[收藏]常見木馬和未授權控制軟體的關閉

http://center.hzau.edu.cn/service/support/20041231/344.htm

    以下各種木馬及未授權被安裝的遠端控制軟體均由於您沒有正確的設定您的管理員密碼造成的。請先檢查系統中所有帳號的口令是否設定的足夠安全。　　
　　口令設定要求：
　　1.口令應該不少於8個字元；
　　2.不包含字典裡的單詞、不包括姓氏的漢語拼音；
　　3.同時包含多種類型的字元，比如　　
　　　　o大寫字母(A,B,C,..Z)
　　　　o小寫字母(a,b,c..z)
　　　　o數字(0,1,2,…9)
　　　　o標點符號(@,#,!,$,%,& …)
　　注意：下文中提到的相關路徑根據您的作業系統版本不同會有所不同，請根據自己的系統做相應的調整
　　Win98系統：　　　　c:/Windows　 c:/Windows/system
　　Winnt和Win2000系統：c:/Winnt　　c:/Winnt/system32
　　Winxp系統：　　　　c:/Windows　 c:/Windows/system32
　　根據系統安裝的路徑不同，目錄所在盤符也可能不同，如系統安裝在D盤，請將C:/Windows改為D:/Windows依此類推
　　大部分的木馬程式都可以改變預設的服務連接埠，我們應該根據具體的情況採取相應的措施，一個完整的檢查和刪除過程如下例所示：
　　例：113連接埠木馬的清除（僅適用於Windows系統）：
　　這是一個基於irc聊天室控制的木馬程式。
　　1.首先使用netstat -an命令確定自己的系統上是否開放了113連接埠
　　2.使用fport命令察看出是哪個程式在監聽113連接埠
　　　　　例如我們用fport看到如下結果：
　　　Pid　 Process　　　　Port　Proto Path
　　　392　 svchost　　　->　113　 TCP　 C:/WinNT/system32/vhos.exe
　　我們就可以確定在監聽在113連接埠的木馬程式是vhos.exe而該程式所在的路徑為c:/Winnt/system32下。
　　3.確定了木馬程式名（就是監聽113連接埠的程式）後，在工作管理員中尋找到該進程，並使用管理器結束該進程。
　　4.在開始-運行中鍵入regedit運行註冊表管理程式，在註冊表裡尋找剛才找到那個程式，並將相關的索引值全部刪掉。
　　5.到木馬程式所在的目錄下刪除該木馬程式。（通常木馬還會包括其他一些程式，如rscan.exe、psexec.exe、ipcpass.dic、ipcscan.txt等，根據木馬程式不同，檔案也有所不同，你可以通過察看程式的產生和修改的時間來確定與監聽113連接埠的木馬程式有關的其他程式）
　　6.重新啟動機器。
　　以下列出的連接埠僅為相關木馬程式預設情況下開放的連接埠，請根據具體情況採取相應的操作：
　　707連接埠的關閉：
　　這個連接埠開放表示你可能感染了nachi蠕蟲，該蠕蟲的清除方法如下：
　　1、停止服務名為WinS Client和Network Connections Sharing的兩項服務
　　2、刪除c:/Winnt/SYSTEM32/WinS/目錄下的DLLHOST.EXE和SVCHOST.EXE檔案
　　3、編輯註冊表，刪除HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services項中名為RpcTftpd和RpcPatch的兩個索引值　　
　　1999連接埠的關閉：
　　這個連接埠是木馬程式BackDoor的預設服務連接埠，該木馬清除方法如下：
　　1、使用進程管理工具將notpa.exe進程結束
　　2、刪除c:/Windows/目錄下的notpa.exe程式
　　3、編輯註冊表，刪除HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run項中包含c:/Windows/notpa.exe /o=yes的索引值
　　2001連接埠的關閉：
　　這個連接埠是木馬程式黑洞2001的預設服務連接埠，該木馬清除方法如下：
　　1、首先使用進程管理軟體將進程Windows.exe殺掉
　　2、刪除c:/Winnt/system32目錄下的Windows.exe和S_Server.exe檔案
　　3、編輯註冊表，刪除HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServices/項中名為Windows的索引值
　　4、將HKEY_CLASSES_ROOT和HKEY_LOCAL_MACHINE/Software/CLASSES項中的Winvxd項刪除
　　5、修改HKEY_CLASSES_ROOT/txtfile/shell/open/command項中的c:/Winnt/system32/S_SERVER.EXE %1為C:/WinNT/NOTEPAD.EXE %1
