以下列出的埠僅為相關木馬程式預設情況下開放的埠,請根據具體情況採取相應的操作:
707埠的關閉:
這個埠開放表示你可能感染了nachi蠕蟲病毒,該蠕蟲的清除方法如下:
1、停止服務名為WinS Client和Network Connections Sharing的兩項服務
2、刪除c:WinntSYSTEM32WinS目錄下的DLLHOST.EXE和SVCHOST.EXE檔
3、編輯註冊表,刪除HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices項中名為RpcTftpd和RpcPatch的兩個鍵值
1999埠的關閉:
這個埠是木馬程式BackDoor的預設服務埠,該木馬清除方法如下:
1、使用進程管理工具將notpa.exe進程結束
2、刪除c:Windows目錄下的notpa.exe程式
3、編輯註冊表,刪除HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion
Run項中包含c:Windows otpa.exe /o=yes的鍵值
2001埠的關閉:
這個埠是木馬程式黑洞2001的預設服務埠,該木馬清除方法如下:
1、首先使用進程管理軟體將進程Windows.exe殺掉
2、刪除c:Winntsystem32目錄下的Windows.exe和S_Server.exe檔
3、編輯註冊表,刪除HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion
RunServices項中名為Windows的鍵值
4、將HKEY_CLASSES_ROOT和HKEY_LOCAL_MACHINESoftwareCLASSES項中的Winvxd項刪除
5、修改HKEY_CLASSES_ROOT xtfileshellopencommand項中的c:Winntsystem32S_SERVER.EXE %1為C:WinNTNOTEPAD.EXE %1
6、修改HKEY_LOCAL_MACHINESoftwareCLASSES xtfileshellopencommand
項中的c:Winntsystem32S_SERVER.EXE %1鍵值改為
C:WinNTNOTEPAD.EXE %1
2023埠的關閉:
這個埠是木馬程式Ripper的預設服務埠,該木馬清除方法如下:
1、使用進程管理工具結束sysrunt.exe進程
2、刪除c:Windows目錄下的sysrunt.exe程式檔
3、編輯system.ini文件,將shell=explorer.exe sysrunt.exe 改為shell=explorer.exe後保存
4、重新開機系統
2583埠的關閉:
這個埠是木馬程式Wincrash v2的預設服務埠,該木馬清除方法如下:
1、編輯註冊表,刪除HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion
Run項中的WinManager = "c:Windowsserver.exe"鍵值
2、編輯Win.ini文件,將run=c:Windowsserver.exe改為run=後保存退出
3、重新開機系統後刪除C:Windowssystem SERVER.EXE
3389埠的關閉:
首先說明3389埠是Windows的遠端系統管理終端所開的埠,它並不是一個木馬程式,請先確定該服務是否是你自己開放的。如果不是必須的,請關閉該服務。
Win2000關閉的方法:
1、Win2000server 開始-->程式-->管理工具-->服務裡找到Terminal Services服務項,選中屬性選項將啟動類型改成手動,並停止該服務。
2、Win2000pro開始-->設置-->控制台-->管理工具-->服務裡找到Terminal Services服務項,選中屬性選項將啟動類型改成手動,並停止該服務。
Winxp關閉的方法:
在我的電腦上點右鍵選屬性-->遠端,將裡面的遠程協助和遠端桌面兩個選項框裡的勾去掉。
4444埠的關閉:
如果發現你的機器開放這個埠,可能表示你感染了msblast蠕蟲,清除該蠕蟲的方法如下:
1、使用進程管理工具結束msblast.exe的進程
2、編輯註冊表,刪除HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
項中的"Windows auto update"="msblast.exe"鍵值
3、刪除c:Winntsystem32目錄下的msblast.exe文件
4899埠的關閉:
首先說明4899埠是一個遠端控制軟體(remote administrator)服務端監聽的埠,他不能算是一個木馬程式,但是具有遠端控制功能,通常殺毒軟體是無法查出它來的,請先確定該服務是否是你自己開放並且是必需的。如果不是請關閉它。
關閉4899埠:
1、請在開始-->運行中輸入cmd(98以下為command),然後 cd C:Winntsystem32(你的系統安裝目錄),輸入r_server.exe /stop後按回車。
然後在輸入r_server /uninstall /silence
2、到C:Winntsystem32(系統目錄)下刪除r_server.exe admdll.dll
raddrv.dll三個文件
5800,5900埠:
首先說明5800,5900埠是遠端控制軟體VNC的預設服務埠,但是VNC在修改過後會被用在某些蠕蟲中。
請先確認VNC是否是你自己開放並且是必須的,如果不是請關閉
關閉的方法:
1、首先使用fport命令確定出監聽在5800和5900埠的程式所在位置(通常會是c:Winntfontsexplorer.exe)
2、在工作管理員中殺掉相關的進程(注意有一個是系統本身正常的,請注意!如果錯殺可以重新運行c:Winntexplorer.exe)
3、刪除C:Winntfonts中的explorer.exe程式。
4、刪除註冊表HKEY_LOCAL_MACHINESoftwareMicrosoftWindows
CurrentVersionRun項中的Explorer鍵值。
5、重新啟動機器。
6129埠的關閉:
首先說明6129埠是一個遠端控制軟體(dameware nt utilities)服務端監聽得埠,他不是一個木馬程式,但是具有遠端控制功能,通常的殺毒軟體是無法查出它來的。請先確定該服務是否是你自己安裝並且是必需的,如果不是請關閉
關閉6129埠:
1、選擇開始-->設置-->控制台-->管理工具-->服務
找到DameWare Mini Remote Control項點擊右鍵選擇屬性選項,將啟動類型改成禁用後停止該服務。
2、到c:Winntsystem32(系統目錄)下將DWRCS.EXE程式刪除。
