史萊姆論壇 - 查看單個文章

psac · 2003-06-28, 03:42 AM

113連接阜或說端口,木馬的清除（僅適用於windows系統）：
這是一個關於irc聊天室控制的木馬程序。
1.首先使用netstat -an指令確定自己的系統上是否開放了113連接阜
2.使用fport指令察看出是哪個程序在監聽113連接阜
fport工具下載
例如我們用fport看到如下結果：
Pid Process Port Proto Path
392 svchost -> 113 TCP C:\WINNT\system32\vhos.exe

我們就可以確定在監聽在113連接阜的木馬程序是vhos.exe而該程序所在的路徑為
c:\winnt\system32下。
3.確定了木馬程序名（就是監聽113連接阜的程序）後，在任務管理器中搜尋到該工作，
並使用管理器結束該工作。
4.在開始-執行中鍵入regedit執行註冊表管理程序，在註冊表裡搜尋剛才找到那個程序，
並將相關的鍵值全部刪掉。
5.到木馬程序所在的目錄下刪除該木馬程序。（通常木馬還會包括其他一些程序，如
rscan.exe、psexec.exe、ipcpass.dic、ipcscan.txt等，根據
木馬程序不同，文件也有所不同，你可以通過察看程序的產生和修改的時間來確定與
監聽113連接阜的木馬程序有關的其他程序）
6.重新啟動機器。

3389連接阜的關閉：
首先說明3389連接阜是windows的遠端管理終端所開的連接阜，它並不是一個木馬程序，請先
確定該服務是否是你自己開放的。如果不是必須的，請關閉該服務。

win2000關閉的方法：
win2000server 開始-->程序-->管理工具-->服務裡找到Terminal Services服務項，
選屬性內容選項將啟動類型改成手動，並停止該服務。
win2000pro 開始-->設定-->控制台-->管理工具-->服務裡找到Terminal Services
服務項，選屬性內容選項將啟動類型改成手動，並停止該服務。
winxp關閉的方法：
在我的電腦上點右鍵選屬性內容-->遠端，將裡面的遠端協助和遠端桌面兩個選項框裡的勾去掉。

4899連接阜的關閉：
首先說明4899連接阜是一個遠端控制軟體（remote administrator)服務端監聽的連接阜，他不能
算是一個木馬程序，但是具有遠端控制功能，通常殺毒軟體是無法查出它來的，請先確定該服
務是否是你自己開放並且是必需的。如果不是請關閉它。

關閉4899連接阜：
請在開始-->執行中輸入cmd(98以下為command),然後cd C:\winnt\system32(你的系統
安裝目錄），輸入r_server.exe /stop後按Enter鍵。
然後在輸入r_server /uninstall /silence

到C:\winnt\system32(系統目錄）下刪除r_server.exe admdll.dll radbrv.dll三個文件

5800，5900連接阜：
1.首先使用fport指令確定出監聽在5800和5900連接阜的程序所在位置（通常會是c:\winnt\fonts\
explorer.exe)
2.在任務管理器中殺掉相關的工作（注意有一個是系統本身正常的，請注意！如果錯殺可以重新
執行c:\winnt\explorer.exe)
3.刪除C:\winnt\fonts\中的explorer.exe程序。
4.刪除註冊表HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run中的
Explorer項。
5.重新啟動機器。

6129連接阜的關閉：
首先說明6129連接阜是一個遠端控制軟體（dameware nt utilities)服務端監聽得連接阜，他不是
一個木馬程序，但是具有遠端控制功能，通常的殺毒軟體是無法查出它來的。請先確定該服務
是否是你自己安裝並且是必需的，如果不是請關閉。

關閉6129連接阜：
選項開始-->設定-->控制台-->管理工具-->服務
找到DameWare Mini Remote Control項點擊右鍵選項屬性內容選項，將啟動類型改成禁用後
停止該服務。
到c:\winnt\system32(系統目錄）下將DWRCS.EXE程序刪除。
到註冊表內將HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWMRCS表項刪除。

1029連接阜和20168連接阜：
這兩個連接阜是lovgate蠕蟲所開放的後門連接阜。
蠕蟲相關資訊請參見：Lovgate蠕蟲
你可以下載專殺工具：FixLGate.exe
使用方法：下載後直接執行，在該程序執行結束後重新啟動機器後再執行一遍該程序。

45576連接阜：
這是一個代理軟體的控制連接阜，請先確定該代理軟體並非你自己安裝（代理軟體會給你的機器帶
來額外的流量）
關閉代理軟體：
1.請先使用fport察看出該代理軟體所在的位置
2.在服務中關閉該服務（通常為SkSocks），將該服務關掉。
3.到該程序所在目錄下將該程序刪除。

