马上注册,结交更多好友,享用更多功能,让你轻松玩转闽南师范大学。
您需要 登录 才可以下载或查看,没有账号?立即加入
×
< >113端口木马的清除(仅适用于windows系统):) l3 x7 V$ p0 B( n+ C6 ~) a
这是一个基于irc聊天室控制的木马程序。
0 C5 \+ e" { t& I* C5 q1.首先使用netstat -an命令确定自己的系统上是否开放了113端口
$ Z; p# L9 X6 _. m2.使用fport命令察看出是哪个程序在监听113端口
* R+ w2 \, a e1 f5 ^- ~( Bfport工具下载
! y) d8 }: r. q& o例如我们用fport看到如下结果:
: J1 j) Z4 r0 v, ?Pid Process Port Proto Path. a6 i8 M ]1 `6 d
392 svchost -> 113 TCP C:\WINNT\system32\vhos.exe% O3 F6 w7 R& z+ r. A) e) K) a+ r
1 G/ b9 I1 J& I4 T2 k* b7 z% Q我们就可以确定在监听在113端口的木马程序是vhos.exe而该程序所在的路径为9 ` G* ^$ A3 B* ?
c:\winnt\system32下。
2 D0 u' ?. b. v% }" s3.确定了木马程序名(就是监听113端口的程序)后,在任务管理器中查找到该进程,
3 j H# m& n5 t! r6 _" I2 n, j1 k并使用管理器结束该进程。# }7 J2 W% m5 t: ^
4.在开始-运行中键入regedit运行注册表管理程序,在注册表里查找刚才找到那个程序,3 Q+ M$ Z( N+ ?/ _& p
并将相关的键值全部删掉。# j4 U% l4 U% P" ], a# N
5.到木马程序所在的目录下删除该木马程序。(通常木马还会包括其他一些程序,如. R8 G: F* C0 a
rscan.exe、psexec.exe、ipcpass.dic、ipcscan.txt等,根据! J/ l/ g g, R' b. H7 j
木马程序不同,文件也有所不同,你可以通过察看程序的生成和修改的时间来确定与
' J, h+ ^& ^, e, j8 Y5 I监听113端口的木马程序有关的其他程序)
b- J. V1 }& O) f' g6.重新启动机器。4 J( j4 `; e D* o& u6 G, W
6 b- x6 O/ M, u% L9 e
3389端口的关闭:! m1 W _. Y- I* i
首先说明3389端口是windows的远程管理终端所开的端口,它并不是一个木马程序,请先& T% Z& `/ b2 R
确定该服务是否是你自己开放的。如果不是必须的,请关闭该服务。0 T0 I. R7 D+ L) _' X# ]
: O# H4 o% |$ Owin2000关闭的方法:
( v1 m- v( C, |# E: f3 P' Zwin2000server 开始-->程序-->管理工具-->服务里找到Terminal Services服务项,
* \8 M. J- {! R# f* H7 z+ l选中属性选项将启动类型改成手动,并停止该服务。& C- y2 n, a* O4 |! d
win2000pro 开始-->设置-->控制面板-->管理工具-->服务里找到Terminal Services, L% p7 z. ?! g: k
服务项,选中属性选项将启动类型改成手动,并停止该服务。6 x; Z/ s+ @9 W9 F$ F
winxp关闭的方法:
6 `* t, e- U7 a( r5 w5 ^- I1 M在我的电脑上点右键选属性-->远程,将里面的远程协助和远程桌面两个选项框里的勾去掉。
( Z$ D# k1 F. _6 m
- e- S0 V+ J2 B- v9 [; v4899端口的关闭:; {, f, m$ I. R1 D8 r
首先说明4899端口是一个远程控制软件(remote administrator)服务端监听的端口,他不能' O4 z. c8 X! c j/ n C( b
算是一个木马程序,但是具有远程控制功能,通常杀毒软件是无法查出它来的,请先确定该服
7 P: Q u7 @$ a3 Z务是否是你自己开放并且是必需的。如果不是请关闭它。
) S+ N5 i4 m3 w" y7 I& f) w0 s! Z: ]
关闭4899端口:
, J a- B$ N" t0 J请在开始-->运行中输入cmd(98以下为command),然后cd C:\winnt\system32(你的系统
( c; ~2 ?2 E( e$ F$ t4 m+ E$ e' {: v+ Q$ U安装目录),输入r_server.exe /stop后按回车。
, J7 g' M p- K5 h/ c5 x4 I然后在输入r_server /uninstall /silence% J0 V- O9 R0 A9 p) V" k
- p4 O2 A _, g l
到C:\winnt\system32(系统目录)下删除r_server.exe admdll.dll radbrv.dll三个文件
6 Y! C7 X% l( s; _1 v- K6 C- T8 K7 b2 O
I) G! u1 @+ \" E e5800,5900端口:. A& o0 {2 Q6 f. u1 Q
1.首先使用fport命令确定出监听在5800和5900端口的程序所在位置(通常会是c:\winnt\fonts\
$ E7 J3 A% U2 R' ?explorer.exe)- P: m& Y8 k' a+ S* w# M9 }
2.在任务管理器中杀掉相关的进程(注意有一个是系统本身正常的,请注意!如果错杀可以重新
6 S" A0 E* d8 g运行c:\winnt\explorer.exe)( X; q2 {# V" |6 e
3.删除C:\winnt\fonts\中的explorer.exe程序。
9 x/ k# ~* I/ S1 k% U4.删除注册表HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run中的
4 A. q( U0 O, W/ f, jExplorer项。
' W7 s+ c6 j W& k! I9 z9 R5.重新启动机器。
6 q b8 e' e: e1 ?/ J4 N" \( [
z& J; @- k1 v& V6129端口的关闭:
+ e/ F. c' B. P; ^! v5 i首先说明6129端口是一个远程控制软件(dameware nt utilities)服务端监听得端口,他不是* P. R; V/ r- C( c1 d/ O
一个木马程序,但是具有远程控制功能,通常的杀毒软件是无法查出它来的。请先确定该服务
# ]# g$ M- `4 p1 q! W是否是你自己安装并且是必需的,如果不是请关闭。/ [& |, p/ @ Y: Q$ ]! B
% e+ ?5 f# D3 [- |2 t9 j关闭6129端口:# |& j" K1 E. b) X9 [$ M
选择开始-->设置-->控制面板-->管理工具-->服务
$ ]7 q) t2 r$ d+ |找到DameWare Mini Remote Control项点击右键选择属性选项,将启动类型改成禁用后6 X! A5 z5 i, R) h8 l
停止该服务。
% q! A# U: |- ?4 y( T到c:\winnt\system32(系统目录)下将DWRCS.EXE程序删除。
! y0 C5 q+ x- g. g7 o到注册表内将HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWMRCS表项删除。( R4 {* h2 `5 i% n
6 _" M9 ]* Q5 P1029端口和20168端口:$ e7 n2 U% o& b+ [; s! N
这两个端口是lovgate蠕虫所开放的后门端口。2 c; E0 H. T0 z; h: ~
蠕虫相关信息请参见:Lovgate蠕虫6 K- W/ |$ u4 w2 p( ?3 j4 [8 i) O$ o
你可以下载专杀工具:FixLGate.exe
" R& U, L7 E& f f6 Y3 m$ s使用方法:下载后直接运行,在该程序运行结束后重起机器后再运行一遍该程序。! s* K, T! S% b# {: {
: S' P! X! |, R ]3 f# d2 k% ]3 B) k& b+ |
45576端口:; r) l: I) y `" a( G. s7 i/ @
这是一个代理软件的控制端口,请先确定该代理软件并非你自己安装(代理软件会给你的机器带& a. b4 N; C, \7 G
来额外的流量)
0 i) e$ g9 e" C5 B9 E q1 T. ?关闭代理软件:
* T. t' L. [5 T. I7 q( C1.请先使用fport察看出该代理软件所在的位置
9 l1 n- N3 ~1 {2.在服务中关闭该服务(通常为SkSocks),将该服务关掉。4 R2 m3 q$ K% V# U
3.到该程序所在目录下将该程序删除。) w8 _- ~6 V: n$ U2 m
</P> |
窥视卡
雷达卡
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