　　6、修改HKEY_LOCAL_MACHINE/Software/CLASSES/txtfile/shell/open/command項中的c:/Winnt/system32/S_SERVER.EXE %1索引值改為C:/WinNT/NOTEPAD.EXE %1
　　2023連接埠的關閉：
　　這個連接埠是木馬程式Ripper的預設服務連接埠，該木馬清除方法如下：
　　1、使用進程管理工具結束sysrunt.exe進程
　　2、刪除c:/Windows目錄下的sysrunt.exe程式檔案
　　3、編輯system.ini檔案，將shell=explorer.exe sysrunt.exe 改為shell=explorer.exe後儲存
　　4、重新啟動系統
　　2583連接埠的關閉：
　　這個連接埠是木馬程式Wincrash v2的預設服務連接埠，該木馬清除方法如下：
　　1、編輯註冊表，刪除HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/項中的WinManager = "c:/Windows/server.exe"索引值
　　2、編輯Win.ini檔案，將run=c:/Windows/server.exe改為run=後儲存退出
　　3、重新啟動系統後刪除C:/Windows/system/ SERVER.EXE
　　3389連接埠的關閉：
　　首先說明3389連接埠是Windows的遠端管理終端所開的連接埠，它並不是一個木馬程式，請先確定該服務是否是你自己開放的。如果不是必須的，請關閉該服務。
　　Win2000關閉的方法：
　　1、Win2000server 開始-->程式-->管理工具-->服務裡找到Terminal Services服務項，選中屬性選項將啟動類型改成手動，並停止該服務。
　　2、Win2000pro　開始-->設定-->控制台-->管理工具-->服務裡找到Terminal Services服務項，選中屬性選項將啟動類型改成手動，並停止該服務。
　　Winxp關閉的方法：
　　在我的電腦上點右鍵選屬性-->遠程，將裡面的遠程協助和遠端桌面兩個選項框裡的勾去掉。
　　4444連接埠的關閉：
　　如果發現你的機器開放這個連接埠，可能表示你感染了msblast蠕蟲，清除該蠕蟲的方法如下：
　　1、使用進程管理工具結束msblast.exe的進程
　　2、編輯註冊表，刪除HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run項中的"Windows auto update"="msblast.exe"索引值
　　3、刪除c:/Winnt/system32目錄下的msblast.exe檔案
　　4899連接埠的關閉：
　　首先說明4899連接埠是一個遠端控制軟體（remote administrator)服務端監聽的連接埠，他不能算是一個木馬程式，但是具有遠端控制功能，通常殺毒軟體是無法查出它來的，請先確定該服務是否是你自己開放並且是必需的。如果不是請關閉它。
　　關閉4899連接埠：
　　1、請在開始-->運行中輸入cmd(98以下為command),然後 cd C:/Winnt/system32(你的系統安裝目錄），輸入r_server.exe /stop後按斷行符號。
　　然後在輸入r_server /uninstall /silence
　　2、到C:/Winnt/system32(系統目錄）下刪除r_server.exe admdll.dll raddrv.dll三個檔案
　　5800，5900連接埠：
　　首先說明5800，5900連接埠是遠端控制軟體VNC的預設服務連接埠，但是VNC在修改過後會被用在某些蠕蟲中。
　　請先確認VNC是否是你自己開放並且是必須的，如果不是請關閉
　　關閉的方法：
　　1、首先使用fport命令確定出監聽在5800和5900連接埠的程式所在位置（通常會是c:/Winnt/fonts/explorer.exe)
　　2、在工作管理員中殺掉相關的進程（注意有一個是系統本身正常的，請注意！如果錯殺可以重新運行c:/Winnt/explorer.exe)
　　3、刪除C:/Winnt/fonts/中的explorer.exe程式。
　　4、刪除註冊表HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run項中的Explorer索引值。
　　5、重新啟動機器。
　　6129連接埠的關閉：
　　首先說明6129連接埠是一個遠端控制軟體（dameware nt utilities)服務端監聽得連接埠，他不是一個木馬程式，但是具有遠端控制功能，通常的殺毒軟體是無法查出它來的。請先確定該服務是否是你自己安裝並且是必需的，如果不是請關閉。
　　關閉6129連接埠：
　　1、選擇開始-->設定-->控制台-->管理工具-->服務
