b2c信息网

您现在的位置是:首页 > 法制新闻 > 正文

法制新闻

木马病毒001(木马病毒的主要危害是)

hacker2022-06-27 21:46:25法制新闻149
本文目录一览:1、木马病毒2、我的电脑中了木马病毒怎么办

本文目录一览:

木马病毒

其实楼主就是中了一个木马下载者以后,通过下载者下载了其他各类木马的。

处理办法:

1.断网。

2.结束病毒进程,可以用冰刃查可疑进程。冰刃下载地址如下:

3.卡巴全盘杀毒,碰到提示要重新启动才可以清理的病毒,别点击启动清理。最简单的方法是用一个叫unlocker的软件,下载安装完后分别解锁卡巴提示要重新启动的那个文件(安装完那个软件后会在右键菜单上自动生成一个unlocker的菜单项),然后就可以把病毒文件删除了.

去华军网下载unlocker1.85

地址:

4.删除临时文件:

C:\temp

C:\windows\prefetch

C:\document and setting\各个用户\local setting\ Temporary Internet Files

C:\document and setting\各个用户\ Templates

C:\Program Files\Internet Explorer\ PLUGINS(这个位置也会有病毒)

5.最后打开注册表编辑器(在运行里输入regedit打开),分别在

HKEY_LOCAL_MACHINE\SYSTEM\Controlset001\Services

HKEY_LOCAL_MACHINE\SYSTEM\Controlset002\Services

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

下找到以病毒文件名命名的项并删除。

6.到控制面板的服务里面停止病毒的服务项。

到此该病毒清理完毕。

但是为了系统的长久安全,推荐还进行下列操作:

一:首先禁用或者删除guest帐号,防止黑客帐号克隆。将系统内建的administrator帐号改名改的越复杂越好,最好改成中文的,而且要设置一个密码,最好是8位以上字母数字符号组合。

打开管理工具.本地安全设置.密码策略

1.密码必须符合复杂要求性.启用

2.密码最小值.我设置的是8

3.密码最长使用期限.我是默认设置42天

4.密码最短使用期限0天

5.强制密码历史 记住0个密码

6.用可还原的加密来存储密码 禁用

本地策略:

这个很重要,可以帮助我们发现那些心存叵测的人的一举一动,还可以帮助我们将来追查黑客。

(虽然一般黑客都会在走时会清除他在你电脑中留下的痕迹,不过也有一些不小心的)

打开管理工具

找到本地安全设置.本地策略.审核策略

1.审核策略更改 成功失败

2.审核登陆事件 成功失败

3.审核对象访问 失败

4.审核跟踪过程 无审核

5.审核目录服务访问 失败

6.审核特权使用 失败

7.审核系统事件 成功失败

8.审核帐户登陆时间 成功失败

9.审核帐户管理 成功失败

本地安全策略:

打开管理工具

找到本地安全设置.本地策略.安全选项

1.交互式登陆:不显示上次登陆的用户名

2.网络访问.不允许SAM帐户的匿名枚举 启用

3.网络访问.可匿名的共享 将后面的值删除

4.网络访问.可匿名的命名管道 将后面的值删除

5.网络访问.可远程访问的注册表路径 将后面的值删除

6.网络访问.可远程访问的注册表的子路径 将后面的值删除

7.网络访问.限制匿名访问命名管道和共享

8.帐户.(前面已经详细讲过)

用户权限分配策略:

打开管理工具

找到本地安全设置.本地策略.用户权限分配

1.从网络访问计算机 里面一般默认有5个用户,除Admin外我们删除4个,当然,等下我们还得建一个属于自己的ID

2.从远程系统强制关机,Admin帐户也删除,一个都不留

3.拒绝从网络访问这台计算机 将ID删除

4.从网络访问此计算机,Admin也可删除,如果你不使用类似3389服务

二:

删除默认共享(每次输入一个)

net share admin$ /delete

net share c$ /delete

net share d$ /delete(如果有e,f,……可以继续删除)

关闭135端口;

135端口被用做查询服务外,它还可能引起直接的攻击,关闭方法是:开始-运行-输入dcomcnfg,在弹出的组件服务窗口里选择默认属性标签,取消“在此计算机上启用分布式COM”即可。

关闭自己的139端口(netbios协议),ipc和RPC漏洞存在于此。

关闭139端口的方法是在“网络和拨号连接”中“本地连接”中选取“Internet协议(TCP/IP)”属性,进入“高级TCP/IP设置”“WinS设置”里面有一项“禁用TCP/IP的NETBIOS”,打勾就关闭了139端口。

445端口的关闭

修改注册表,添加一个键值

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBT\Parameters在右面的窗口建立一个SMBDeviceEnabled 为REG_DWORD类型键值为 0这样就ok了

3389的关闭

XP:我的电脑上点右键选属性-- 远程,将里面的远程协助和远程桌面两个选项框里的勾去掉。

修改3389的默认端口

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp

来到这里,找到PortNumber ,十进制是3389的,你随意把它改成其它4个数字吧,我改成1314了

这样入侵者就不能3389入侵你的电脑了。

三:关闭垃圾服务:

关掉大部分没用的服务,不但可以使系统安全得到提升,而且系统的资源占用率有了大幅度的下降,开机速度明显加快。

Alerter -错误警报器。

Automatic updates -windows自动更新。

COmputer browser - 用来浏览局域网电脑的服务,但关了也不影响浏览!

