控制權,本文主要講述如何關閉這兩類軟體。
需要說明的一點是,本文介紹的各種木馬及未授權被安裝的遠程式控制制軟體均是由於沒有正確的設置管理員密碼導致系統被侵入而存在的。因此請先檢查系統中所有帳號的口令是否設置的足夠安全。
口令設置要求:
1.口令應該不少於8個字元;
2.不包含字典裡的單詞、不包括姓氏的漢語拼音;
3.同時包含多種類型的字元,比如大寫字母(A,B,C,..Z)、小寫字母(a,b,c..z)、數字(0,1,2,…9)、標點符號(@,#,!,$,%,& …)。
注意:下文中提到的相關路徑根據您的操作系統版本不同會有所不同,請根據自己的系統做相應的調整
Win98系統:c:\Windows、c:\Windows\system
Winnt和Win2000系統:c:\Winnt、c:\Winnt\system32
Winxp系統:c:\Windows、c:\Windows\system32_CODE>
根據系統安裝的路徑不同,目錄所在盤符也可能不同,如系統安裝在D盤,請將C:\Windows改為D:\Windows依此類推。
大部分的木馬程序都可以改變默認的服務埠,我們應該根據具體的情況採取相應的措施,一個完整的檢查和刪除過程如下例所示:
例:113埠木馬的清除(僅適用於Windows系統):這是一個基於irc聊天室控制的木馬程序。
1.首先使用netstat -an命令確定自己的系統上是否開放了113埠;
2.使用fport命令察看出是哪個程序在監聽113埠;
例如我們用fport看到如下結果:
Pid ProcessPort Proto Path
392 svchost -> 113 TCP
C:\WinNT\system32\vhos.EXE_CODE>
我們就可以確定在監聽在113埠的木馬程序是vhos.EXE而該程序所在的路徑為c:\Winnt\system32下。
3.確定了木馬程序名(就是監聽113埠的程序)後,在任務管理器中查找到該進程,並使用管理器結束該進程。
4.在開始-運行中鍵入regedit運行註冊表管理程序,在註冊表裡查找剛才找到那個程序,並將相關的鍵值全部刪掉。
5.到木馬程序所在的目錄下刪除該木馬程序。(通常木馬還會包括其他一些程序,如rscan.EXE、psexec.EXE、ipcpass.dic、ipcscan.txt等,根據木馬程序不同,文件也有所不同,你可以通過察看程序的生成和修改的時間來確定與監聽113埠的木馬程序有關的其他程序)。
6.重新啟動機器。
以下列出的埠僅為相關木馬程序默認情況下開放的埠,請根據具體情況採取相應的操作:
707埠的關閉:
這個埠開放表示你可能感染了nachi蠕蟲病毒,該蠕蟲的清除方法如下:
1、停止服務名為WinS Client和Network Connections Sharing的兩項服務;
2、刪除c:\Winnt\SYSTEM32\WinS\目錄下的DLLHOST.EXE和SVCHOST.EXE文件;
3、編輯註冊表,刪除HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services項中名為RpcTftpd和RpcPatch的兩個鍵值。_CODE>
1999埠的關閉:
這個埠是木馬程序BackDoor的默認服務埠,該木馬清除方法如下:
1、使用進程管理工具將notpa.exe進程結束;
2、刪除c:\Windows\目錄下的notpa.exe程序;
3、編輯註冊表,刪除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run項中包含c:\Windows\notpa.exe /o=yes的鍵值。_CODE>
2001埠的關閉:
這個埠是木馬程序黑洞2001的默認服務埠,該木馬清除方法如下:
1、首先使用進程管理軟體將進程Windows.exe殺掉;
2、刪除c:\Winnt\system32目錄下的Windows.exe和S_Server.exe文件;
3、編輯註冊表,刪除HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\項中名為Windows的鍵值;
4、將HKEY_CLASSES_ROOT和HKEY_LOCAL_MACHINE\Software\CLASSES項中的Winvxd項刪除;
5、修改HKEY_CLASSES_ROOT\txtfile\shell\open\command項中的c:\Winnt\system32\S_SERVER.EXE %1為C:\WinNT\NOTEPAD.EXE %1;
6、修改HKEY_LOCAL_MACHINE\Software\CLASSES\txtfile\shell\open\command項中的c:\Winnt\system32\S_SERVER.EXE %1鍵值改為C:\WinNT\NOTEPAD.EXE %1。_CODE>
2023埠的關閉:
這個埠是木馬程序Ripper的默認服務埠,該木馬清除方法如下:
1、使用進程管理工具結束sysrunt.exe進程;
2、刪除c:\Windows目錄下的sysrunt.exe程序文件;
3、編輯system.ini文件,將shell=explorer.exe sysrunt.exe 改為shell=explorer.exe後保存;
4、重新啟動系統。_CODE>
2583埠的關閉:
這個埠是木馬程序Wincrash v2的默認服務埠,該木馬清除方法如下:
1、編輯註冊表,刪除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\項中的WinManager = "c:\Windows\server.exe"鍵值;
2、編輯Win.ini文件,將run=c:\Windows\server.exe改為run=後保存退出;
3、重新啟動系統後刪除C:\Windows\system\ SERVER.EXE。_CODE>
3389埠的關閉:
首先說明3389埠是Windows的遠程管理終端所開的埠,它並不是一個木馬程序,請先確定該服務是否是你自己開放的。如果不是必須的,請關閉該服務。
Win2000關閉的方法:
1、Win2000server
開始-->程序-->管理工具-->服務裡找到Terminal Services服務項,選中屬性選項將啟動類型改成手動,並停止該服務。
2、Win2000pro
開始-->設置-->控製麵板-->管理工具-->服務裡找到Terminal Services服務項,選中屬性選項將啟動類型改成手動,並停止該服務。
Winxp關閉的方法:
在我的電腦上點右鍵選屬性-->遠程,將裡面的遠程協助和遠程桌面兩個選項框裡的勾去掉。
4444埠的關閉:
如果發現你的機器開放這個埠,可能表示你感染了msblast蠕蟲,清除該蠕蟲的方法如下:
1、使用進程管理工具結束msblast.exe的進程;
2、編輯註冊表,刪除HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run項中的"Windows auto update"="msblast.exe"鍵值;
3、刪除c:\Winnt\system32目錄下的msblast.exe文件。_CODE>
4899埠的關閉:
首先說明4899埠是一個遠程式控制制軟體(remote administrator)服務端監聽的埠,他不能算是一個木馬程序,但是具有遠程式控制制功能,通常殺毒軟體是無法查出它來的,請先確定該服務是否是你自己開放並且是必需的。如果不是請關閉它。
關閉方法:
1、請在開始-->運行中輸入cmd(98以下為command),然後 cd C:\Winnt\system32(你的系統安裝目錄),輸入r_server.exe /stop後按回車。然後在輸入r_server /uninstall /silence;
2、到C:\Winnt\system32(系統目錄)下刪除r_server.exe admdll.dll raddrv.dll三個文件。_CODE>
5800,5900埠:
首先說明5800,5900埠是遠程式控制制軟體VNC的默認服務埠,但是VNC在修改過後會被用在某些蠕蟲中。請先確認VNC是否是你自己開放並且是必須的,如果不是請關閉。
關閉的方法:
1、首先使用fport命令確定出監聽在5800和5900埠的程序所在位置(通常會是c:\Winnt\fonts\explorer.exe);
2、在任務管理器中殺掉相關的進程(注意有一個是系統本身正常的,請注意!如果錯殺可以重新運行c:\Winnt\explorer.exe);
3、刪除C:\Winnt\fonts\中的explorer.exe程序;
4、刪除註冊表HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run項中的Explorer鍵值;
5、重新啟動機器。_CODE>
6129埠的關閉:
首先說明6129埠是一個遠程式控制制軟體(dameware nt utilities)服務端監聽得埠,他不是一個木馬程序,但是具有遠程式控制制功能,通常的殺毒軟體是無法查出它來的。請先確定該服務是否是你自己安裝並且是必需的,如果不是請關閉。
關閉方法:
1、選擇開始-->設置-->控製麵板-->管理工具-->服務
找到DameWare Mini Remote Control項點擊右鍵選擇屬性選項,將啟動類型改成禁用後停止該服務;
2、到c:\Winnt\system32(系統目錄)下將DWRCS.EXE程序刪除;
3、到註冊表內將HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\項中的DWRCS鍵值刪除。