找到DameWare Mini Remote Control項點擊右鍵選擇屬性選項，將啟動類型改成禁用後停止該服務。
　　2、到c:/Winnt/system32(系統目錄）下將DWRCS.EXE程式刪除。
　　3、到註冊表內將HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Services/項中的DWRCS索引值刪除
　　6267連接埠的關閉：
　　6267連接埠是木馬程式廣外女生的預設服務連接埠，該木馬刪除方法如下：
　　1、啟動到安全模式下，刪除c:/Winnt/system32/下的DIAGFG.EXE檔案
　　2、到c:/Winnt目錄下找到regedit.exe檔案，將該檔案的尾碼名改為.com
　　3、選擇開始-->運行輸入regedit.com進入註冊表編輯頁面
　　4、修改HKEY_CLASSES_ROOT/exefile/shell/open/command項的索引值為"%1" %*
　　5、刪除HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/ CurrentVersion/RunServices項中名字為Diagnostic Configuration的索引值
　　6、將c:/Winnt下的regedit.com改回到regedit.exe
　　6670、6771連接埠的關閉：
　　這些連接埠是木馬程式DeepThroat v1.0 - 3.1預設的服務連接埠，清除該木馬的方法如下：
　　1、編輯註冊表，刪除HKEY_LOCAL_MACHINE/SOFTWARE/MicroSoft/Windows/CurrentVersion/Run項中的‘System32‘=c:/Windows/system32.exe索引值（版本1.0）或‘SystemTray‘ = ‘Systray.exe‘ 索引值（版本2.0-3.0)索引值
　　3、重新啟動機器後刪除c:/Windows/system32.exe（版本1.0）或c:/Windows/system/systray.exe（版本2.0-3.0）
　　6939 連接埠的關閉：
　　這個連接埠是木馬程式Indoctrination預設的服務連接埠，清除該木馬的方法如下：
　　1、編輯註冊表，刪除
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
　　HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunServices/
　　HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunOnce/
　　HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunServicesOnce/
　　四項中所有包含Msgsrv16 ="msgserv16.exe"的索引值
　　2、重新啟動機器後刪除C:/Windows/system/目錄下的msgserv16.exe檔案
　　6969連接埠的關閉：
　　這個連接埠是木馬程式PRIORITY的預設服務連接埠，清除該木馬的方法如下：
　　1、編輯註冊表，刪除HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Services項中的"PServer"= C:/Windows/System/PServer.exe索引值
　　2、重新啟動系統後刪除C:/Windows/System/目錄下的PServer.exe檔案
　　7306連接埠的關閉：
　　這個連接埠是木馬程式網路精靈的預設服務連接埠，該木馬刪除方法如下：
　　1、你可以使用fport察看7306連接埠由哪個程式監聽，記下程式名稱和所在的路徑
　　2、如果程式名為Netspy.exe，你可以在命令列方式下到該程式所在目錄輸入命令Netspy.exe /remove來刪除木馬
　　3、如果是其他名字的程式，請先在進程中結束該程式的進程，然後到相應目錄下刪除該程式
　　4、編輯註冊表，將HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/ CurrentVersion/Run項和HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/ CurrentVersion/RunServices項中與該程式有關的索引值刪除
　　7511連接埠的關閉：
　　7511是木馬程式聰明基因的預設串連連接埠，該木馬刪除方法如下：
　　1、首先使用進程管理工具殺掉MBBManager.exe這個進程
　　2、刪除c:/Winnt（系統安裝目錄）中的MBBManager.exe和Explore32.exe程式檔案，刪除c:/Winnt/system32目錄下的editor.exe檔案