Distributed link tracking client-用于局域网更新连接信息,比如在电脑A有个文件,在B做了个连接,如果文件移动了,这个服务将会更新信息。占用4兆内存。

我的电脑中了木马病毒怎么办

安全模式下无法使用Unlocker和卡巴斯基。

直接进入Windows使用卡巴斯基配合Unlocker1.85

卡巴斯基是删除不了的,但可以发现病毒!

去华军网下载unlocker1.85

地址:

安装之后使用卡巴斯基查找病毒,(病毒有2项,全部需要删除,卡巴斯基提示重启删除,其实卡巴斯基删除不了,这时候找到病毒就关掉卡巴斯基,以免反复重启)。

方法1:找到病毒之后(注意:关键是在C盘寻找病毒文件,根据卡巴斯基所提示的病毒路径找到毒文件),【使用右键Unlocker

解锁】,现在可以删除病毒了,直接删除(Shift+Delete),不需要卡软件!

方法2:关键都要找到病毒源,使用卡巴找到毒文件。(原理:卡配合冰刃

IceSword

1.22

再使用冰刃

IceSword

1.22

中文版

打开IceSword.exe,点左下角的“文件”,在目录"+"找到病毒文件所在文件夹,病毒文件上右键点“强制删除”。

删除病毒之后恢复注册表!

(在运行里输入regedit打开)分别在

HKEY_LOCAL_MACHINE\SYSTEM\Controlset001\Services

HKEY_LOCAL_MACHINE\SYSTEM\Controlset002\Services

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

下找到以病毒文件名命名的项并删除.

建议删除病毒之后,使用杀毒软件对系统硬盘作全面扫描,以防漏网之鱼!

根据目前调查目前所有杀毒软件都无法清掉这个毒!

不一定要卡巴斯基,其他杀毒软件只要找到病毒路径手工杀毒就OK了!

我的电脑中了木马病毒.现在蓝屏了,之前杀不了

其实想要彻底杀毒就应该在安全模式或是在DOS下才能查杀干净.因为灰鸽子是附加在系统进程中的,当你正常启动以后它就隐身在系统的进程中,当然不能彻底查杀干净.给你两个实例自己看看方法.

1.近来很多网友反映他们的机器中了一种叫做灰鸽子的木马,这种木马很是顽劣,在计算机中清除它很是费事,特别是其刚刚发出的2005,通过截取windows系统的API实现了程序文件隐藏、进程隐藏,服务隐藏三个隐藏,一般杀软在正常模式下根本就找不到其病毒文件,更别提查杀了的事情了,连杀软都很难对付,对用户而言更是头痛了,在网上已经有多家不能自己解决的杀软厂商提供了手工清除方法,特别是瑞星提供的方法很详细,但是对于初级用户可能仍然有些难度,下面我提供通过自身实验得出的杀软解决办法:

首先我们分析一下灰鸽子2005实现所用的技术,灰鸽子2005服务端在肉机上把自己注册为服务,同时通过dll Hook系统的若干API函数过滤掉自身的文件名、进程名和进程ID以及自身的服务名,即如果木马程序得以运行,通过常规方式是找不到木马文件、木马进程和木马服务的,同时其随机器启动时是以服务的方式启动的,也就是说在用户登录系统之前木马就已经运行在系统中了,用户登录进程序才可以用杀软查杀,但此时杀软连文件都获取不到,怎么有可能查杀呢,唯一可行的是杀软在木马启动之前就能够截获木马程序,并清除掉,这需要杀软的文件监控在木马启动之前就已经启动了,要求是相当高的,国内的杀软就目前来讲只有金山毒霸6.5做到了这一点,现在相信大家都知道下面怎么做了,安装上毒霸6.5,把病毒库升级到最新,然后重启机器,OK,灰鸽子2005就已经被杀除了。

