马上注册,结交更多好友,享用更多功能,让你轻松玩转闽南师范大学。
您需要 登录 才可以下载或查看,没有账号?立即加入
×
< >113端口木马的清除(仅适用于windows系统):
& Y# p# g! l4 V这是一个基于irc聊天室控制的木马程序。
' V+ n# C% a5 }* D% k$ J1.首先使用netstat -an命令确定自己的系统上是否开放了113端口
/ Q g7 ~7 B" W2 u( R5 z" ^' }9 r2.使用fport命令察看出是哪个程序在监听113端口
/ u* q) _2 n2 U( x7 S& Ufport工具下载% w! U; r8 j- {) X1 k+ M
例如我们用fport看到如下结果:
, t$ [( N, |8 L$ e: Q; M. zPid Process Port Proto Path
- |: Q; `: H$ R& P$ P392 svchost -> 113 TCP C:\WINNT\system32\vhos.exe: ~4 U6 _1 {0 m8 Z8 j) g/ V
' z2 l2 \0 J5 S U5 h6 G
我们就可以确定在监听在113端口的木马程序是vhos.exe而该程序所在的路径为8 b, d" f& m% c
c:\winnt\system32下。
, x5 @4 T9 }- N1 X9 [. `% x& b4 p3.确定了木马程序名(就是监听113端口的程序)后,在任务管理器中查找到该进程,& _- @1 F1 [! J8 H: z k
并使用管理器结束该进程。# y4 I# \3 ]" z
4.在开始-运行中键入regedit运行注册表管理程序,在注册表里查找刚才找到那个程序,
) R6 e; M5 T9 [7 x并将相关的键值全部删掉。
" W! @! O3 }$ Z, ]% T5.到木马程序所在的目录下删除该木马程序。(通常木马还会包括其他一些程序,如0 f1 e" Z( @0 P/ C5 |3 p
rscan.exe、psexec.exe、ipcpass.dic、ipcscan.txt等,根据
, w% [9 b3 M1 Z0 q木马程序不同,文件也有所不同,你可以通过察看程序的生成和修改的时间来确定与
$ t/ Y- [. j. ~6 [7 i# a, N0 m监听113端口的木马程序有关的其他程序)
3 U) P: Z% @. R. S6.重新启动机器。
`& z7 f3 a" i' r$ M+ x4 Z/ m7 w; ]7 b& ]8 b1 H# m4 Y0 f( {2 y
3389端口的关闭:
$ ?4 g7 \' c9 v9 e- G首先说明3389端口是windows的远程管理终端所开的端口,它并不是一个木马程序,请先4 G( ^8 _5 A1 u6 A; u
确定该服务是否是你自己开放的。如果不是必须的,请关闭该服务。, h5 y: h. Y9 `( w" D) F
. s4 B( y; A# T0 Ywin2000关闭的方法:
3 z. j: o2 ]3 J6 N6 Awin2000server 开始-->程序-->管理工具-->服务里找到Terminal Services服务项,
- g& P! ]- O6 I F8 o6 \0 v X4 L选中属性选项将启动类型改成手动,并停止该服务。2 c4 K# S, p: m% b# S
win2000pro 开始-->设置-->控制面板-->管理工具-->服务里找到Terminal Services
7 p# \0 i* O# a7 J( S1 t/ R- K/ {服务项,选中属性选项将启动类型改成手动,并停止该服务。% ~6 s! [/ k8 }2 j( U; H
winxp关闭的方法:& ]" }! a7 h8 i: I
在我的电脑上点右键选属性-->远程,将里面的远程协助和远程桌面两个选项框里的勾去掉。
. b% X, f( D5 D6 w/ l5 p) O
& @: @8 q" c/ S q# ?4899端口的关闭:6 i3 J: ^0 |% l
首先说明4899端口是一个远程控制软件(remote administrator)服务端监听的端口,他不能! B) J, s# i7 L
算是一个木马程序,但是具有远程控制功能,通常杀毒软件是无法查出它来的,请先确定该服- ~7 e% f* C/ ?+ Q
务是否是你自己开放并且是必需的。如果不是请关闭它。1 ]8 }. T2 ]) I2 \
$ S" y/ r1 m& J- A$ G7 y7 G p3 G关闭4899端口:9 P0 C: O4 V! l& h5 y
请在开始-->运行中输入cmd(98以下为command),然后cd C:\winnt\system32(你的系统