　　3、編輯註冊表，刪除註冊表HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run項中內容為C:/WinNT/MBBManager.exe鍵名為MainBroad BackManager的項
　　4、修改註冊表HKEY_CLASSES_ROOT/txtfile/shell/open/command中的c:/Winnt/system32/editor.exe %1改為c:/Winnt/NOTEPAD.EXE %1
　　5、修改註冊表HKEY_LOCAL_MACHINE/Software/CLASSES/hlpfile/shell/open/command項中的C:/WinNT/explore32.exe %1索引值改為C:/WinNT/WinHLP32.EXE %1
　　7626連接埠的關閉：
　　7626是木馬冰河的預設開放連接埠（這個連接埠可以改變），木馬刪除方法如下：
　　1、啟動機器到安全模式下，編輯註冊表，刪除HKEY_LOCAL_MACHINE/software/microsoft/Windows/ CurrentVersion/Run項中內容為c:/Winnt/system32/Kernel32.exe的索引值
　　2、刪除HKEY_LOCAL_MACHINE/software/microsoft/Windows/ CurrentVersion/Runservices項中內容為C:/Windows/system32/Kernel32.exe的索引值
　　3、修改HKEY_CLASSES_ROOT/txtfile/shell/open/command項下的C:/Winnt/system32/Sysexplr.exe %1為C:/Winnt/notepad.exe %1
　　4、到C:/Windows/system32/下刪除檔案Kernel32.exe和Sysexplr.exe
　　8011連接埠的關閉：
　　8011連接埠是木馬程式WAY2.4的預設服務連接埠，該木馬刪除方法如下：
　　1、首先使用進程管理工具殺掉msgsvc.exe的進程
　　2、到C:/Windows/system目錄下刪除msgsvc.exe檔案
　　3、編輯註冊表，刪除HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run項中內容為C:/WinDOWS/SYSTEM/msgsvc.exe的索引值
　　9989連接埠的關閉：
　　這個連接埠是木馬程式InIkiller的預設服務連接埠，該木馬刪除方法如下：
　　1、編輯註冊表，刪除HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/項中的Explore="C:/Windows/bad.exe"索引值
　　2、重新啟動系統後刪除C:/Windows目錄下的bad.exe程式檔案
　　19191連接埠的關閉：
　　這個連接埠是木馬程式蘭色火焰預設開放的telnet連接埠，該木馬關閉方法如下：
　　1、使用管理工具結束進程tasksvc.exe
　　2、刪除c:/Windows/system目錄下的tasksvc.exe、sysexpl.exe、bfhook.dll三個檔案
　　3、編輯註冊表，刪除HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run項中的Network Services=C:/WinDOWS/SYSTEM/tasksvc.exe索引值
　　4、將註冊表HKEY_CLASSES_ROOT/txtfile/shell/open/command項中的C:/WinDOWS/SYSTEM/sysexpl.exe "%1"索引值改為c:/Windows/notepad.exe "%1"索引值
　　5、將註冊表HKEY_LOCAL_MACHINE/Software/CLASSES/txtfile/shell/open/command項中的C:/WinDOWS/SYSTEM/sysexpl.exe "%1索引值"改為c:/Windows/notepad.exe "%1"
　　1029連接埠和20168連接埠：
　　這兩個連接埠是lovgate蠕蟲所開放的後門連接埠。
　　蠕蟲相關資訊請參見：Lovgate蠕蟲
　　你可以下載專殺工具：FixLGate.exe
　　使用方法：下載後直接運行，在該程式運行結束後重起機器後再運行一遍該程式。
　　23444連接埠的關閉方法：
　　這個連接埠是木馬程式網路公牛的預設服務連接埠，關閉該木馬的方法如下：
　　1、進入安全模式，刪除c:/Winnt/system32/下的CheckDll.exe檔案
　　2、將系統中的如下檔案的大小與正常系統中的檔案大小比較，如果大小不一樣請刪除，然後將正常的檔案拷貝回來，需要檢查的檔案包括：
　　　notepad.exe；write.exe，regedit.exe，Winmine.exe，Winhelp.exe