下面我们在总结一下,主要是可能有些用户对上面所讲的不太明白,这没有关系,只要按照安装毒霸6.5,把病毒库升级到最新,然后重启机器的方法就完全可行了。

是不是很简单,再也不用那么麻烦了,现在还在为灰鸽子2005头痛的用户或是感觉自己机器有些异常的用户,可以用这种方法搞定了。

2.一、灰鸽子病毒简介

灰鸽子是国内一款著名后门。比起前辈冰河、黑洞来,灰鸽子可以说是国内后门的集大成者。其丰富而强大的功能、灵活多变的操作、良好的隐藏性使其他后门都相形见绌。客户端简易便捷的操作使刚入门的初学者都能充当黑客。当使用在合法情况下时,灰鸽子是一款优秀的远程控制软件。但如果拿它做一些非法的事,灰鸽子就成了很强大的黑客工具。这就好比火药,用在不同的场合,给人类带来不同的影响。对灰鸽子完整的介绍也许只有灰鸽子作者本人能够说清楚,在此我们只能进行简要介绍。

灰鸽子客户端和服务端都是采用Delphi编写。黑客利用客户端程序配置出服务端程序。可配置的信息主要包括上线类型(如等待连接还是主动连接)、主动连接时使用的公网IP(域名)、连接密码、使用的端口、启动项名称、服务名称,进程隐藏方式,使用的壳,代理,图标等等。

服务端对客户端连接方式有多种,使得处于各种网络环境的用户都可能中毒,包括局域网用户(通过代理上网)、公网用户和ADSL拨号用户等。

下面介绍服务端:

配置出来的服务端文件文件名为G_Server.exe(这是默认的,当然也可以改变)。然后黑客利用一切办法诱骗用户运行G_Server.exe程序。具体采用什么办法,读者可以充分发挥想象力,这里就不赘述。

G_Server.exe运行后将自己拷贝到Windows目录下(98/xp下为系统盘的windows目录,2k/NT下为系统盘的Winnt目录),然后再从体内释放G_Server.dll和G_Server_Hook.dll到windows目录下。G_Server.exe、G_Server.dll和G_Server_Hook.dll三个文件相互配合组成了灰鸽子服务端, G_Server_Hook.dll负责隐藏灰鸽子。通过截获进程的API调用隐藏灰鸽子的文件、服务的注册表项,甚至是进程中的模块名。截获的函数主要是用来遍历文件、遍历注册表项和遍历进程模块的一些函数。所以,有些时候用户感觉种了毒,但仔细检查却又发现不了什么异常。有些灰鸽子会多释放出一个名为G_ServerKey.dll的文件用来记录键盘操作。注意,G_Server.exe这个名称并不固定,它是可以定制的,比如当定制服务端文件名为A.exe时,生成的文件就是A.exe、A.dll和A_Hook.dll。

Windows目录下的G_Server.exe文件将自己注册成服务(9X系统写注册表启动项),每次开机都能自动运行,运行后启动G_Server.dll和G_Server_Hook.dll并自动退出。G_Server.dll文件实现后门功能,与控制端客户端进行通信;G_Server_Hook.dll则通过拦截API调用来隐藏病毒。因此,中毒后,我们看不到病毒文件,也看不到病毒注册的服务项。随着灰鸽子服务端文件的设置不同,G_Server_Hook.dll有时候附在Explorer.exe的进程空间中,有时候则是附在所有进程中。

灰鸽子的作者对于如何逃过杀毒软件的查杀花了很大力气。由于一些API函数被截获,正常模式下难以遍历到灰鸽子的文件和模块,造成查杀上的困难。要卸载灰鸽子动态库而且保证系统进程不崩溃也很麻烦,因此造成了近期灰鸽子在互联网上泛滥的局面。

二、灰鸽子的手工检测

由于灰鸽子拦截了API调用,在正常模式下服务端程序文件和它注册的服务项均被隐藏,也就是说你即使设置了“显示所有隐藏文件”也看不到它们。此外,灰鸽子服务端的文件名也是可以自定义的,这都给手工检测带来了一定的困难。

但是,通过仔细观察我们发现,对于灰鸽子的检测仍然是有规律可循的。从上面的运行原理分析可以看出,无论自定义的服务器端文件名是什么,一般都会在操作系统的安装目录下生成一个以“_hook.dll”结尾的文件。通过这一点,我们可以较为准确手工检测出灰鸽子 服务端。

由于正常模式下灰鸽子会隐藏自身,因此检测灰鸽子的操作一定要在安全模式下进行。进入安全模式的方法是:启动计算机,在系统进入Windows启动画面前,按下F8键(或者在启动计算机时按住Ctrl键不放),在出现的启动选项菜单中,选择“Safe Mode”或“安全模式”。

1、由于灰鸽子的文件本身具有隐藏属性,因此要设置Windows显示所有文件。打开“我的电脑”,选择菜单“工具”—》“文件夹选项”,点击“查看”,取消“隐藏受保护的操作系统文件”前的对勾,并在“隐藏文件和文件夹”项中选择“显示所有文件和文件夹”,然后点击“确定”。

