資源描述:
《常見木馬和未授權(quán)遠(yuǎn)程控制軟件的關(guān)閉》由會員上傳分享,免費在線閱讀�,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫。
1��、常見木馬和未授權(quán)遠(yuǎn)程控制軟件的關(guān)閉以下各種木馬及未授權(quán)被安裝的遠(yuǎn)程控制軟件均由于您沒有正確的設(shè)置您的管理員密碼造成的�。請先檢查系統(tǒng)中所有帳號的口令是否設(shè)置的足夠安全��?��?诹钤O(shè)置要求:1.口令應(yīng)該不少于8個字符���;2.不包含字典里的單詞、不包括姓氏的漢語拼音;3.同時包含多種類型的字符����,比如 大寫字母(A,B,C,..Z)小寫字母(a,b,c..z)數(shù)字(0,1,2,…9)標(biāo)點符號(@,#,!,$,%,&…)注意:下文中提到的相關(guān)路徑根據(jù)您的操作系統(tǒng)版本不同會有所不同,請根據(jù)自己的系統(tǒng)做相應(yīng)的調(diào)整win98系統(tǒng):c:windowsc
2�、:windowssystemwinnt和win2000系統(tǒng):c:winntc:winntsystem32winxp系統(tǒng):c:windowsc:windowssystem32根據(jù)系統(tǒng)安裝的路徑不同,目錄所在盤符也可能不同����,如系統(tǒng)安裝在D盤,請將C:windows改為D:windows依此類推大部分的木馬程序都可以改變默認(rèn)的服務(wù)端口��,我們應(yīng)該根據(jù)具體的情況采取相應(yīng)的措施�����,一個完整的檢查和刪除過程如下例所示:例:113端口木馬的清除(僅適用于windows系統(tǒng)):這是一個基于irc聊天室控制的木馬程序�����。1.首先使用netstat-an
3�����、命令確定自己的系統(tǒng)上是否開放了113端口2.使用fport命令察看出是哪個程序在監(jiān)聽113端口例如我們用fport看到如下結(jié)果:PidProcessPortProtoPath392svchost->113TCPC:WINNTsystem32vhos.exe我們就可以確定在監(jiān)聽在113端口的木馬程序是vhos.exe而該程序所在的路徑為c:winntsystem32下�。3.確定了木馬程序名(就是監(jiān)聽113端口的程序)后,在任務(wù)管理器中查找到該進程,并使用管理器結(jié)束該進程�����。4.在開始-運行中鍵入regedit運行注冊表管理程序�����,在注
4�、冊表里查找剛才找到那個程序,并將相關(guān)的鍵值全部刪掉����。5.到木馬程序所在的目錄下刪除該木馬程序。(通常木馬還會包括其他一些程序�,如rscan.exe、psexec.exe�����、ipcpass.dic��、ipcscan.txt等����,根據(jù)木馬程序不同,文件也有所不同�,你可以通過察看程序的生成和修改的時間來確定與監(jiān)聽113端口的木馬程序有關(guān)的其他程序)6.重新啟動機器。以下列出的端口僅為相關(guān)木馬程序默認(rèn)情況下開放的端口��,請根據(jù)具體情況采取相應(yīng)的操作:707端口的關(guān)閉:這個端口開放表示你可能感染了nachi蠕蟲病毒����,該蠕蟲的清除方法如下:1、停止
5��、服務(wù)名為WINSClient和NetworkConnectionsSharing的兩項服務(wù)2�����、刪除c:winntSYSTEM32WINS目錄下的DLLHOST.EXE和SVCHOST.EXE文件3���、編輯注冊表����,刪除HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices項中名為RpcTftpd和RpcPatch的兩個鍵值1999端口的關(guān)閉:這個端口是木馬程序BackDoor的默認(rèn)服務(wù)端口���,該木馬清除方法如下:1��、使用進程管理工具將notpa.exe進程結(jié)束2�����、刪除c:windows目錄下
6����、的notpa.exe程序3、編輯注冊表��,刪除HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun項中包含c:windowsotpa.exe/o=yes的鍵值2001端口的關(guān)閉:這個端口是木馬程序黑洞2001的默認(rèn)服務(wù)端口�,該木馬清除方法如下:1、首先使用進程管理軟件將進程windows.exe殺掉2��、刪除c:winntsystem32目錄下的windows.exe和S_Server.exe文件3����、編輯注冊表,刪除HKEY_LOCAL_MACHINESoftware
7����、MicrosoftWindowsCurrentVersionRunServices項中名為windows的鍵值4、將HKEY_CLASSES_ROOT和HKEY_LOCAL_MACHINESoftwareCLASSES項中的Winvxd項刪除5��、修改HKEY_CLASSES_ROOTxtfileshellopencommand項中的c:winntsystem32S_SERVER.EXE%1為C:WINNTNOTEPAD.EXE%16����、修改HKEY_LOCAL_MACHINESoftwareCLASSESxtfileshellop
8、encommand項中的c:winntsystem32S_SERVER.EXE%1鍵值改為C:WINNTNOTEPAD.EXE%12023端口的關(guān)閉:這個端口是木馬程序Ripper的默認(rèn)服務(wù)端口����,該木馬清除方法如下:1、使用進程管理工具結(jié)束sysrunt.exe