k; ]# ^7 j# e |1 z& Q% n7 @安装目录),输入r_server.exe /stop后按回车。$ P+ }0 U7 V/ N% V: i/ k4 w! e
然后在输入r_server /uninstall /silence
( L! y) ]$ A; `& q
. [/ g8 `6 {3 z! @1 t; c1 T) u" I+ _% j到C:\winnt\system32(系统目录)下删除r_server.exe admdll.dll radbrv.dll三个文件
/ c) z* F/ ]; @, `4 m5 T/ j7 ?0 E% |4 ^
& o, |' M$ _6 b: a9 q5800,5900端口:+ w6 D( Z, b0 ]/ m
1.首先使用fport命令确定出监听在5800和5900端口的程序所在位置(通常会是c:\winnt\fonts\5 A b. ]/ O: M" L' |+ ]# ]- z1 O
explorer.exe)( f C# D1 `/ v. X' }) o
2.在任务管理器中杀掉相关的进程(注意有一个是系统本身正常的,请注意!如果错杀可以重新0 I% |, D' o" R( ~$ l
运行c:\winnt\explorer.exe)/ p F% \. C+ q" u p
3.删除C:\winnt\fonts\中的explorer.exe程序。0 g, f+ \" b, p- _. |+ H
4.删除注册表HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run中的2 e+ w9 z: J/ f l# m
Explorer项。
& A0 n" z, T1 \% f5.重新启动机器。
+ b$ P) ]. Q r9 G. Y# {1 ^7 r8 D8 S9 T- Q
6129端口的关闭:
# @9 \, n. q Q% c! Q; r) j6 p首先说明6129端口是一个远程控制软件(dameware nt utilities)服务端监听得端口,他不是
" v- K7 E7 I$ c8 G3 V一个木马程序,但是具有远程控制功能,通常的杀毒软件是无法查出它来的。请先确定该服务" ^$ I3 O' l- p. [9 x
是否是你自己安装并且是必需的,如果不是请关闭。/ N' [# `) P& W& v3 Q# g9 f3 C
4 G4 M! }) X9 O0 `/ K* C( P关闭6129端口:
6 c1 S% g& `9 E% s选择开始-->设置-->控制面板-->管理工具-->服务! z; ^; X: M4 k5 _
找到DameWare Mini Remote Control项点击右键选择属性选项,将启动类型改成禁用后1 I, C9 e1 _) Z- S. \
停止该服务。4 R) y- H/ Q# |) \' ]# a
到c:\winnt\system32(系统目录)下将DWRCS.EXE程序删除。# K, J( Q1 G- o4 t9 y2 [2 X6 F
到注册表内将HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWMRCS表项删除。7 ~5 H3 y* d- `
: J0 W, V+ Y; N5 m9 ^1029端口和20168端口:" n y- Z1 I0 e/ W7 u/ a8 V
这两个端口是lovgate蠕虫所开放的后门端口。
/ [, a& P) }# O蠕虫相关信息请参见:Lovgate蠕虫, N& S% S( P7 l z4 H( }# i: H
你可以下载专杀工具:FixLGate.exe2 f' j/ U _- J: X. ?
使用方法:下载后直接运行,在该程序运行结束后重起机器后再运行一遍该程序。
0 m) ^+ `; F5 | i {( M# Q1 }) w3 v* l4 i
, Q0 X' h5 P0 M# O% B' c
45576端口:
& z4 ^' h$ m; X这是一个代理软件的控制端口,请先确定该代理软件并非你自己安装(代理软件会给你的机器带# b J) M6 w( B/ K/ ]6 `) P
来额外的流量)
/ p0 _, {3 I H" u$ W8 Z- q( j关闭代理软件:
& G6 w4 O: ~. ]5 @, n* o" `1.请先使用fport察看出该代理软件所在的位置
! k L7 E' y, Q0 D- _2.在服务中关闭该服务(通常为SkSocks),将该服务关掉。
7 V7 _6 R, L3 Z' F# P( U7 `3.到该程序所在目录下将该程序删除。1 y8 v+ G& ]" ]$ s1 G
</P> |
窥视卡
雷达卡
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