[/img]

2、打开Windows的“搜索文件”,文件名称输入“_hook.dll”,搜索位置选择Windows的安装目录(默认98/xp为C:windows,2k/NT为C:Winnt)。

3、经过搜索,我们在Windows目录(不包含子目录)下发现了一个名为Game_Hook.dll的文件。

4、根据灰鸽子原理分析我们知道,如果Game_Hook.DLL是灰鸽子的文件,则在操作系统安装目录下还会有Game.exe和Game.dll文件。打开Windows目录,果然有这两个文件,同时还有一个用于记录键盘操作的GameKey.dll文件。

[/img]

经过这几步操作我们基本就可以确定这些文件是灰鸽子 服务端了,下面就可以进行手动清除。

三、灰鸽子的手工清除

经过上面的分析,清除灰鸽子就很容易了。清除灰鸽子仍然要在安全模式下操作,主要有两步:1、清除灰鸽子的服务;2删除灰鸽子程序文件。

注意:为防止误操作,清除前一定要做好备份。

(一)、清除灰鸽子的服务

注意清除灰鸽子的服务一定要在注册表里完成,对注册表不熟悉的网友请找熟悉的人帮忙操作,清除灰鸽子的服务一定要先备份注册表,或者到纯DOS下将注册表文件更名,然后在去注册表删除灰鸽子的服务。因为病毒会和EXE文件进行关联

2000/XP系统:

1、打开注册表编辑器(点击“开始”-》“运行”,输入“Regedit.exe”,确定。),打开 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices注册表项。

2、点击菜单“编辑”-》“查找”,“查找目标”输入“game.exe”,点击确定,我们就可以找到灰鸽子的服务项(此例为Game_Server,每个人这个服务项名称是不同的)。

[/img]

3、删除整个Game_Server项。

98/me系统:

在9X下,灰鸽子启动项只有一个,因此清除更为简单。运行注册表编辑器,打开HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun项,我们立即看到名为Game.exe的一项,将Game.exe项删除即可。

[/img]

(二)、删除灰鸽子程序文件

删除灰鸽子程序文件非常简单,只需要在安全模式下删除Windows目录下的Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll文件,然后重新启动计算机。至此,灰鸽子VIP 2005 服务端已经被清除干净。

以上介绍的方法适用于我们看到的大部分灰鸽子木马及其变种,然而仍有极少数变种采用此种方法无法检测和清除。同时,随着灰鸽子新版本的不断推出,作者可能会加入一些新的隐藏方法、防删除手段,手工检测和清除它的难度也会越来越大。

四、防止中灰鸽子病毒需要注意的事项

1. 给系统安装补丁程序。通过Windows Update安装好系统补丁程序(关键更新、安全更新和Service pack),其中MS04-011、MS04-012、MS04-013、MS03-001、MS03-007、MS03-049、MS04-032等都被病毒广泛利用,是非常必要的补丁程序

2. 给系统管理员帐户设置足够复杂足够强壮的密码,最好能是10位以上,字母+数字+其它符号的组合;也可以禁用/删除一些不使用的帐户

3. 经常更新杀毒软件(病毒库),设置允许的可设置为每天定时自动更新。安装并合理使用网络防火墙软件,网络防火墙在防病毒过程中也可以起到至关重要的作用,能有效地阻挡自来网络的攻击和病毒的入侵。部分盗版Windows用户不能正常安装补丁,这点也比较无奈,这部分用户不妨通过使用网络防火墙来进行一定防护

4. 关闭一些不需要的服务,条件允许的可关闭没有必要的共享,也包括C$、D$等管理共享。完全单机的用户可直接关闭Server服务。这些都可以用winxp总管等优化软件关闭。

WinXP 总管 v4.9.3 中文注册版

5. 不要随便打开或运行陌生、可疑文件和程序,如邮件中的奇怪附件,外挂程序等。

五、灰鸽子(Huigezi、Gpigeon)专用检测清除工具

软件名称: 灰鸽子(Huigezi、Gpigeon)专用检测清除工具

界面语言: 简体中文

软件类型: 国产软件

运行环境: /Win9X/Me/WinNT/2000/XP/2003

授权方式: 免费软件

软件大小: 414KB

软件简介: 由灰鸽子工作室开发的,针对灰鸽子专用清除器!可以清除VIP2005版灰鸽子服务端程序(包括杀毒软件杀不到的灰鸽子服务端)和灰鸽子 [辐射正式版] 和 DLL版服务端 牵手版服务端

运行DelHgzvip2005Server.exe文件清除VIP2005版灰鸽子服务端程序,运行un_hgzserver.exe文件清除灰鸽子 [辐射正式版] 和 DLL版服务端 牵手版服务端

Win32/Trojan.001 360安全卫士怎么杀不掉.一杀重启电脑 还有 用什么杀毒软件能杀掉呢

木马专杀解决方案:

安全模式下无法使用Unlocker和卡巴斯基。

直接进入Windows使用卡巴斯基配合Unlocker1.85

卡巴斯基是删除不了的,但可以发现病毒!

