常見木馬和未授權控制軟件的關閉

　　以下各種木馬及未授權被安裝的遠程控制軟件均由於您沒有正確的設置您的管理員密碼造成的。請先檢查系統中所有帳號的口令是否設置的足夠安全。　　 　　口令設置要求：

　　1.口令應該不少於8個字符；　　2.不包含字典裡的單詞、不包括姓氏的漢語拼音；　　3.同時包含多種類型的字符，比如　　　　o大寫字母(A,B,C,..Z)　　　　o小寫字母(a,b,c..z)　　　　o數字(0,1,2,…9)　　　　o標點符號(@,#,!,$,%,& …)

　　注意：下文中提到的相關路徑根據您的操作系統版本不同會有所不同，請根據自己的系統做相應的調整

　　Win98系統：　　　　c:\Windows　 c:\Windows\system　　Winnt和Win2000系統：c:\Winnt　　c:\Winnt\system32　　Winxp系統：　　　　c:\Windows　 c:\Windows\system32

　　根據系統安裝的路徑不同，目錄所在盤符也可能不同，如系統安裝在D盤，請將C:\Windows改為D:\Windows依此類推

　　大部分的木馬程序都可以改變默認的服務端口，我們應該根據具體的情況采取相應的措施，一個完整的檢查和刪除過程如下例所示：

　　例：113端口木馬的清除（僅適用於Windows系統）：

　　這是一個基於irc聊天室控制的木馬程序。

　　1.首先使用netstat -an命令確定自己的系統上是否開放了113端口　　2.使用fport命令察看出是哪個程序在監聽113端口　　　　　例如我們用fport看到如下結果：　　　Pid　 Process　　　　Port　Proto Path　　　392　 svchost　　　->　113　 TCP　 C:\WinNT\system32\vhos.exe　　　　我們就可以確定在監聽在113端口的木馬程序是vhos.exe而該程序所在的路徑為c:\Winnt\system32下。　　3.確定了木馬程序名（就是監聽113端口的程序）後，在任務管理器中查找到該進程，並使用管理器結束該進程。　　4.在開始-運行中鍵入regedit運行注冊表管理程序，在注冊表裡查找剛才找到那個程序，並將相關的鍵值全部刪掉。　　5.到木馬程序所在的目錄下刪除該木馬程序。（通常木馬還會包括其他一些程序，如rscan.exe、psexec.exe、ipcpass.dic、ipcscan.txt等，根據木馬程序不同，文件也有所不同，你可以通過察看程序的生成和修改的時間來確定與監聽113端口的木馬程序有關的其他程序）　　6.重新啟動機器。

　　以下列出的端口僅為相關木馬程序默認情況下開放的端口，請根據具體情況采取相應的操作：

　　707端口的關閉：

　　這個端口開放表示你可能感染了nachi蠕蟲病毒，該蠕蟲的清除方法如下：　　1、停止服務名為WinS Client和Network Connections Sharing的兩項服務　　2、刪除c:\Winnt\SYSTEM32\WinS\目錄下的DLLHOST.EXE和SVCHOST.EXE文件　　3、編輯注冊表，刪除HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services項中名為RpcTftpd和RpcPatch的兩個鍵值　　　　1999端口的關閉：

　　這個端口是木馬程序BackDoor的默認服務端口，該木馬清除方法如下：　　1、使用進程管理工具將notpa.exe進程結束　　2、刪除c:\Windows\目錄下的notpa.exe程序　　3、編輯注冊表，刪除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run項中包含c:\Windows\notpa.exe /o=yes的鍵值

　　2001端口的關閉：

　　這個端口是木馬程序黑洞2001的默認服務端口，該木馬清除方法如下：　　1、首先使用進程管理軟件將進程Windows.exe殺掉　　2、刪除c:\Winnt\system32目錄下的Windows.exe和S_Server.exe文件　　3、編輯注冊表，刪除HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\項中名為Windows的鍵值　　4、將HKEY_CLASSES_ROOT和HKEY_LOCAL_MACHINE\Software\CLASSES項中的Winvxd項刪除　　5、修改HKEY_CLASSES_ROOT\txtfile\shell\open\command項中的c:\Winnt\system32\S_SERVER.EXE %1為C:\WinNT\NOTEPAD.EXE %1　　6、修改HKEY_LOCAL_MACHINE\Software\CLASSES\txtfile\shell\open\command項中的c:\Winnt\system32\S_SERVER.EXE %1鍵值改為C:\WinNT\NOTEPAD.EXE %1

　　2023端口的關閉：

　　這個端口是木馬程序Ripper的默認服務端口，該木馬清除方法如下：　　1、使用進程管理工具結束sysrunt.exe進程　　2、刪除c:\Windows目錄下的sysrunt.exe程序文件　　3、編輯system.ini文件，將shell=explorer.exe sysrunt.exe 改為shell=explorer.exe後保存　　4、重新啟動系統

