Latest News

首頁 » 總教頭軟體中文化教學日誌 » 關閉常見木馬病毒和未授權控制軟體方法

關閉常見木馬病毒和未授權控制軟體方法

關閉常見木馬病毒和未授權控制軟體方法

如果電腦裡存在著木馬病毒和未經授權的遠端控制軟體,那別人不但能得到你所有的隱私訊息和帳號密碼,更能隨時奪走電腦的控制權,本文主要講述如何關閉這兩類軟體。

需要說明的一點是,本文介紹的各種木馬及未授權被安裝的遠端控制軟體均是由於沒有正確的設定管理員密碼導致系統被侵入而存在的。
因此請先檢查系統中所有帳號的密碼是否設定的足夠安全。

密碼設定要求:

1.密碼應該不少於8個字元;

2.不內含字典裡的單詞、不內含姓氏的漢語拼音;

3.同時內含多種類型的字元,比如大寫字母(A,B,C,..Z)、小寫字母(a,b,c..z)、數字(0,1,2,…9)、標點符號(@,#,!,$,%,& …)。

注意:下文中提到的關聯路徑根據您的操作系統版本不同會有所不同,請根據自己的系統做相應的調整

Winnt和Win2000系統:c:Winnt、c:Winntsystem32

Winxp系統:c:Windows、c:Windowssystem32

根據系統安裝的路徑不同,目錄所在磁碟符也可能不同,如系統安裝在D磁碟,請將C:Windows改為D:Windows依此類推。

大部分的木馬程式都可以改變預設的服務連線埠,我們應該根據具體的情況採取相應的措施,一個完整的檢查和刪除過程如下例所示:

113連線埠木馬的清除(僅適用於Windows系統):這是一個基於irc聊天室控制的木馬程式。

1.首先使用netstat -an指令確定自己的系統上是否開放了113連線埠;

2.使用fport指令察看出是哪個程式在監聽113連線埠;

例如我們用fport看到如下結果:

Pid  ProcessPort Proto Path

392  svchost -> 113  TCP

C:WinNTsystem32vhos.exe

我們就可以確定在監聽在113連線埠的木馬程式是vhos.exe而該程式所在的路徑為c:Winntsystem32下。

3.確定了木馬程式名(就是監聽113連線埠的程式)後,在任務管理器中尋找到該程式,並使用管理器結束該程式。

4.在開始-運行中鍵入regedit運行註冊表管理程式,在註冊表裡尋找剛才找到那個程式,並將關聯的鍵值全部刪掉。

5.到木馬程式所在的目錄下刪除該木馬程式。(通常木馬還會內含其他一些程式,如rscan.exe、psexec.exe、ipcpass.dic、 ipcscan.txt等,根據木馬程式不同,檔案也有所不同,你可以通過察看程式的生成和修改的時間來確定與監聽113連線埠的木馬程式有關的其他程式)。

6.重新啟動電腦

以下列出的連線埠僅為關聯木馬程式預設情況下開放的連線埠,請根據具體情況採取相應的操作:

707連線埠的關閉:

這個連線埠開放表示你可能感染了nachi蠕蟲病毒,該蠕蟲的清除方法如下:

1、停止服務名為WinS Client和Network Connections Sharing的兩項服務;

2、刪除c:WinntSYSTEM32WinS目錄下的DLLHOST.EXE和SVCHOST.EXE檔案;

3、編輯註冊表,刪除HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices項中名為RpcTftpd和RpcPatch的兩個鍵值。

1999連線埠的關閉:

這個連線埠是木馬程式BackDoor的預設服務連線埠,該木馬清除方法如下:

1、使用程式管理工具將notpa.exe程式結束;

2、刪除c:Windows目錄下的notpa.exe程式;

3、編輯註冊表,刪除HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun項中內含c:Windowsotpa.exe /o=yes的鍵值。

2001連線埠的關閉:

這個連線埠是木馬程式黑洞2001的預設服務連線埠,該木馬清除方法如下:

1、首先使用程式管理軟體將程式Windows.exe殺掉;

2、刪除c:Winntsystem32目錄下的Windows.exe和S_Server.exe檔案;

3、編輯註冊表,刪除HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices項中名為Windows的鍵值;

4、將HKEY_CLASSES_ROOT和HKEY_LOCAL_MACHINESoftwareCLASSES項中的Winvxd項刪除;

5、修改HKEY_CLASSES_ROOT xtfileshellopencommand項中的c:Winntsystem32S_SERVER.EXE %1為C:WinNTNOTEPAD.EXE %1;

6、修改HKEY_LOCAL_MACHINESoftwareCLASSES xtfileshellopencommand項中的c: Winntsystem32S_SERVER.EXE %1鍵值改為C:WinNTNOTEPAD.EXE %1。

2023連線埠的關閉:

這個連線埠是木馬程式Ripper的預設服務連線埠,該木馬清除方法如下:

1、使用程式管理工具結束sysrunt.exe程式;

2、刪除c:Windows目錄下的sysrunt.exe執行檔;

3、編輯system.ini檔案,將shell=explorer.exe sysrunt.exe 改為shell=explorer.exe後儲存;

4、重新啟動系統。

2583連線埠的關閉:

這個連線埠是木馬程式Wincrash v2的預設服務連線埠,該木馬清除方法如下:

1、編輯註冊表,刪除HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun項中的WinManager = "c:Windowsserver.exe"鍵值;

2、編輯Win.ini檔案,將run=c:Windowsserver.exe改為run=後儲存離開;

3、重新啟動系統後刪除C:Windowssystem SERVER.EXE。

3389連線埠的關閉:

首先說明3389連線埠是Windows的遠端管理終端所開的連線埠,它並不是一個木馬程式,請先確定該服務是否是你自己開放的。如果不是必須的,請關閉該服務。

Win2000關閉的方法:

1、Win2000server

開始–>程式–>管理工具–>服務裡找到Terminal Services服務項,選中屬性選項將啟動類型改成手動,並停止該服務。

2、Win2000pro

開始–>設定–>控制台–>管理工具–>服務裡找到Terminal Services服務項,選中屬性選項將啟動類型改成手動,並停止該服務。

Winxp關閉的方法:

在我的電腦上點右鍵選屬性–>遠端,將裡面的遠端協助和遠端桌面兩個選項框裡的勾去掉。

關於

發佈留言