關閉一般木馬和未使用權控制軟體技巧

psac · 2006-05-15, 01:21 AM

關閉一般木馬和未使用權控制軟體技巧

如果電腦裡存在著木馬病毒和未經使用權的遠端控制軟體，那別人不但能得到你所有的隱私訊息和帳號密碼，更能隨時奪走電腦的控制權，本文主要講述如何關閉這兩類軟體。

　　需要說明的一點是，本文介紹的各種木馬及未使用權被安裝的遠端控制軟體均是由於沒有正確的設定管理員密碼導致系統被侵入而存在的。因此請先檢查系統中所有帳號的密碼是否設定的足夠安全。

　　密碼設定要求：

　　1.密碼應該不少於8個字元；

　　2.不包含字典裡的單詞、不包括姓氏的漢語拼音；

　　3.同時包含多種檔案類型的字元，比如大寫字母(A,B,C,..Z)、小寫字母(a,b,c..z)、數位(0,1,2,…9)、標點符號(@,#,!,$,％,& …)。

　　注意：下文中提到的相關路徑根據您的作業系統版本不同會有所不同，請根據自己的系統做相應的調整

　　Win98系統：c:\Windows、c:\Windows\system
　　 Winnt和Win2000系統：c:\Winnt、c:\Winnt\system32
　　 Winxp系統：c:\Windows、c:\Windows\system32

　　根據系統安裝的路徑不同，目錄所在磁碟代號也可能不同，如系統安裝在D碟，請將C:\Windows改為D:\Windows依此類推。

　　大部分的木馬程序都可以改變預設值的服務連接阜，我們應該根據具體的情況採取相應的措施，一個完整的檢查和移除程序如下例所顯示：

　　例：113連接阜木馬的清除（僅適用於Windows系統）：這是一個關於irc聊天室控制的木馬程序。

　　1.首先使用netstat -an指令確定自己的系統上是否開放了113連接阜；

　　2.使用fport指令察看出是哪個程序在監聽113連接阜；

　　例如我們用fport看到如下結果：

　　Pid　 ProcessPort　Proto Path
　　 392　 svchost　->　113　 TCP
　　 C:\WinNT\system32\vhos.exe

　　我們就可以確定在監聽在113連接阜的木馬程序是vhos.exe而該程序所在的路徑為c:\Winnt\system32下。

　　3.確定了木馬程式名稱（就是監聽113連接阜的程序）後，在工作管理器中搜尋到該行程，並使用管理器結束該行程。

　　4.在開始-執行中按鍵輸入regedit執行註冊表管理程序，在註冊表裡搜尋剛才找到那個程序，並將相關的鍵值全部刪掉。

　　5.到木馬程序所在的目錄下移除該木馬程序。（通常木馬還會包括其他一些程序，如rscan.exe、p***ec.exe、ipcpass.dic、ipcscan.txt等，根據木馬程序不同，文件也有所不同，你可以通過察看程序的產生和修改的時間來確定與監聽113連接阜的木馬程序有關的其他程序）。

　　6.重新啟動機器

　　以下列出的連接阜僅為相關木馬程序預設值情況下開放的連接阜，請根據具體情況採取相應的操作：

　　707連接阜的關閉：

　　這個連接阜開放表示你可能感染了nachi蠕蟲病毒，該蠕蟲的清除方法如下：

　　1、停止服務名為WinS Client和Network Connections Sharing的兩項服務；
　　 2、移除c:\Winnt\SYSTEM32\WinS\目錄下的DLLHOST.EXE和SVCHOST.EXE文件；
　　 3、編輯註冊表，移除HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services項中名為RpcTftpd和RpcPatch的兩個鍵值。

　　1999連接阜的關閉：

　　這個連接阜是木馬程序BackDoor的預設值服務連接阜，該木馬清除方法如下：

　　1、使用行程系統管理工具將notpa.exe行程結束；
　　 2、移除c:\Windows\目錄下的notpa.exe程序；
　　 3、編輯註冊表，移除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run項中包含c:\Windows\notpa.exe /o=yes的鍵值。

　　2001連接阜的關閉：

　　這個連接阜是木馬程序黑洞2001的預設值服務連接阜，該木馬清除方法如下：

　　1、首先使用行程管理軟體將行程Windows.exe殺掉；
　　 2、移除c:\Winnt\system32目錄下的Windows.exe和S_Server.exe文件；
　　 3、編輯註冊表，移除HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\項中名為Windows的鍵值；
　　 4、將HKEY_CLASSES_ROOT和HKEY_LOCAL_MACHINE\Software\CLASSES項中的Winvxd項移除；
　　 5、修改HKEY_CLASSES_ROOT\txtfile\shell\open\command項中的c:\Winnt\system32\S_SERVER.EXE ％1為C:\WinNT\NOTEPAD.EXE ％1；
　　 6、修改HKEY_LOCAL_MACHINE\Software\CLASSES\txtfile\shell\open\command項中的c:\Winnt\system32\S_SERVER.EXE ％1鍵值改為　　C:\WinNT\NOTEPAD.EXE ％1。