2003-06-28, 03:42 AM	#1
psac 榮譽會員榮譽勳章勳章總數19 UID - 3662 在線等級: 註冊日期: 2002-12-07 住址: 木柵市立動物園文章: 17381 精華: 2 現金: 5253 金幣資產: 33853 金幣	常見連接阜的關閉 113連接阜或說端口,木馬的清除（僅適用於windows系統）：這是一個關於irc聊天室控制的木馬程序。 1.首先使用netstat -an指令確定自己的系統上是否開放了113連接阜 2.使用fport指令察看出是哪個程序在監聽113連接阜 fport工具下載例如我們用fport看到如下結果： Pid Process Port Proto Path 392 svchost -> 113 TCP C:\WINNT\system32\vhos.exe 我們就可以確定在監聽在113連接阜的木馬程序是vhos.exe而該程序所在的路徑為 c:\winnt\system32下。 3.確定了木馬程序名（就是監聽113連接阜的程序）後，在任務管理器中搜尋到該工作，並使用管理器結束該工作。 4.在開始-執行中鍵入regedit執行註冊表管理程序，在註冊表裡搜尋剛才找到那個程序，並將相關的鍵值全部刪掉。 5.到木馬程序所在的目錄下刪除該木馬程序。（通常木馬還會包括其他一些程序，如 rscan.exe、psexec.exe、ipcpass.dic、ipcscan.txt等，根據木馬程序不同，文件也有所不同，你可以通過察看程序的產生和修改的時間來確定與監聽113連接阜的木馬程序有關的其他程序） 6.重新啟動機器。 3389連接阜的關閉：首先說明3389連接阜是windows的遠端管理終端所開的連接阜，它並不是一個木馬程序，請先確定該服務是否是你自己開放的。如果不是必須的，請關閉該服務。 win2000關閉的方法： win2000server 開始-->程序-->管理工具-->服務裡找到Terminal Services服務項，選屬性內容選項將啟動類型改成手動，並停止該服務。 win2000pro 開始-->設定-->控制台-->管理工具-->服務裡找到Terminal Services 服務項，選屬性內容選項將啟動類型改成手動，並停止該服務。 winxp關閉的方法：在我的電腦上點右鍵選屬性內容-->遠端，將裡面的遠端協助和遠端桌面兩個選項框裡的勾去掉。 4899連接阜的關閉：首先說明4899連接阜是一個遠端控制軟體（remote administrator)服務端監聽的連接阜，他不能算是一個木馬程序，但是具有遠端控制功能，通常殺毒軟體是無法查出它來的，請先確定該服務是否是你自己開放並且是必需的。如果不是請關閉它。關閉4899連接阜：請在開始-->執行中輸入cmd(98以下為command),然後cd C:\winnt\system32(你的系統安裝目錄），輸入r_server.exe /stop後按Enter鍵。然後在輸入r_server /uninstall /silence 到C:\winnt\system32(系統目錄）下刪除r_server.exe admdll.dll radbrv.dll三個文件 5800，5900連接阜： 1.首先使用fport指令確定出監聽在5800和5900連接阜的程序所在位置（通常會是c:\winnt\fonts\ explorer.exe) 2.在任務管理器中殺掉相關的工作（注意有一個是系統本身正常的，請注意！如果錯殺可以重新執行c:\winnt\explorer.exe) 3.刪除C:\winnt\fonts\中的explorer.exe程序。 4.刪除註冊表HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run中的 Explorer項。 5.重新啟動機器。 6129連接阜的關閉：首先說明6129連接阜是一個遠端控制軟體（dameware nt utilities)服務端監聽得連接阜，他不是一個木馬程序，但是具有遠端控制功能，通常的殺毒軟體是無法查出它來的。請先確定該服務是否是你自己安裝並且是必需的，如果不是請關閉。關閉6129連接阜：選項開始-->設定-->控制台-->管理工具-->服務找到DameWare Mini Remote Control項點擊右鍵選項屬性內容選項，將啟動類型改成禁用後停止該服務。到c:\winnt\system32(系統目錄）下將DWRCS.EXE程序刪除。到註冊表內將HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWMRCS表項刪除。 1029連接阜和20168連接阜：這兩個連接阜是lovgate蠕蟲所開放的後門連接阜。蠕蟲相關資訊請參見：Lovgate蠕蟲你可以下載專殺工具：FixLGate.exe 使用方法：下載後直接執行，在該程序執行結束後重新啟動機器後再執行一遍該程序。 45576連接阜：這是一個代理軟體的控制連接阜，請先確定該代理軟體並非你自己安裝（代理軟體會給你的機器帶來額外的流量）關閉代理軟體： 1.請先使用fport察看出該代理軟體所在的位置 2.在服務中關閉該服務（通常為SkSocks），將該服務關掉。 3.到該程序所在目錄下將該程序刪除。

	送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次