设为首页
加入收藏
帮助中心
首页 | 红盾通告 | 信息中心 | ASP技术 | 数据库 | 网页设计 | 网管专栏 | OICQ攻略 | 墨客频道 | 网站运营 |
当前位置:首页 >> 墨客频道 >> 系统应用 >> 正文
最新信息
·如何启动已经被禁用的RPC系…
·妙用脚本和批处理 来清除电…
·救急方法--命令行下修改文…
·使Windows XP快上几倍的三…
·Windows XP 操作系统无线网…
·安全需有"备"无患 谈Windo…
·九则 Windows XP系统使用经…
·Windows 2000 系统内置安全…
·防止入侵 两步修改XP远程管…
·概述在 Windows XP系统中搜…
资料搜索
热点信息
·如何启动已经被禁用的RPC系…
·取得WINDOES管理员权限的绝…
·九则 Windows XP系统使用经…
·安全需有"备"无患 谈Windo…
·救急方法--命令行下修改文…
·使Windows XP快上几倍的三…
·Windows文件共享安全性
·如何让Windows 2003系统更…
·WinXP升级到SP2出现的问题…
·Windows 2000 系统内置安全…
推荐信息


Google
 
木马和未授权远程控制软件的关闭
〖编辑:Cloudy | 浏览:人次〗

以下各种木马及未授权被安装的远程控制软件均由于您没有正确的设置您的管理员密
码造成的。请先检查系统中所有帐号的口令是否设置的足够安全。

口令设置要求:
1.口令应该不少于8个字符;
2.不包含字典里的单词、不包括姓氏的汉语拼音;
3.同时包含多种类型的字符,比如  
o大写字母(A,B,C,..Z)
o小写字母(a,b,c..z)
o数字(0,1,2,…9)
o标点符号(@,#,!,$,%,& …)

win2000口令设置方法:
当前用户口令:
在桌面环境下按crtl+alt+del键后弹出选项单,选择其中的更改密码项后按要求输入你的密码
(注意:如果以前administrator没有设置密码的话,旧密码那项就不用输入,只需直接输入新的
密码)。
其他用户口令:
在开始->控制面板->用户和密码->选定一个用户名->点击设置密码

113端口木马的清除(仅适用于windows系统):
这是一个基于irc聊天室控制的木马程序。
1.首先使用netstat -an命令确定自己的系统上是否开放了113端口
2.使用fport命令察看出是哪个程序在监听113端口
fport工具下载
例如我们用fport看到如下结果:
Pid Process Port Proto Path
392 svchost -> 113 TCP C:WINNTsystem32vhos.exe

我们就可以确定在监听在113端口的木马程序是vhos.exe而该程序所在的路径为
c:winntsystem32下。
3.确定了木马程序名(就是监听113端口的程序)后,在任务管理器中查找到该进程,
并使用管理器结束该进程。
4.在开始-运行中键入regedit运行注册表管理程序,在注册表里查找刚才找到那个程序,
并将相关的键值全部删掉。
5.到木马程序所在的目录下删除该木马程序。(通常木马还会包括其他一些程序,如
rscan.exe、psexec.exe、ipcpass.dic、ipcscan.txt等,根据
木马程序不同,文件也有所不同,你可以通过察看程序的生成和修改的时间来确定与
监听113端口的木马程序有关的其他程序)
6.重新启动机器。

3389端口的关闭:
首先说明3389端口是windows的远程管理终端所开的端口,它并不是一个木马程序,请先
确定该服务是否是你自己开放的。如果不是必须的,请关闭该服务。

win2000关闭的方法:
win2000server 开始-->程序-->管理工具-->服务里找到Terminal Services服务项,
选中属性选项将启动类型改成手动,并停止该服务。
win2000pro 开始-->设置-->控制面板-->管理工具-->服务里找到Terminal Services
服务项,选中属性选项将启动类型改成手动,并停止该服务。
winxp关闭的方法:
在我的电脑上点右键选属性-->远程,将里面的远程协助和远程桌面两个选项框里的勾去掉。

4899端口的关闭:
首先说明4899端口是一个远程控制软件(remote administrator)服务端监听的端口,他不能
算是一个木马程序,但是具有远程控制功能,通常杀毒软件是无法查出它来的,请先确定该服
务是否是你自己开放并且是必需的。如果不是请关闭它。

关闭4899端口:
请在开始-->运行中输入cmd(98以下为command),然后cd C:winntsystem32(你的系统
安装目录),输入r_server.exe /stop后按回车。
然后在输入r_server /uninstall /silence

到C:winntsystem32(系统目录)下删除r_server.exe admdll.dll radbrv.dll三个文件


5800,5900端口:
1.首先使用fport命令确定出监听在5800和5900端口的程序所在位置(通常会是c:winntfonts
explorer.exe)
2.在任务管理器中杀掉相关的进程(注意有一个是系统本身正常的,请注意!如果错杀可以重新
运行c:winntexplorer.exe)
3.删除C:winntfonts中的explorer.exe程序。
4.删除注册表HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun中的
Explorer项。
5.重新启动机器。

6129端口的关闭:
首先说明6129端口是一个远程控制软件(dameware nt utilities)服务端监听得端口,他不是
一个木马程序,但是具有远程控制功能,通常的杀毒软件是无法查出它来的。请先确定该服务
是否是你自己安装并且是必需的,如果不是请关闭。

关闭6129端口:
选择开始-->设置-->控制面板-->管理工具-->服务
找到DameWare Mini Remote Control项点击右键选择属性选项,将启动类型改成禁用后
停止该服务。
到c:winntsystem32(系统目录)下将DWRCS.EXE程序删除。
到注册表内将HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesDWMRCS表项删除。

1029端口和20168端口:
这两个端口是lovgate蠕虫所开放的后门端口。
蠕虫相关信息请参见:Lovgate蠕虫
你可以下载专杀工具:FixLGate.exe
使用方法:下载后直接运行,在该程序运行结束后重起机器后再运行一遍该程序。


45576端口:
这是一个代理软件的控制端口,请先确定该代理软件并非你自己安装(代理软件会给你的机器带
来额外的流量)
关闭代理软件:
1.请先使用fport察看出该代理软件所在的位置
2.在服务中关闭该服务(通常为SkSocks),将该服务关掉。
3.到该程序所在目录下将该程序删除。


录入时间:2007-10-15 10:25:42 [打印本页] [关闭窗口] [返回顶部]
特别声明: 本站除部分特别声明禁止转载的专稿外的其他文章可以自由转载,但请务必注明出处和原始作者。文章版权归文章原始作者所有。对于被本站转载文章的个人和网站,我们表示深深的谢意。如果本站转载的文章有版权问题请联系编辑人员,我们尽快予以更正。

Copyright © 2006-2014 0733168.Com Inc All Rights Reserved
关于我们 | 广告合作 | 联系我们 | 法律声明 | 友情链接 | 意见反馈
本站所收录信息、社区话题、及本站所做之广告均属其个人行为,与本站立场无关
湘ICP备06008436号