=安全检查解决方案=
下载 fport , http://cert.sjtu.edu.cn/download/tools/scan/fport.zip
在DOS提示符下使用fport命令查看是否有开放的木马端口存在。
木马特征端口:113,3389,4899,5800,5900,6129,1092,20168,45576 等
113端口木马的清除:
1.如果我们用fport看到如下结果:
Pid Process Port Proto Path
392 svchost -> 113 TCP C:WINNTsystem32vhos.exe
我们就可以初步确定在监听在113端口的木马程序是vhos.exe而该程序所在的路径为 c:winntsystem32下。
2.确定了木马程序名(就是监听113端口的程序)后,在任务管理器中查找到该进程,并使用管理器结束该进程。
3.在开始-运行中键入regedit运行注册表管理程序,在注册表里查找刚才找到那个程序,并将相关的键值全部删掉。
4.到木马程序所在的目录下删除该木马程序。(通常木马还会包括其他一些程序,如 rscan.exe、psexec.exe、ipcpass.dic、ipcscan.txt等,根据木马程序不同,文件也有所不同,你可以通过察看程序的生成和修改的时间来确定与监听113端口的木马程序有关的其他程序)
5.重新启动机器。
3389端口的关闭:
首先说明3389端口是windows的远程管理终端所开的端口,它并不是一个木马程序,请先确定该服务是否是你自己开放的。如果不是必须的,建议关闭该服务。
win2000 server 开始-->程序-->管理工具-->服务里找到Terminal Services服务项,选中属性选项将启动类型改成手动,并停止该服务。
win2000 pro 开始-->设置-->控制面板-->管理工具-->服务里找到Terminal Services服务项,选中属
最低0.47元/天 解锁文章
328
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