　　2023連接阜的關閉：

　　這個連接阜是木馬程序Ripper的預設值服務連接阜，該木馬清除方法如下：

　　1、使用行程系統管理工具結束sysrunt.exe行程；
　　 2、移除c:\Windows目錄下的sysrunt.exe程式文件；
　　 3、編輯system.ini文件，將shell=explorer.exe sysrunt.exe 改為shell=explorer.exe後儲存；
　　 4、重新啟動系統。

　　2583連接阜的關閉：

　　這個連接阜是木馬程序Wincrash v2的預設值服務連接阜，該木馬清除方法如下：

　　1、編輯註冊表，移除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\項中的WinManager = "c:\Windows\server.exe"鍵值；
　　 2、編輯Win.ini文件，將run=c:\Windows\server.exe改為run=後儲存結束；
　　 3、重新啟動系統後移除C:\Windows\system\ SERVER.EXE。

　　3389連接阜的關閉：

　　首先說明3389連接阜是Windows的遠端管理終端所開的連接阜，它並不是一個木馬程序，請先確定該服務是否是你自己開放的。如果不是必須的，請關閉該服務。

　　Win2000關閉的方法：

　　1、Win2000server

　　開始-->程序-->系統管理工具-->服務裡找到Terminal Services服務項，選內容選項將啟動檔案類型改成手動，並停止該服務。

　　2、Win2000pro

　　開始-->設定-->控制台-->系統管理工具-->服務裡找到Terminal Services服務項，選內容選項將啟動檔案類型改成手動，並停止該服務。

　　Winxp關閉的方法：

　　在我的電腦上點右鍵選內容-->遠端，將裡面的遠端協助和遠端桌面兩個選擇項裡的勾去掉。

　　4444連接阜的關閉：

　　如果發現你的機器開放這個連接阜，可能表示你感染了msblast蠕蟲，清除該蠕蟲的方法如下：

　　1、使用行程系統管理工具結束msblast.exe的行程；
　　 2、編輯註冊表，移除HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run項中的"Windows auto update"="msblast.exe"鍵值；
　　 3、移除c:\Winnt\system32目錄下的msblast.exe文件。

　　4899連接阜的關閉：

　　首先說明4899連接阜是一個遠端控制軟體（remote administrator)服務端監聽的連接阜，他不能算是一個木馬程序，但是具有遠端控制功能，通常殺毒軟體是無法查出它來的，請先確定該服務是否是你自己開放並且是必需的。如果不是請關閉它。

　　關閉方法：

　　1、請在開始-->執行中輸入cmd(98以下為command),然後 cd C:\Winnt\system32(你的系統安裝目錄），輸入r_server.exe /stop後按Enter鍵。

　　然後在輸入r_server /uninstall /silence；

　　2、到C:\Winnt\system32(系統目錄）下移除r_server.exe admdll.dll raddrv.dll三個文件。

　　5800，5900連接阜：

　　首先說明5800，5900連接阜是遠端控制軟體VNC的預設值服務連接阜，但是VNC在修改過後會被用在某些蠕蟲中。請先驗證VNC是否是你自己開放並且是必須的，如果不是請關閉。

　　關閉的方法：

　　1、首先使用fport指令確定出監聽在5800和5900連接阜的程序所在位置（通常會是c:\Winnt\fonts\explorer.exe)；
　　 2、在工作管理器中殺掉相關的行程（注意有一個是系統本身正常的，請注意！如果錯殺可以重新執行c:\Winnt\explorer.exe)；
　　 3、移除C:\Winnt\fonts\中的explorer.exe程序；
　　 4、移除註冊表HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run項中的Explorer鍵值；
　　 5、重新啟動機器。

　　6129連接阜的關閉：

　　首先說明6129連接阜是一個遠端控制軟體（dameware nt utilities)服務端監聽得連接阜，他不是一個木馬程序，但是具有遠端控制功能，通常的殺毒軟體是無法查出它來的。請先確定該服務是否是你自己安裝並且是必需的，如果不是請關閉。

　　關閉方法：

　　1、選項開始-->設定-->控制台-->系統管理工具-->服務
　　找到DameWare Mini Remote Control項點擊右鍵選項內容選項，將啟動檔案類型改成禁用後停止該服務；
　　 2、到c:\Winnt\system32(系統目錄）下將DWRCS.EXE程序移除；
　　 3、到註冊表內將HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\項中的DWRCS鍵值移除。

