当前位置: 首页 > 图文教程 > 网络安全 > 安全基础 > 木马和未授权远程控制软件的关闭

安全基础
U盘病毒预防的一个小技巧
微软漏洞补丁阻止防溢出者病毒
“网游盗号木马”将成为新毒王
IE浏览器RealPlayer的安全漏洞
网上购物 网络购物陷阱要预防
预先付费骗局让聪明人更容易相信
非法程序传播垃圾邮件的防范方法
汇款时收到只有卡号的短信
黑客入侵网站的常用方法
EXE可执行文件无法打开的解决方法
关于Gmail可能不知道的几个功能
微软官方提供的密码强度在线测试工具
网页代码中的“隐形杀手”分类
关闭无用服务保证Windows系统安全
网络信息安全与保密的6个技术目标
简单几招对付捆绑木马的技巧
让企业远离四处潜伏的众多安全威胁
有助于拨号上网用户预防黑客入侵的方法
工行专家建议的网上交易的安全性
网吧上网养成上网后清除个人信息的习惯

安全基础 中的 木马和未授权远程控制软件的关闭


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-28   浏览: 54 ::
收藏到网摘: n/a

 

  以下各种木马及未授权被安装的远程控制软件均由于您没有正确的设置您的管理员密码造成的。请先检查系统中所有帐号的口令是否设置的足够安全。   
  口令设置要求:

  1.口令应该不少于8个字符;

  2.不包含字典里的单词、不包括姓氏的汉语拼音;

  3.同时包含多种类型的字符,比如  

  o大写字母(A,B,C,..Z)

  o小写字母(a,b,c..z)

  o数字(0,1,2,…9)

  o标点符号(@,#,!,$,%,& …)

  win2000口令设置方法:

  当前用户口令:

  在桌面环境下按crtl+alt+del键后弹出选项单,选择其中的更改密码项后按要求输入你的密码(注意:如果以前administrator没有设置密码的话,旧密码那项就不用输入,只需直接输入新的密码)。

  其他用户口令:

  在开始->控制面板->用户和密码->选定一个用户名->点击设置密码 

  113端口木马的清除(仅适用于windows系统):

  这是一个基于irc聊天室控制的木马程序。

  1.首先使用netstat -an命令确定自己的系统上是否开放了113端口

  2.使用fport命令察看出是哪个程序在监听113端口

  fport工具下载

  例如我们用fport看到如下结果:

  Pid Process Port Proto Path

  392 svchost -> 113 TCP C:\WINNT\system32\vhos.exe  

  我们就可以确定在监听在113端口的木马程序是vhos.exe而该程序所在的路径为c:\winnt\system32下。

  3.确定了木马程序名(就是监听113端口的程序)后,在任务管理器中查找到该进程,并使用管理器结束该进程。

  4.在开始-运行中键入regedit运行注册表管理程序,在注册表里查找刚才找到那个程序,并将相关的键值全部删掉。

  5.到木马程序所在的目录下删除该木马程序。(通常木马还会包括其他一些程序,如rscan.exe、psexec.exe、ipcpass.dic、ipcscan.txt等,根据木马程序不同,文件也有所不同,你可以通过察看程序的生成和修改的时间来确定与监听113端口的木马程序有关的其他程序)

  6.重新启动机器。  
  win2000关闭的方法:

  win2000server 开始-->程序-->管理工具-->服务里找到Terminal Services服务项,选中属性选项将启动类型改成手动,并停止该服务。

  win2000pro 开始-->设置-->控制面板-->管理工具-->服务里找到Terminal Services服务项,选中属性选项将启动类型改成手动,并停止该服务。

  winxp关闭的方法:

  在我的电脑上点右键选属性-->远程,将里面的远程协助和远程桌面两个选项框里的勾去掉。

  3389端口的关闭:

  首先说明3389端口是windows的远程管理终端所开的端口,它并不是一个木马程序,请先确定该服务是否是你自己开放的。如果不是必须的,请关闭该服务。

  4899端口的关闭:

  首先说明4899端口是一个远程控制软件(remote administrator)服务端监听的端口,他不能算是一个木马程序,但是具有远程控制功能,通常杀毒软件是无法查出它来的,请先确定该服务是否是你自己开放并且是必需的。如果不是请关闭它。

  

  关闭4899端口:

  请在开始-->运行中输入cmd(98以下为command),然后cd C:\winnt\system32(你的系统安装目录),输入r_server.exe /stop后按回车。

  然后在输入r_server /uninstall /silence到C:\winnt\system32(系统目录)下删除r_server.exe admdll.dll radbrv.dll三个文件

  5800,5900端口:

  1.首先使用fport命令确定出监听在5800和5900端口的程序所在位置(通常会是c:\winnt\fonts\ explorer.exe)

  2.在任务管理器中杀掉相关的进程(注意有一个是系统本身正常的,请注意!如果错杀可以重新运行c:\winnt\explorer.exe)

  3.删除C:\winnt\fonts\中的explorer.exe程序。

  4.删除注册表HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run中的Explorer项。

  5.重新启动机器。  

  6129端口的关闭:

  首先说明6129端口是一个远程控制软件(dameware nt utilities)服务端监听得端口,他不是一个木马程序,但是具有远程控制功能,通常的杀毒软件是无法查出它来的。请先确定该服务是否是你自己安装并且是必需的,如果不是请关闭。  

  关闭6129端口:

  选择开始-->设置-->控制面板-->管理工具-->服务找到DameWare Mini Remote Control项点击右键选择属性选项,将启动类型改成禁用后停止该服务。

  到c:\winnt\system32(系统目录)下将DWRCS.EXE程序删除。

  到注册表内将HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWMRCS表项删除。  

  1029端口和20168端口:

  这两个端口是lov