3、到註冊表內將HKEY_LOCAL_MACHINESYSTEMControlSet001Services項中的DWRCS鍵值刪除
6267埠的關閉:
6267埠是木馬程式廣外女生的預設服務埠,該木馬刪除方法如下:
1、啟動到安全模式下,刪除c:Winntsystem32下的DIAGFG.EXE文件
2、到c:Winnt目錄下找到regedit.exe文件,將該文件的尾碼名改為.com
3、選擇開始-->運行輸入regedit.com進入註冊表編輯頁面
4、修改HKEY_CLASSES_ROOTexefileshellopencommand項的鍵值為
"%1" %*
5、刪除HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows CurrentVersionRunServices項中名字為Diagnostic Configuration的鍵值
6、將c:Winnt下的regedit.com改回到regedit.exe
6670、6771埠的關閉:
這些埠是木馬程式DeepThroat v1.0 - 3.1預設的服務埠,清除該木馬的方法如下:
1、編輯註冊表,刪除HKEY_LOCAL_MACHINESOFTWAREMicroSoftWindowsCurrentVersion
Run項中的‘System32‘=c:Windowssystem32.exe鍵值(版本1.0)或‘SystemTray‘ = ‘Systray.exe‘ 鍵值(版本2.0-3.0)鍵值
3、重新啟動機器後刪除c:Windowssystem32.exe(版本1.0)或c:Windowssystemsystray.exe(版本2.0-3.0)
6939 埠的關閉:
這個埠是木馬程式Indoctrination預設的服務埠,清除該木馬的方法如下:
1、編輯註冊表,刪除
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
CurrentVersionRun
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
CurrentVersionRunServices
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
CurrentVersionRunOnce
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
CurrentVersionRunServicesOnce
四項中所有包含Msgsrv16 ="msgserv16.exe"的鍵值
2、重新啟動機器後刪除C:Windowssystem目錄下的msgserv16.exe文件
6969埠的關閉:
這個埠是木馬程式PRIORITY的預設服務埠,清除該木馬的方法如下:
1、編輯註冊表,刪除HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion
Run Services項中的"PServer"= C:WindowsSystemPServer.exe鍵值
2、重新開機系統後刪除C:WindowsSystem目錄下的PServer.exe文件
7306埠的關閉:
這個埠是木馬程式網路精靈的預設服務埠,該木馬刪除方法如下:
1、你可以使用fport察看7306埠由哪個程式監聽,記下程式名稱和所在的路徑
2、如果程式名為Netspy.exe,你可以在命令列方式下到該程式所在目錄輸入命令Netspy.exe /remove來刪除木馬
3、如果是其他名字的程式,請先在進程中結束該程式的進程,然後到相應目錄下刪除該程式。
4、編輯註冊表,將HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows CurrentVersionRun項和HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows CurrentVersionRunServices項中與該程式有關的鍵值刪除
7511埠的關閉:
7511是木馬程式聰明基因的預設連接埠,該木馬刪除方法如下:
1、首先使用進程管理工具殺掉MBBManager.exe這個進程
2、刪除c:Winnt(系統安裝目錄)中的MBBManager.exe和Explore32.exe程式檔,刪除c:Winntsystem32目錄下的editor.exe檔
3、編輯註冊表,刪除註冊表HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion
Run項中內容為C:WinNTMBBManager.exe鍵名為MainBroad BackManager的項。
4、修改註冊表HKEY_CLASSES_ROOT xtfileshellopencommand中的c:Winntsystem32editor.exe %1改為c:WinntNOTEPAD.EXE %1
5、修改註冊表HKEY_LOCAL_MACHINESoftwareCLASSEShlpfileshellopencommand
項中的C:WinNTexplore32.exe %1鍵值改為C:WinNTWinHLP32.EXE %1
7626埠的關閉:
7626是木馬冰河的默認開放埠(這個埠可以改變),木馬刪除方法如下:
1、啟動機器到安全模式下,編輯註冊表,刪除HKEY_LOCAL_MACHINEsoftwaremicrosoftWindows CurrentVersionRun
項中內容為c:Winntsystem32Kernel32.exe的鍵值
2、刪除HKEY_LOCAL_MACHINEsoftwaremicrosoftWindows CurrentVersionRunservices項中內容為C:Windowssystem32Kernel32.exe的鍵值
3、修改HKEY_CLASSES_ROOT xtfileshellopencommand項下的C:Winntsystem32Sysexplr.exe %1為C:Winnt otepad.exe %1
4、到C:Windowssystem32下刪除檔Kernel32.exe和Sysexplr.exe
8011埠的關閉:
8011埠是木馬程式WAY2.4的預設服務埠,該木馬刪除方法如下:
1、首先使用進程管理工具殺掉msgsvc.exe的進程
2、到C:Windowssystem目錄下刪除msgsvc.exe檔
3、編輯註冊表,刪除HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion
Run項中內容為C:WinDOWSSYSTEMmsgsvc.exe的鍵值 |