2006-05-15, 01:21 AM	#1
psac 榮譽會員榮譽勳章勳章總數19 UID - 3662 在線等級: 註冊日期: 2002-12-07 住址: 木柵市立動物園文章: 17381 精華: 2 現金: 5253 金幣資產: 33853 金幣	關閉一般木馬和未使用權控制軟體技巧關閉一般木馬和未使用權控制軟體技巧如果電腦裡存在著木馬病毒和未經使用權的遠端控制軟體，那別人不但能得到你所有的隱私訊息和帳號密碼，更能隨時奪走電腦的控制權，本文主要講述如何關閉這兩類軟體。　　需要說明的一點是，本文介紹的各種木馬及未使用權被安裝的遠端控制軟體均是由於沒有正確的設定管理員密碼導致系統被侵入而存在的。因此請先檢查系統中所有帳號的密碼是否設定的足夠安全。　　密碼設定要求：　　1.密碼應該不少於8個字元；　　2.不包含字典裡的單詞、不包括姓氏的漢語拼音；　　3.同時包含多種檔案類型的字元，比如大寫字母(A,B,C,..Z)、小寫字母(a,b,c..z)、數位(0,1,2,…9)、標點符號(@,#,!,$,％,& …)。　　注意：下文中提到的相關路徑根據您的作業系統版本不同會有所不同，請根據自己的系統做相應的調整　　Win98系統：c:\Windows、c:\Windows\system 　　 Winnt和Win2000系統：c:\Winnt、c:\Winnt\system32 　　 Winxp系統：c:\Windows、c:\Windows\system32 　　根據系統安裝的路徑不同，目錄所在磁碟代號也可能不同，如系統安裝在D碟，請將C:\Windows改為D:\Windows依此類推。　　大部分的木馬程序都可以改變預設值的服務連接阜，我們應該根據具體的情況採取相應的措施，一個完整的檢查和移除程序如下例所顯示：　　例：113連接阜木馬的清除（僅適用於Windows系統）：這是一個關於irc聊天室控制的木馬程序。　　1.首先使用netstat -an指令確定自己的系統上是否開放了113連接阜；　　2.使用fport指令察看出是哪個程序在監聽113連接阜；　　例如我們用fport看到如下結果：　　Pid　 ProcessPort　Proto Path 　　 392　 svchost　->　113　 TCP 　　 C:\WinNT\system32\vhos.exe 　　我們就可以確定在監聽在113連接阜的木馬程序是vhos.exe而該程序所在的路徑為c:\Winnt\system32下。　　3.確定了木馬程式名稱（就是監聽113連接阜的程序）後，在工作管理器中搜尋到該行程，並使用管理器結束該行程。　　4.在開始-執行中按鍵輸入regedit執行註冊表管理程序，在註冊表裡搜尋剛才找到那個程序，並將相關的鍵值全部刪掉。　　5.到木馬程序所在的目錄下移除該木馬程序。（通常木馬還會包括其他一些程序，如rscan.exe、p***ec.exe、ipcpass.dic、ipcscan.txt等，根據木馬程序不同，文件也有所不同，你可以通過察看程序的產生和修改的時間來確定與監聽113連接阜的木馬程序有關的其他程序）。　　6.重新啟動機器　　以下列出的連接阜僅為相關木馬程序預設值情況下開放的連接阜，請根據具體情況採取相應的操作：　　707連接阜的關閉：　　這個連接阜開放表示你可能感染了nachi蠕蟲病毒，該蠕蟲的清除方法如下：　　1、停止服務名為WinS Client和Network Connections Sharing的兩項服務；　　 2、移除c:\Winnt\SYSTEM32\WinS\目錄下的DLLHOST.EXE和SVCHOST.EXE文件；　　 3、編輯註冊表，移除HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services項中名為RpcTftpd和RpcPatch的兩個鍵值。　　1999連接阜的關閉：　　這個連接阜是木馬程序BackDoor的預設值服務連接阜，該木馬清除方法如下：　　1、使用行程系統管理工具將notpa.exe行程結束；　　 2、移除c:\Windows\目錄下的notpa.exe程序；　　 3、編輯註冊表，移除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run項中包含c:\Windows\notpa.exe /o=yes的鍵值。　　2001連接阜的關閉：　　這個連接阜是木馬程序黑洞2001的預設值服務連接阜，該木馬清除方法如下：　　1、首先使用行程管理軟體將行程Windows.exe殺掉；　　 2、移除c:\Winnt\system32目錄下的Windows.exe和S_Server.exe文件；　　 3、編輯註冊表，移除HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\項中名為Windows的鍵值；　　 4、將HKEY_CLASSES_ROOT和HKEY_LOCAL_MACHINE\Software\CLASSES項中的Winvxd項移除；　　 5、修改HKEY_CLASSES_ROOT\txtfile\shell\open\command項中的c:\Winnt\system32\S_SERVER.EXE ％1為C:\WinNT\NOTEPAD.EXE ％1；　　 6、修改HKEY_LOCAL_MACHINE\Software\CLASSES\txtfile\shell\open\command項中的c:\Winnt\system32\S_SERVER.EXE ％1鍵值改為　　C:\WinNT\NOTEPAD.EXE ％1。　　2023連接阜的關閉：　　這個連接阜是木馬程序Ripper的預設值服務連接阜，該木馬清除方法如下：　　1、使用行程系統管理工具結束sysrunt.exe行程；　　 2、移除c:\Windows目錄下的sysrunt.exe程式文件；　　 3、編輯system.ini文件，將shell=explorer.exe sysrunt.exe 改為shell=explorer.exe後儲存；　　 4、重新啟動系統。　　2583連接阜的關閉：　　這個連接阜是木馬程序Wincrash v2的預設值服務連接阜，該木馬清除方法如下：　　1、編輯註冊表，移除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\項中的WinManager = "c:\Windows\server.exe"鍵值；　　 2、編輯Win.ini文件，將run=c:\Windows\server.exe改為run=後儲存結束；　　 3、重新啟動系統後移除C:\Windows\system\ SERVER.EXE。　　3389連接阜的關閉：　　首先說明3389連接阜是Windows的遠端管理終端所開的連接阜，它並不是一個木馬程序，請先確定該服務是否是你自己開放的。如果不是必須的，請關閉該服務。　　Win2000關閉的方法：　　1、Win2000server 　　開始-->程序-->系統管理工具-->服務裡找到Terminal Services服務項，選內容選項將啟動檔案類型改成手動，並停止該服務。　　2、Win2000pro 　　開始-->設定-->控制台-->系統管理工具-->服務裡找到Terminal Services服務項，選內容選項將啟動檔案類型改成手動，並停止該服務。　　Winxp關閉的方法：　　在我的電腦上點右鍵選內容-->遠端，將裡面的遠端協助和遠端桌面兩個選擇項裡的勾去掉。　　4444連接阜的關閉：　　如果發現你的機器開放這個連接阜，可能表示你感染了msblast蠕蟲，清除該蠕蟲的方法如下：　　1、使用行程系統管理工具結束msblast.exe的行程；　　 2、編輯註冊表，移除HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run項中的"Windows auto update"="msblast.exe"鍵值；　　 3、移除c:\Winnt\system32目錄下的msblast.exe文件。　　4899連接阜的關閉：　　首先說明4899連接阜是一個遠端控制軟體（remote administrator)服務端監聽的連接阜，他不能算是一個木馬程序，但是具有遠端控制功能，通常殺毒軟體是無法查出它來的，請先確定該服務是否是你自己開放並且是必需的。如果不是請關閉它。　　關閉方法：　　1、請在開始-->執行中輸入cmd(98以下為command),然後 cd C:\Winnt\system32(你的系統安裝目錄），輸入r_server.exe /stop後按Enter鍵。　　然後在輸入r_server /uninstall /silence；　　2、到C:\Winnt\system32(系統目錄）下移除r_server.exe admdll.dll raddrv.dll三個文件。　　5800，5900連接阜：　　首先說明5800，5900連接阜是遠端控制軟體VNC的預設值服務連接阜，但是VNC在修改過後會被用在某些蠕蟲中。請先驗證VNC是否是你自己開放並且是必須的，如果不是請關閉。　　關閉的方法：　　1、首先使用fport指令確定出監聽在5800和5900連接阜的程序所在位置（通常會是c:\Winnt\fonts\explorer.exe)；　　 2、在工作管理器中殺掉相關的行程（注意有一個是系統本身正常的，請注意！如果錯殺可以重新執行c:\Winnt\explorer.exe)；　　 3、移除C:\Winnt\fonts\中的explorer.exe程序；　　 4、移除註冊表HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run項中的Explorer鍵值；　　 5、重新啟動機器。　　6129連接阜的關閉：　　首先說明6129連接阜是一個遠端控制軟體（dameware nt utilities)服務端監聽得連接阜，他不是一個木馬程序，但是具有遠端控制功能，通常的殺毒軟體是無法查出它來的。請先確定該服務是否是你自己安裝並且是必需的，如果不是請關閉。　　關閉方法：　　1、選項開始-->設定-->控制台-->系統管理工具-->服務　　找到DameWare Mini Remote Control項點擊右鍵選項內容選項，將啟動檔案類型改成禁用後停止該服務；　　 2、到c:\Winnt\system32(系統目錄）下將DWRCS.EXE程序移除；　　 3、到註冊表內將HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\項中的DWRCS鍵值移除。
	__________________
	送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次

Google 提供的廣告