以下各种木马及未授权被安装的远程控制软件均由于您没有正确的配置您的管理员密
码造成的。请先检查系统中任何帐号的口令是否配置的足够安全。

口令配置需要:
1.口令应该不少于8个字符;
2.不包含字典里的单词、不包括姓氏的汉语拼音;
3.同时包含多种类型的字符,比如
o大写字母(A,B,C,..Z)
o小写字母(a,b,c..z)
o数字(0,1,2,…9)
o标点符号(@,#,!,$,%,& …) 注意:下文中提到的相关路径根据您的操作系统版本不同会有所不同,请根据自己的系统做
相应的调整
win98系统: c:/windows c:/windows/system
winnt和win2000系统: c:/winnt c:/winnt/system32
winxp系统: c:/windows c:/windows/system32
根据系统安装的路径不同,目录所在盘符也可能不同,如系统安装在D盘,请将C:/windows改
为D:/windows依此类推
大部分的木马程式都能够改变默认的服务端口,我们应该根据具体的情况采取相应的措施,一
个完整的检查和删除过程如下例所示: 例:113端口木马的清除(仅适用于windows系统):
这是个基于irc聊天室控制的木马程式。
1.首先使用netstat -an命令确定自己的系统上是否开放了113端口
2.使用fport命令察看出是哪个程式在监听113端口
例如我们用fport看到如下结果:
Pid Process Port Proto Path
392 svchost -> 113 TCP C:/WINNT/system32/vhos.exe

我们就能够确定在监听在113端口的木马程式是vhos.exe而该程式所在的路径为
c:/winnt/system32下。
3.确定了木马程式名(就是监听113端口的程式)后,在任务管理器中查找到该进程,
并使用管理器结束该进程。
4.在开始-运行中键入regedit运行注册表管理程式,在注册表里查找刚才找到那个程式,
并将相关的键值全部删掉。
5.到木马程式所在的目录下删除该木马程式。(通常木马还会包括其他一些程式,如
rscan.exe、psexec.exe、ipcpass.dic、ipcscan.txt等,根据
木马程式不同,文档也有所不同,您能够通过察看程式的生成和修改的时间来确定和
监听113端口的木马程式有关的其他程式)
6.重新启动机器。 以下列出的端口仅为相关木马程式默认情况下开放的端口,请根据具体情况采取相应的操作: 707端口的关闭:
这个端口开放表示您可能感染了nachi蠕虫病毒,该蠕虫的清除方法如下:
1、停止服务名为WINS Client和Network Connections Sharing的两项服务
2、删除c:/winnt/SYSTEM32/WINS/目录下的DLLHOST.EXE和SVCHOST.EXE文档
3、编辑注册表,删除HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services
项中名为RpcTftpd和RpcPatch的两个键值

1999端口的关闭:
这个端口是木马程式BackDoor的默认服务端口,该木马清除方法如下:
1、使用进程管理工具将notpa.exe进程结束
2、删除c:/windows/目录下的notpa.exe程式
3、编辑注册表,删除HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
项中包含c:/windows/notpa.exe /o=yes的键值 2001端口的关闭:
这个端口是木马程式黑洞2001的默认服务端口,该木马清除方法如下:
1、首先使用进程管理软件将进程windows.exe杀掉
2、删除c:/winnt/system32目录下的windows.exe和S_Server.exe文档
3、编辑注册表,删除
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServices/
项中名为windows的键值
4、将HKEY_CLASSES_ROOT和HKEY_LOCAL_MACHINE/Software/CLASSES项中的Winvxd项删除
5、修改HKEY_CLASSES_ROOT/txtfile/shell/open/command
项中的c:/winnt/system32/S_SERVER.EXE %1为C:/WINNT/NOTEPAD.EXE %1
6、修改HKEY_LOCAL_MACHINE/Software/CLASSES/txtfile/shell/open/command
项中的c:/winnt/system32/S_SERVER.EXE %1键值改为C:/WINNT/NOTEPAD.EXE %1 2023端口的关闭:
这个端口是木马程式Ripper的默认服务端口,该木马清除方法如下:
1、使用进程管理工具结束sysrunt.exe进程
2、删除c:/windows目录下的sysrunt.exe程式文档
3、编辑system.ini文档,将shell=explorer.exe sysrunt.exe 改为shell=explorer.exe后保存
4、重新启动系统 2583端口的关闭:
这个端口是木马程式Wincrash v2的默认服务端口,该木马清除方法如下:
1、编辑注册表,删除HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
项中的WinManager = "c:/windows/server.exe"键值
2、编辑win.ini文档,将run=c:/windows/server.exe改为run=后保存退出
3、重新启动系统后删除C:/windows/system/ SERVER.EXE 3389端口的关闭:
首先说明3389端口是windows的远程管理终端所开的端口,他并不是个木马程式,请先
确定该服务是否是您自己开放的。假如不是必须的,请关闭该服务。

win2000关闭的方法:
1、win2000server 开始-->程式-->管理工具-->服务里找到Terminal Services服务项,
选中属性选项将启动类型改成手动,并停止该服务。
2、win2000pro 开始-->配置-->控制面板-->管理工具-->服务里找到Terminal Services
服务项,选中属性选项将启动类型改成手动,并停止该服务。

文章整理:西部数码--专业提供域名注册虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!