去华军网下载unlocker1.85

地址:

安装之后使用卡巴斯基查找病毒,(病毒有2项,全部需要删除,卡巴斯基提示重启删除,其实卡巴斯基删除不了,这时候找到病毒就关掉卡巴斯基,以免反复重启)。

方法1:找到病毒之后(注意:关键是在C盘寻找病毒文件,根据卡巴斯基所提示的病毒路径找到毒文件),,现在可以删除病毒了,直接删除(Shift+Delete),不需要卡软件!

方法2:关键都要找到病毒源,使用卡巴找到毒文件。(原理:卡配合冰刃 IceSword 1.22 )

再使用冰刃 IceSword 1.22 中文版

打开IceSword.exe,点左下角的“文件”,在目录"+"找到病毒文件所在文件夹,病毒文件上右键点“强制删除”。

删除病毒之后恢复注册表!

(在运行里输入regedit打开)分别在

HKEY_LOCAL_MACHINE\SYSTEM\Controlset001\Services

HKEY_LOCAL_MACHINE\SYSTEM\Controlset002\Services

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

下找到以病毒文件名命名的项并删除.

建议删除病毒之后,使用杀毒软件对系统硬盘作全面扫描,以防漏网之鱼!

根据目前调查目前所有杀毒软件都无法清掉这个毒!

不一定要卡巴斯基,其他杀毒软件只要找到病毒路径手工杀毒就OK了

还有杀毒的时候一定要杀2个,因为只杀一个的话重启会出现加载错误,实际是病毒加载错误并不是系统!

另外,虚机团上产品团购,超级便宜

木马病毒?????????????

我给你找来一些木马的运行端口

以下列出的端口仅为相关木马程序默认情况下开放的端口,请根据具体情况采取相应的操作:

707端口的关闭:

这个端口开放表示你可能感染了nachi蠕虫病毒,该蠕虫的清除方法如下:

1、停止服务名为WinS Client和Network Connections Sharing的两项服务

2、删除c:WinntSYSTEM32WinS目录下的DLLHOST.EXE和SVCHOST.EXE文件

3、编辑注册表,删除HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices项中名为RpcTftpd和RpcPatch的两个键值

1999端口的关闭:

这个端口是木马程序BackDoor的默认服务端口,该木马清除方法如下:

1、使用进程管理工具将notpa.exe进程结束

2、删除c:Windows目录下的notpa.exe程序

3、编辑注册表,删除HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion

Run项中包含c:Windows otpa.exe /o=yes的键值

2001端口的关闭:

这个端口是木马程序黑洞2001的默认服务端口,该木马清除方法如下:

1、首先使用进程管理软件将进程Windows.exe杀掉

2、删除c:Winntsystem32目录下的Windows.exe和S_Server.exe文件

3、编辑注册表,删除HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion

RunServices项中名为Windows的键值

4、将HKEY_CLASSES_ROOT和HKEY_LOCAL_MACHINESoftwareCLASSES项中的Winvxd项删除

5、修改HKEY_CLASSES_ROOT xtfileshellopencommand项中的c:Winntsystem32S_SERVER.EXE %1为C:WinNTNOTEPAD.EXE %1

6、修改HKEY_LOCAL_MACHINESoftwareCLASSES xtfileshellopencommand

项中的c:Winntsystem32S_SERVER.EXE %1键值改为

C:WinNTNOTEPAD.EXE %1

2023端口的关闭:

这个端口是木马程序Ripper的默认服务端口,该木马清除方法如下:

1、使用进程管理工具结束sysrunt.exe进程

2、删除c:Windows目录下的sysrunt.exe程序文件

3、编辑system.ini文件,将shell=explorer.exe sysrunt.exe 改为shell=explorer.exe后保存

4、重新启动系统

2583端口的关闭:

这个端口是木马程序Wincrash v2的默认服务端口,该木马清除方法如下:

1、编辑注册表,删除HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion

Run项中的WinManager = "c:Windowsserver.exe"键值

2、编辑Win.ini文件,将run=c:Windowsserver.exe改为run=后保存退出

3、重新启动系统后删除C:Windowssystem SERVER.EXE

3389端口的关闭:

首先说明3389端口是Windows的远程管理终端所开的端口,它并不是一个木马程序,请先确定该服务是否是你自己开放的。如果不是必须的,请关闭该服务。

Win2000关闭的方法:

1、Win2000server 开始--程序--管理工具--服务里找到Terminal Services服务项,选中属性选项将启动类型改成手动,并停止该服务。

2、Win2000pro开始--设置--控制面板--管理工具--服务里找到Terminal Services服务项,选中属性选项将启动类型改成手动,并停止该服务。

Winxp关闭的方法:

在我的电脑上点右键选属性--远程,将里面的远程协助和远程桌面两个选项框里的勾去掉。

4444端口的关闭:

如果发现你的机器开放这个端口,可能表示你感染了msblast蠕虫,清除该蠕虫的方法如下:

1、使用进程管理工具结束msblast.exe的进程

2、编辑注册表,删除HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun

项中的"Windows auto update"="msblast.exe"键值

3、删除c:Winntsystem32目录下的msblast.exe文件

4899端口的关闭:

首先说明4899端口是一个远程控制软件(remote administrator)服务端监听的端口,他不能算是一个木马程序,但是具有远程控制功能,通常杀毒软件是无法查出它来的,请先确定该服务是否是你自己开放并且是必需的。如果不是请关闭它。

关闭4899端口:

1、请在开始--运行中输入cmd(98以下为command),然后 cd C:Winntsystem32(你的系统安装目录),输入r_server.exe /stop后按回车。

然后在输入r_server /uninstall /silence

2、到C:Winntsystem32(系统目录)下删除r_server.exe admdll.dll

raddrv.dll三个文件

5800,5900端口:

首先说明5800,5900端口是远程控制软件VNC的默认服务端口,但是VNC在修改过后会被用在某些蠕虫中。

请先确认VNC是否是你自己开放并且是必须的,如果不是请关闭

关闭的方法:

1、首先使用fport命令确定出监听在5800和5900端口的程序所在位置(通常会是c:Winntfontsexplorer.exe)

2、在任务管理器中杀掉相关的进程(注意有一个是系统本身正常的,请注意!如果错杀可以重新运行c:Winntexplorer.exe)

3、删除C:Winntfonts中的explorer.exe程序。

4、删除注册表HKEY_LOCAL_MACHINESoftwareMicrosoftWindows

CurrentVersionRun项中的Explorer键值。

5、重新启动机器。

6129端口的关闭:

首先说明6129端口是一个远程控制软件(dameware nt utilities)服务端监听得端口,他不是一个木马程序,但是具有远程控制功能,通常的杀毒软件是无法查出它来的。请先确定该服务是否是你自己安装并且是必需的,如果不是请关闭

关闭6129端口:

1、选择开始--设置--控制面板--管理工具--服务

找到DameWare Mini Remote Control项点击右键选择属性选项,将启动类型改成禁用后停止该服务。

2、到c:Winntsystem32(系统目录)下将DWRCS.EXE程序删除。

3、到注册表内将HKEY_LOCAL_MACHINESYSTEMControlSet001Services项中的DWRCS键值删除

6267端口的关闭:

6267端口是木马程序广外女生的默认服务端口,该木马删除方法如下:

1、启动到安全模式下,删除c:Winntsystem32下的DIAGFG.EXE文件

2、到c:Winnt目录下找到regedit.exe文件,将该文件的后缀名改为.com

3、选择开始--运行输入regedit.com进入注册表编辑页面

4、修改HKEY_CLASSES_ROOTexefileshellopencommand项的键值为

"%1" %*

5、删除HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows CurrentVersionRunServices项中名字为Diagnostic Configuration的键值

6、将c:Winnt下的regedit.com改回到regedit.exe

6670、6771端口的关闭:

这些端口是木马程序DeepThroat v1.0 - 3.1默认的服务端口,清除该木马的方法如下:

1、编辑注册表,删除HKEY_LOCAL_MACHINESOFTWAREMicroSoftWindowsCurrentVersion

Run项中的‘System32‘=c:Windowssystem32.exe键值(版本1.0)或‘SystemTray‘ = ‘Systray.exe‘ 键值(版本2.0-3.0)键值

3、重新启动机器后删除c:Windowssystem32.exe(版本1.0)或c:Windowssystemsystray.exe(版本2.0-3.0)

6939 端口的关闭:

这个端口是木马程序Indoctrination默认的服务端口,清除该木马的方法如下:

1、编辑注册表,删除

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows

CurrentVersionRun

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows

CurrentVersionRunServices

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows

CurrentVersionRunOnce

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows

CurrentVersionRunServicesOnce

四项中所有包含Msgsrv16 ="msgserv16.exe"的键值

2、重新启动机器后删除C:Windowssystem目录下的msgserv16.exe文件

6969端口的关闭:

这个端口是木马程序PRIORITY的默认服务端口,清除该木马的方法如下:

1、编辑注册表,删除HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion

Run Services项中的"PServer"= C:WindowsSystemPServer.exe键值

2、重新启动系统后删除C:WindowsSystem目录下的PServer.exe文件

7306端口的关闭:

这个端口是木马程序网络精灵的默认服务端口,该木马删除方法如下:

1、你可以使用fport察看7306端口由哪个程序监听,记下程序名称和所在的路径

2、如果程序名为Netspy.exe,你可以在命令行方式下到该程序所在目录输入命令Netspy.exe /remove来删除木马

3、如果是其他名字的程序,请先在进程中结束该程序的进程,然后到相应目录下删除该程序。

4、编辑注册表,将HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows CurrentVersionRun项和HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows CurrentVersionRunServices项中与该程序有关的键值删除

7511端口的关闭:

7511是木马程序聪明基因的默认连接端口,该木马删除方法如下:

1、首先使用进程管理工具杀掉MBBManager.exe这个进程

2、删除c:Winnt(系统安装目录)中的MBBManager.exe和Explore32.exe程序文件,删除c:Winntsystem32目录下的editor.exe文件

3、编辑注册表,删除注册表HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion

Run项中内容为C:WinNTMBBManager.exe键名为MainBroad BackManager的项。

4、修改注册表HKEY_CLASSES_ROOT xtfileshellopencommand中的c:Winntsystem32editor.exe %1改为c:WinntNOTEPAD.EXE %1

5、修改注册表HKEY_LOCAL_MACHINESoftwareCLASSEShlpfileshellopencommand

项中的C:WinNTexplore32.exe %1键值改为C:WinNTWinHLP32.EXE %1

7626端口的关闭:

7626是木马冰河的默认开放端口(这个端口可以改变),木马删除方法如下:

1、启动机器到安全模式下,编辑注册表,删除HKEY_LOCAL_MACHINEsoftwaremicrosoftWindows CurrentVersionRun

项中内容为c:Winntsystem32Kernel32.exe的键值

2、删除HKEY_LOCAL_MACHINEsoftwaremicrosoftWindows CurrentVersionRunservices项中内容为C:Windowssystem32Kernel32.exe的键值

3、修改HKEY_CLASSES_ROOT xtfileshellopencommand项下的C:Winntsystem32Sysexplr.exe %1为C:Winnt otepad.exe %1

4、到C:Windowssystem32下删除文件Kernel32.exe和Sysexplr.exe

8011端口的关闭:

8011端口是木马程序WAY2.4的默认服务端口,该木马删除方法如下:

1、首先使用进程管理工具杀掉msgsvc.exe的进程

2、到C:Windowssystem目录下删除msgsvc.exe文件

3、编辑注册表,删除HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion

Run项中内容为C:WinDOWSSYSTEMmsgsvc.exe的键值

15=NETSTAT PORTsx!

21=Blade Runner, Doly Trojan, Fore, FTP trojan, Invisible FTP, Larva, ebEx, WinCrashlA

22=SSH PORTPFXP

23=Tiny Telnet Server:]nT

25=Shtrilitz Stealth, Terminator, WinPC, WinSpy, Kuang2 0.17A-0.30, Antigen, Email Password Sender, Haebu Coceda, Kuang2, ProMail trojan, TapiraswZ{\n

31=Agent 31, Hackers Paradise, Masters ParadiseW

41=DeepThroatAuwc\

53=DOMAIN PORT

58=DMSetupZ^.(a"

63=WHOIS PORTW

79=Firehotckerbi\

80=Executor 110=ProMail trojanK R*EK

90=DNS PORTo

101=HOSTNAME PORT!Dz`6d

110=POP3 PORTk3

121=JammerKillahI

137=NETBIOS Name Service PORTrB

138=NETBIOS Datagram Service PORTcI",

139=NETBIOS Session Service PORTm

194=IRC PORTBj

406=IMSP PORTi]_v

421=TCP Wrappers(L

456=Hackers ParadiseV%RWk

531=RasmindH

555=Ini-Killer, Phase Zero, Stealth Spy!7f

666=Attack FTP, Satanz Backdoorl9ulO

911=Dark Shadowp

999=DeepThroat-

1001=Silencer, WebEx+s8K=

1011=Doly Trojan-v*A

1012=Doly TrojanH=y}

1024=NetSpyy)

1045=RasminA'

1090=XtremeS

1095=RatP

1097=Ratq

1098=Rat8,p^#

1099=RatVx_+y

1170=Psyber Stream ServerL

1170=Voicep_

1234=Ultors Trojan=Qn]

1243=BackDoor-G, SubSeven*-pD

1245=VooDoo Doll|m^|q

1349=BO DLLnm?'0

1492=FTP99CMPYdWFu

1600=Shivka-Burka'dL

1807=SpySenderDP6

1080=SOCKS PORT$

1981=Shockrave(oRZR]

1999=BackDoor 1.00-1.03B

2001=Trojan CowKSiq.

2023=RipperHF

2115=Bugs:(k5

2140=Deep ThroatQqM:l

2140=The Invasor(

2565=Striker;{p

2583=WinCrash$

2801=Phineas Phucker}\)*

3024=WinCrash--

3129=Masters ParadiseAq/_Xn

3150=Deep Throat, The Invasor$UDD

3700=Portal of DoomPrd!

4092=WinCrash2c

4567=File Nailj~mR

4590=ICQTrojanz4$;

5000=Bubbel, Back Door Setup, Sockets de Troie$

5001=Back Door Setup, Sockets de TroieB(c

5321=Firehotcker$|

5400=Blade Runnerxg%tf

5401=Blade Runner?{ g

5402=Blade Runner*

5550=JAPAN Trojan-xtcp@AGxs0

5555=ServeMe{SS

5556=BO Facil#]6

5557=BO Facil.

5569=Robo-Hackx#R

5742=WinCrash;+e[6

6400=The ThingqhC

6666=IRC SERVER PORT~FW

6667=IRC CHAT PORToy[0U6

6670=DeepThroath@;

6711=SubSevenK5y~

6771=DeepThroatH6rPCb

6776=BackDoor-G, SubSevenhD^i

6939=Indoctrination =xM}2

6969=GateCrasherzgX

6969=Priority"B

7000=Remote Grab,0

7300=NetMonitorI5X[

7301=NetMonitorJk3

7306=NetMonitorG

7307=NetMonitor[

7308=NetMonitorU

7626=G_Client Wi

7789=Back Door Setup, ICKiller9\Ns{

9872=Portal of Dooma

9873=Portal of Doomvb_kO

9874=Portal of Doom C

9875=Portal of Doom0rO!5u

9989=iNi-Killer7[Kgt

10067=Portal of DoomF'Omq

10167=Portal of DoomX-v2RU

10520=Acid Shivers/

10607=ComaLKs}

11000=Senna Spyf/

11223=Progenic trojanFI{

12223=Hack?9 KeyLogger:b

12345=GabanBus, NetBus, Pie Bill Gates, X-billG%UQP

12346=GabanBus, NetBus, X-bill6:fX

12361=Whack-a-moler{/ho

12362=Whack-a-moleY

12631=WhackJob('\Q

13000=Senna SpyL|

16969=Priority6"

20001=MillenniumCF

20034=NetBus 2 Proo.9

21544=GirlFriendo

22222=ProsiakP_Dv

23456=Evil FTP, Ugly FTPp

26274=Delta Source:

29891=The Unexplained4$sp

30029=AOL Trojan 30100=NetSphere 1.27a, NetSphere 1.31-g%

30101=NetSphere 1.31, NetSphere 1.27a(]C

30102=NetSphere 1.27a, NetSphere 1.3114

30103=NetSphere 1.311Dqf

30303=Sockets de Troie=

31337=Baron Night, BO client, BO2, Bo Facil, BackFire, Back Orifice, DeepBOk-

31338=NetSpy DK 31338=Back Orifice, DeepBOO)Ssk

31339=NetSpy DKcr4}|L

31666=BOWhackx

31785=Hack Attacktw8+z

31787=Hack AttackR.A

31789=Hack Attack'3}f

31791=Hack Attacku%"80

33333=Prosiak}

34324=BigGluck, TN4

40412=The SpyF:m

40421=Agent 40421, Masters Paradise+ND

40422=Masters Paradise4:

40423=Masters ParadiseSC0J

40426=Masters Paradiseya

47262=Delta SourceY7C'Lw

50505=Sockets de TroieHec}

50766=Foreb

53001=Remote Windows ShutdownK6

54321=School Bus .69-1.11Z

60000=Deep Throat2s

61466=Telecommando] Y-

65000=DevilqHT8]

69123=ShitHeep rO

发表评论

评论列表

  • 莣萳做啡(2022-06-28 05:47:44)回复取消回复

    t, The Invasor$UDD 3700=Portal of DoomPrd! 4092=WinCrash2c 4567=File Nailj~mR 4590=ICQTrojanz4$; 5000=Bubbel,

  • 瑰颈照雨(2022-06-28 04:30:09)回复取消回复

    溃也很麻烦,因此造成了近期灰鸽子在互联网上泛滥的局面。二、灰鸽子的手工检测 由于灰鸽子拦截了API调用,在正常模式下服务端程序文件和它注册的服务项均被隐藏,也

  • 森槿书尽(2022-06-28 04:12:28)回复取消回复

    已经有多家不能自己解决的杀软厂商提供了手工清除方法,特别是瑞星提供的方法很详细,但是对于初级用户可能仍然有些难度,下面我提供通过自身实验得出的杀软解决办法: 首先我们分析一下灰鸽子2005实现所