　　3、替換回正常檔案後進入註冊表編輯狀態，刪除HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run項中的"CheckDll.exe"="C:/WinNT/SYSTEM32/CheckDll.exe“索引值
　　4、刪除HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/ CurrentVersion/RunServices中的"CheckDll.exe"="C:/WinNT/SYSTEM32/CheckDll.exe"索引值
　　5、刪除HKEY_USERS/.DEFAULT/Software/Microsoft/Windows/CurrentVersion/Run中的"CheckDll.exe"="C:/WinNT/SYSTEM32/CheckDll.exe"索引值請注意該病毒還可能會捆綁在其他應用軟體上，請檢查你的軟體大小是否有異，如果有請卸載後重裝
　　27374連接埠的關閉方法：
　　這個連接埠是木馬程式SUB7的預設服務連接埠，關閉該木馬方法如下：
　　1、首先使用fport軟體確定出27374連接埠由哪個程式開啟，記下程式名稱和所在的路徑。
　　2、編輯註冊表，將HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run項中包含剛才使用fport察看出的檔案名稱的索引值刪除
　　3、將HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunServic項中包含剛才使用fport察看出的檔案名稱的索引值刪除
　　4、在進程中將剛才察看的檔案進程殺掉，如果殺不掉請到服務中將關聯該程式的服務關掉（服務名應該是剛才在註冊表RunServic中看到的）
　　5、編輯Win.ini檔案，檢查“run=”後有沒有剛才的檔案名稱，如有則刪除之
　　6、編輯system.ini檔案，檢查“shell=explorer.exe”後有沒有剛才那個檔案，如有將它刪除
　　7、到相應的目錄中將剛才查到的檔案刪除。
　　30100連接埠的關閉：
　　這個連接埠是木馬程式NetSphere預設的服務連接埠，清除該木馬方法如下：
　　1、編輯註冊表，刪除HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/項中的NSSX ="C:/WinDOWS/system/nssx.exe"索引值
　　2、刪除HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/Run中的NSSX ="C:/WinDOWS/system/nssx.exe"索引值
　　3、刪除HKEY_USERS/****/Software/Microsoft/Windows/CurrentVersion/Run 中的NSSX ="C:/WinDOWS/system/nssx.exe"索引值
　　4、重新啟動系統後刪除刪除C:/WinDOWS/system/目錄下的nssx.exe檔案
　　31337連接埠的關閉：
　　這個連接埠是木馬程式BO2000的預設服務連接埠，清除該木馬方法如下：
　　1、將機器啟動到安全模式狀態
　　2、編輯註冊表，刪除/HEKY-LOCAL-MACHINE/Software/Microsoft/Windows/ CurrentVersion/RunServicse項中包含Umgr32.exe的索引值
　　3、刪除/Windows/System目錄下的Umgr32.exe程式
　　4、重新啟動機器
　　45576連接埠：
　　這是一個代理軟體的控制連接埠，請先確定該代理軟體並非你自己安裝（代理軟體會給你的機器帶來額外的流量）
　　關閉代理軟體：
　　1.請先使用fport察看出該代理軟體所在的位置
　　2.在服務中關閉該服務（通常為SkSocks），將該服務關掉。
　　3.到該程式所在目錄下將該程式刪除。
　　50766連接埠的關閉：
　　這個連接埠是木馬程式SchWindler的預設服務連接埠，清除該木馬的方法如下：
　　1、編輯註冊表，刪除HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/項中的User.exe = "C:/WinDOWS/User.exe"索引值
　　2、重新啟動機器後刪除c:/Windows/目錄下的user.exe檔案
　　61466連接埠的關閉：
　　這個連接埠是木馬程式Telecommando的預設服務連接埠，關閉該木馬程式方法如下：
　　1、編輯註冊表，刪除HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/中的SystemApp＝"ODBC.EXE"索引值
　　2、重新啟動機器後刪除C:/Windows/system/目錄下的ODBC.EXE檔案