　　2583端口的關閉：

　　這個端口是木馬程序Wincrash v2的默認服務端口，該木馬清除方法如下：　　1、編輯注冊表，刪除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\項中的WinManager = "c:\Windows\server.exe"鍵值　　2、編輯Win.ini文件，將run=c:\Windows\server.exe改為run=後保存退出　　3、重新啟動系統後刪除C:\Windows\system\ SERVER.EXE

　　3389端口的關閉：

　　首先說明3389端口是Windows的遠程管理終端所開的端口，它並不是一個木馬程序，請先確定該服務是否是你自己開放的。如果不是必須的，請關閉該服務。

　　Win2000關閉的方法：

　　1、Win2000server 開始-->程序-->管理工具-->服務裡找到Terminal Services服務項，選中屬性選項將啟動類型改成手動，並停止該服務。　　2、Win2000pro　開始-->設置-->控制面板-->管理工具-->服務裡找到Terminal Services服務項，選中屬性選項將啟動類型改成手動，並停止該服務。

　　Winxp關閉的方法：

　　在我的電腦上點右鍵選屬性-->遠程，將裡面的遠程協助和遠程桌面兩個選項框裡的勾去掉。

　　4444端口的關閉：

　　如果發現你的機器開放這個端口，可能表示你感染了msblast蠕蟲，清除該蠕蟲的方法如下：　　1、使用進程管理工具結束msblast.exe的進程 　　2、編輯注冊表，刪除HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run項中的"Windows auto update"="msblast.exe"鍵值　　3、刪除c:\Winnt\system32目錄下的msblast.exe文件

　　4899端口的關閉：

　　首先說明4899端口是一個遠程控制軟件（remote administrator)服務端監聽的端口，他不能算是一個木馬程序，但是具有遠程控制功能，通常殺毒軟件是無法查出它來的，請先確定該服務是否是你自己開放並且是必需的。如果不是請關閉它。 　　關閉4899端口：

　　1、請在開始-->運行中輸入cmd(98以下為command),然後 cd C:\Winnt\system32(你的系統安裝目錄），，輸入r_server.exe /stop後按回車。　　然後在輸入r_server /uninstall /silence 　　2、到C:\Winnt\system32(系統目錄）下刪除r_server.exe admdll.dll raddrv.dll三個文件 　　5800，5900端口：

　　首先說明5800，5900端口是遠程控制軟件VNC的默認服務端口，但是VNC在修改過後會被用在某些蠕蟲中。　　請先確認VNC是否是你自己開放並且是必須的，如果不是請關閉

　　關閉的方法：　　1、首先使用fport命令確定出監聽在5800和5900端口的程序所在位置（通常會是c:\Winnt\fonts\explorer.exe)　　2、在任務管理器中殺掉相關的進程（注意有一個是系統本身正常的，請注意！如果錯殺可以重新運行c:\Winnt\explorer.exe)　　3、刪除C:\Winnt\fonts\中的explorer.exe程序。　　4、刪除注冊表HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run項中的Explorer鍵值。　　5、重新啟動機器。 　　6129端口的關閉：

　　首先說明6129端口是一個遠程控制軟件（dameware nt utilities)服務端監聽得端口，他不是一個木馬程序，但是具有遠程控制功能，通常的殺毒軟件是無法查出它來的。請先確定該服務是否是你自己安裝並且是必需的，如果不是請關閉。 　　關閉6129端口：

　　1、選擇開始-->設置-->控制面板-->管理工具-->服務 找到DameWare Mini Remote Control項點擊右鍵選擇屬性選項，將啟動類型改成禁用後停止該服務。　　2、到c:\Winnt\system32(系統目錄）下將DWRCS.EXE程序刪除。　　3、到注冊表內將HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\項中的DWRCS鍵值刪除

　　6267端口的關閉：

　　6267端口是木馬程序廣外女生的默認服務端口，該木馬刪除方法如下：　　1、啟動到安全模式下，刪除c:\Winnt\system32\下的DIAGFG.EXE文件　　2、到c:\Winnt目錄下找到regedit.exe文件，將該文件的後綴名改為.com　　3、選擇開始-->運行輸入regedit.com進入注冊表編輯頁面　　4、修改HKEY_CLASSES_ROOT\exefile\shell\open\command項的鍵值為"%1" %*　　5、刪除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\RunServices項中名字為Diagnostic Configuration的鍵值　　6、將c:\Winnt下的regedit.com改回到regedit.exe

　　6670、6771端口的關閉：

　　這些端口是木馬程序DeepThroat v1.0 - 3.1默認的服務端口，清除該木馬的方法如下：　　1、編輯注冊表，刪除HKEY_LOCAL_MACHINE\SOFTWARE\MicroSoft\Windows\CurrentVersion\Run項中的‘System32‘=c:\Windows\system32.exe鍵值（版本1.0）或‘SystemTray‘ = ‘Systray.exe‘ 鍵值（版本2.0-3.0)鍵值　　3、重新啟動機器後刪除c:\Windows\system32.exe（版本1.0）或c:\Windows\system\systray.exe（版本2.0-3.0）

　　6939 端口的關閉：

　　這個端口是木馬程序Indoctrination默認的服務端口，清除該木馬的方法如下：　　1、編輯注冊表，刪除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersi