本文目录一览:
木马病毒?????????????
我给你找来一些木马的运行端口
以下列出的端口仅为相关木马程序默认情况下开放的端口,请根据具体情况采取相应的操作:
707端口的关闭:
这个端口开放表示你可能感染了nachi蠕虫病毒,该蠕虫的清除方法如下:
1、停止服务名为WinS Client和Network Connections Sharing的两项服务
2、删除c:WinntSYSTEM32WinS目录下的DLLHOST.EXE和SVCHOST.EXE文件
3、编辑注册表,删除HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices项中名为RpcTftpd和RpcPatch的两个键值
1999端口的关闭:
这个端口是木马程序BackDoor的默认服务端口,该木马清除方法如下:
1、使用进程管理工具将notpa.exe进程结束
2、删除c:Windows目录下的notpa.exe程序
3、编辑注册表,删除HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion
Run项中包含c:Windows otpa.exe /o=yes的键值
2001端口的关闭:
这个端口是木马程序黑洞2001的默认服务端口,该木马清除方法如下:
1、首先使用进程管理软件将进程Windows.exe杀掉
2、删除c:Winntsystem32目录下的Windows.exe和S_Server.exe文件
3、编辑注册表,删除HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion
RunServices项中名为Windows的键值
4、将HKEY_CLASSES_ROOT和HKEY_LOCAL_MACHINESoftwareCLASSES项中的Winvxd项删除
5、修改HKEY_CLASSES_ROOT xtfileshellopencommand项中的c:Winntsystem32S_SERVER.EXE %1为C:WinNTNOTEPAD.EXE %1
6、修改HKEY_LOCAL_MACHINESoftwareCLASSES xtfileshellopencommand
项中的c:Winntsystem32S_SERVER.EXE %1键值改为
C:WinNTNOTEPAD.EXE %1
2023端口的关闭:
这个端口是木马程序Ripper的默认服务端口,该木马清除方法如下:
1、使用进程管理工具结束sysrunt.exe进程
2、删除c:Windows目录下的sysrunt.exe程序文件
3、编辑system.ini文件,将shell=explorer.exe sysrunt.exe 改为shell=explorer.exe后保存
4、重新启动系统
2583端口的关闭:
这个端口是木马程序Wincrash v2的默认服务端口,该木马清除方法如下:
1、编辑注册表,删除HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion
Run项中的WinManager = "c:Windowsserver.exe"键值
2、编辑Win.ini文件,将run=c:Windowsserver.exe改为run=后保存退出
3、重新启动系统后删除C:Windowssystem SERVER.EXE
3389端口的关闭:
首先说明3389端口是Windows的远程管理终端所开的端口,它并不是一个木马程序,请先确定该服务是否是你自己开放的。如果不是必须的,请关闭该服务。
Win2000关闭的方法:
1、Win2000server 开始--程序--管理工具--服务里找到Terminal Services服务项,选中属性选项将启动类型改成手动,并停止该服务。
2、Win2000pro开始--设置--控制面板--管理工具--服务里找到Terminal Services服务项,选中属性选项将启动类型改成手动,并停止该服务。
Winxp关闭的方法:
在我的电脑上点右键选属性--远程,将里面的远程协助和远程桌面两个选项框里的勾去掉。
4444端口的关闭:
如果发现你的机器开放这个端口,可能表示你感染了msblast蠕虫,清除该蠕虫的方法如下:
1、使用进程管理工具结束msblast.exe的进程
2、编辑注册表,删除HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
项中的"Windows auto update"="msblast.exe"键值
3、删除c:Winntsystem32目录下的msblast.exe文件
4899端口的关闭:
首先说明4899端口是一个远程控制软件(remote administrator)服务端监听的端口,他不能算是一个木马程序,但是具有远程控制功能,通常杀毒软件是无法查出它来的,请先确定该服务是否是你自己开放并且是必需的。如果不是请关闭它。
关闭4899端口:
1、请在开始--运行中输入cmd(98以下为command),然后 cd C:Winntsystem32(你的系统安装目录),输入r_server.exe /stop后按回车。
然后在输入r_server /uninstall /silence
2、到C:Winntsystem32(系统目录)下删除r_server.exe admdll.dll
raddrv.dll三个文件
5800,5900端口:
首先说明5800,5900端口是远程控制软件VNC的默认服务端口,但是VNC在修改过后会被用在某些蠕虫中。
请先确认VNC是否是你自己开放并且是必须的,如果不是请关闭
关闭的方法:
1、首先使用fport命令确定出监听在5800和5900端口的程序所在位置(通常会是c:Winntfontsexplorer.exe)
2、在任务管理器中杀掉相关的进程(注意有一个是系统本身正常的,请注意!如果错杀可以重新运行c:Winntexplorer.exe)
3、删除C:Winntfonts中的explorer.exe程序。
4、删除注册表HKEY_LOCAL_MACHINESoftwareMicrosoftWindows
CurrentVersionRun项中的Explorer键值。
5、重新启动机器。
6129端口的关闭:
首先说明6129端口是一个远程控制软件(dameware nt utilities)服务端监听得端口,他不是一个木马程序,但是具有远程控制功能,通常的杀毒软件是无法查出它来的。请先确定该服务是否是你自己安装并且是必需的,如果不是请关闭
关闭6129端口:
1、选择开始--设置--控制面板--管理工具--服务
找到DameWare Mini Remote Control项点击右键选择属性选项,将启动类型改成禁用后停止该服务。
2、到c:Winntsystem32(系统目录)下将DWRCS.EXE程序删除。
3、到注册表内将HKEY_LOCAL_MACHINESYSTEMControlSet001Services项中的DWRCS键值删除
6267端口的关闭:
6267端口是木马程序广外女生的默认服务端口,该木马删除方法如下:
1、启动到安全模式下,删除c:Winntsystem32下的DIAGFG.EXE文件
2、到c:Winnt目录下找到regedit.exe文件,将该文件的后缀名改为.com
3、选择开始--运行输入regedit.com进入注册表编辑页面
4、修改HKEY_CLASSES_ROOTexefileshellopencommand项的键值为
"%1" %*
5、删除HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows CurrentVersionRunServices项中名字为Diagnostic Configuration的键值
6、将c:Winnt下的regedit.com改回到regedit.exe
6670、6771端口的关闭:
这些端口是木马程序DeepThroat v1.0 - 3.1默认的服务端口,清除该木马的方法如下:
1、编辑注册表,删除HKEY_LOCAL_MACHINESOFTWAREMicroSoftWindowsCurrentVersion
Run项中的‘System32‘=c:Windowssystem32.exe键值(版本1.0)或‘SystemTray‘ = ‘Systray.exe‘ 键值(版本2.0-3.0)键值
3、重新启动机器后删除c:Windowssystem32.exe(版本1.0)或c:Windowssystemsystray.exe(版本2.0-3.0)
6939 端口的关闭:
这个端口是木马程序Indoctrination默认的服务端口,清除该木马的方法如下:
1、编辑注册表,删除
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
CurrentVersionRun
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
CurrentVersionRunServices
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
CurrentVersionRunOnce
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
CurrentVersionRunServicesOnce
四项中所有包含Msgsrv16 ="msgserv16.exe"的键值
2、重新启动机器后删除C:Windowssystem目录下的msgserv16.exe文件
6969端口的关闭:
这个端口是木马程序PRIORITY的默认服务端口,清除该木马的方法如下:
1、编辑注册表,删除HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion
Run Services项中的"PServer"= C:WindowsSystemPServer.exe键值
2、重新启动系统后删除C:WindowsSystem目录下的PServer.exe文件
7306端口的关闭:
这个端口是木马程序网络精灵的默认服务端口,该木马删除方法如下:
1、你可以使用fport察看7306端口由哪个程序监听,记下程序名称和所在的路径
2、如果程序名为Netspy.exe,你可以在命令行方式下到该程序所在目录输入命令Netspy.exe /remove来删除木马
3、如果是其他名字的程序,请先在进程中结束该程序的进程,然后到相应目录下删除该程序。
4、编辑注册表,将HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows CurrentVersionRun项和HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows CurrentVersionRunServices项中与该程序有关的键值删除
7511端口的关闭:
7511是木马程序聪明基因的默认连接端口,该木马删除方法如下:
1、首先使用进程管理工具杀掉MBBManager.exe这个进程
2、删除c:Winnt(系统安装目录)中的MBBManager.exe和Explore32.exe程序文件,删除c:Winntsystem32目录下的editor.exe文件
3、编辑注册表,删除注册表HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion
Run项中内容为C:WinNTMBBManager.exe键名为MainBroad BackManager的项。
4、修改注册表HKEY_CLASSES_ROOT xtfileshellopencommand中的c:Winntsystem32editor.exe %1改为c:WinntNOTEPAD.EXE %1
5、修改注册表HKEY_LOCAL_MACHINESoftwareCLASSEShlpfileshellopencommand
项中的C:WinNTexplore32.exe %1键值改为C:WinNTWinHLP32.EXE %1
7626端口的关闭:
7626是木马冰河的默认开放端口(这个端口可以改变),木马删除方法如下:
1、启动机器到安全模式下,编辑注册表,删除HKEY_LOCAL_MACHINEsoftwaremicrosoftWindows CurrentVersionRun
项中内容为c:Winntsystem32Kernel32.exe的键值
2、删除HKEY_LOCAL_MACHINEsoftwaremicrosoftWindows CurrentVersionRunservices项中内容为C:Windowssystem32Kernel32.exe的键值
3、修改HKEY_CLASSES_ROOT xtfileshellopencommand项下的C:Winntsystem32Sysexplr.exe %1为C:Winnt otepad.exe %1
4、到C:Windowssystem32下删除文件Kernel32.exe和Sysexplr.exe
8011端口的关闭:
8011端口是木马程序WAY2.4的默认服务端口,该木马删除方法如下:
1、首先使用进程管理工具杀掉msgsvc.exe的进程
2、到C:Windowssystem目录下删除msgsvc.exe文件
3、编辑注册表,删除HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion
Run项中内容为C:WinDOWSSYSTEMmsgsvc.exe的键值
15=NETSTAT PORTsx!
21=Blade Runner, Doly Trojan, Fore, FTP trojan, Invisible FTP, Larva, ebEx, WinCrashlA
22=SSH PORTPFXP
23=Tiny Telnet Server:]nT
25=Shtrilitz Stealth, Terminator, WinPC, WinSpy, Kuang2 0.17A-0.30, Antigen, Email Password Sender, Haebu Coceda, Kuang2, ProMail trojan, TapiraswZ{\n
31=Agent 31, Hackers Paradise, Masters ParadiseW
41=DeepThroatAuwc\
53=DOMAIN PORT
58=DMSetupZ^.(a"
63=WHOIS PORTW
79=Firehotckerbi\
80=Executor 110=ProMail trojanK R*EK
90=DNS PORTo
101=HOSTNAME PORT!Dz`6d
110=POP3 PORTk3
121=JammerKillahI
137=NETBIOS Name Service PORTrB
138=NETBIOS Datagram Service PORTcI",
139=NETBIOS Session Service PORTm
194=IRC PORTBj
406=IMSP PORTi]_v
421=TCP Wrappers(L
456=Hackers ParadiseV%RWk
531=RasmindH
555=Ini-Killer, Phase Zero, Stealth Spy!7f
666=Attack FTP, Satanz Backdoorl9ulO
911=Dark Shadowp
999=DeepThroat-
1001=Silencer, WebEx+s8K=
1011=Doly Trojan-v*A
1012=Doly TrojanH=y}
1024=NetSpyy)
1045=RasminA'
1090=XtremeS
1095=RatP
1097=Ratq
1098=Rat8,p^#
1099=RatVx_+y
1170=Psyber Stream ServerL
1170=Voicep_
1234=Ultors Trojan=Qn]
1243=BackDoor-G, SubSeven*-pD
1245=VooDoo Doll|m^|q
1349=BO DLLnm?'0
1492=FTP99CMPYdWFu
1600=Shivka-Burka'dL
1807=SpySenderDP6
1080=SOCKS PORT$
1981=Shockrave(oRZR]
1999=BackDoor 1.00-1.03B
2001=Trojan CowKSiq.
2023=RipperHF
2115=Bugs:(k5
2140=Deep ThroatQqM:l
2140=The Invasor(
2565=Striker;{p
2583=WinCrash$
2801=Phineas Phucker}\)*
3024=WinCrash--
3129=Masters ParadiseAq/_Xn
3150=Deep Throat, The Invasor$UDD
3700=Portal of DoomPrd!
4092=WinCrash2c
4567=File Nailj~mR
4590=ICQTrojanz4$;
5000=Bubbel, Back Door Setup, Sockets de Troie$
5001=Back Door Setup, Sockets de TroieB(c
5321=Firehotcker$|
5400=Blade Runnerxg%tf
5401=Blade Runner?{ g
5402=Blade Runner*
5550=JAPAN Trojan-xtcp@AGxs0
5555=ServeMe{SS
5556=BO Facil#]6
5557=BO Facil.
5569=Robo-Hackx#R
5742=WinCrash;+e[6
6400=The ThingqhC
6666=IRC SERVER PORT~FW
6667=IRC CHAT PORToy[0U6
6670=DeepThroath@;
6711=SubSevenK5y~
6771=DeepThroatH6rPCb
6776=BackDoor-G, SubSevenhD^i
6939=Indoctrination =xM}2
6969=GateCrasherzgX
6969=Priority"B
7000=Remote Grab,0
7300=NetMonitorI5X[
7301=NetMonitorJk3
7306=NetMonitorG
7307=NetMonitor[
7308=NetMonitorU
7626=G_Client Wi
7789=Back Door Setup, ICKiller9\Ns{
9872=Portal of Dooma
9873=Portal of Doomvb_kO
9874=Portal of Doom C
9875=Portal of Doom0rO!5u
9989=iNi-Killer7[Kgt
10067=Portal of DoomF'Omq
10167=Portal of DoomX-v2RU
10520=Acid Shivers/
10607=ComaLKs}
11000=Senna Spyf/
11223=Progenic trojanFI{
12223=Hack?9 KeyLogger:b
12345=GabanBus, NetBus, Pie Bill Gates, X-billG%UQP
12346=GabanBus, NetBus, X-bill6:fX
12361=Whack-a-moler{/ho
12362=Whack-a-moleY
12631=WhackJob('\Q
13000=Senna SpyL|
16969=Priority6"
20001=MillenniumCF
20034=NetBus 2 Proo.9
21544=GirlFriendo
22222=ProsiakP_Dv
23456=Evil FTP, Ugly FTPp
26274=Delta Source:
29891=The Unexplained4$sp
30029=AOL Trojan 30100=NetSphere 1.27a, NetSphere 1.31-g%
30101=NetSphere 1.31, NetSphere 1.27a(]C
30102=NetSphere 1.27a, NetSphere 1.3114
30103=NetSphere 1.311Dqf
30303=Sockets de Troie=
31337=Baron Night, BO client, BO2, Bo Facil, BackFire, Back Orifice, DeepBOk-
31338=NetSpy DK 31338=Back Orifice, DeepBOO)Ssk
31339=NetSpy DKcr4}|L
31666=BOWhackx
31785=Hack Attacktw8+z
31787=Hack AttackR.A
31789=Hack Attack'3}f
31791=Hack Attacku%"80
33333=Prosiak}
34324=BigGluck, TN4
40412=The SpyF:m
40421=Agent 40421, Masters Paradise+ND
40422=Masters Paradise4:
40423=Masters ParadiseSC0J
40426=Masters Paradiseya
47262=Delta SourceY7C'Lw
50505=Sockets de TroieHec}
50766=Foreb
53001=Remote Windows ShutdownK6
54321=School Bus .69-1.11Z
60000=Deep Throat2s
61466=Telecommando] Y-
65000=DevilqHT8]
69123=ShitHeep rO
木马病毒是一种什么病毒?XP电脑中应如何消除?
1、木马病毒是一种专门用来偷取用户资料的病毒.
2、不会破坏程序.但会把你的QQ密码.游戏帐号和密码.等发给编写病毒的人
3、可以用木马克星这个软件来查。(在网上搜索)
4、不要打开陌生的链接。不要轻易在网上下载文件。
5、无明显表现。只有你的QQ丢了。或者邮箱丢了。你才会发现。
6、可以杀木马的软件来杀。比如木马克星。噬菌体等。
木马病毒资料
特洛伊木马(以下简称木马),英文叫做“Trojan horse”,其名称取自希腊神话的特洛伊木马记。
古希腊传说,特洛伊王子帕里斯访问希腊,诱走了王后海伦,希腊人因此远征特洛伊。围攻9年后,到第10年,希腊将领奥德修斯献了一计,就是把一批勇士埋伏在一匹巨大的木马腹内,放在城外后,佯作退兵。特洛伊人以为敌兵已退,就把木马作为战利品搬入城中。到了夜间,埋伏在木马中的勇士跳出来,打开了城门,希腊将士一拥而入攻下了城池。后来,人们在写文章时就常用“特洛伊木马”这一典故,用来比喻在敌方营垒里埋下伏兵里应外合的活动
它是一种基于远程控制的黑客工具,具有隐蔽性和非授权性的特点。
所谓隐蔽性是指木马的设计者为了防止木马被发现,会采用多种手段隐藏木马,这样服务端即使发现感染了木马,由于不能确定其具体位置,往往只能望“马”兴叹。
所谓非授权性是指一旦控制端与服务端连接后,控制端将享有服务端的大部分操作权限,包括修改文件,修改注册表,控制鼠标,键盘等等,而这些权力并不是服务端赋予的,而是通过木马程序窃取的。
从木马的发展来看,基本上可以分为两个阶段。
最初网络还处于以UNIX平台为主的时期,木马就产生了,当时的木马程序的功能相对简单,往往是将一段程序嵌入到系统文件中,用跳转指令来执行一些木马的功能,在这个时期木马的设计者和使用者大都是些技术人员,必须具备相当的网络和编程知识。
而后随着WINDOWS平台的日益普及,一些基于图形操作的木马程序出现了,用户界面的改善,使使用者不用懂太多的专业知识就可以熟练的操作木马,相对的木马入侵事件也频繁出现,而且由于这个时期木马的功能已日趋完善,因此对服务端的破坏也更大了。
所以所木马发展到今天,已经无所不用其极,一旦被木马控制,你的电脑将毫无秘密可言。
请问木马到底是什么病毒?是怎样窃取个人信息的?
木马病毒源自古希腊特洛伊战争中著名的“木马计”而得名,顾名思义就是一种伪装潜伏的网络病毒,等待时机成熟就出来害人。
传染方式:通过电子邮件附件发出,捆绑在其他的程序中。
病毒特性:会修改注册表、驻留内存、在系统中安装后门程序、开机加载附带的木马。
木马病毒的破坏性:木马病毒的发作要在用户的机器里运行客户端程序,一旦发作,就可设置后门,定时地发送该用户的隐私到木马程序指定的地址,一般同时内置可进入该用户电脑的端口,并可任意控制此计算机,进行文件删除、拷贝、改密码等非法操作。
防范措施:用户提高警惕,不下载和运行来历不明的程序,对于不明来历的邮件附件也不要随意打开。
“木马”程序是目前比较流行的病毒文件,与一般的病毒不同,它不会自我繁殖,也并不“刻意”地去感染其他文件,它通过将自身伪装吸引用户下载执行,向施种木马者提供打开被种者电脑的门户,使施种者可以任意毁坏、窃取被种者的文件,甚至远程操控被种者的电脑。“木马”与计算机网络中常常要用到的远程控制软件有些相似,但由于远程控制软件是“善意”的控制,因此通常不具有隐蔽性;“木马”则完全相反,木马要达到的是“偷窃”性的远程控制,如果没有很强的隐蔽性的话,那就是“毫无价值”的。
一个完整的“木马”程序包含了两部分:“服务器”和“控制器”。植入被种者电脑的是“服务器”部分,而所谓的“黑客”正是利用“控制器”进入运行了“服务器”的电脑。运行了木马程序的“服务器”以后,被种者的电脑就会有一个或几个端口被打开,使黑客可以利用这些打开的端口进入电脑系统,安全和个人隐私也就全无保障了!
木马病毒是什么?怎样杀?
(杀毒软件)
木马病毒源自古希腊特洛伊战争中著名的“木马计”而得名,顾名思义就是一种伪装潜伏的网络病毒,等待时机成熟就出来害人。
传染方式:通过电子邮件附件发出,捆绑在其他的程序中。
病毒特性:会修改注册表、驻留内存、在系统中安装后门程序、开机加载附带的木马。
木马病毒的破坏性:木马病毒的发作要在用户的机器里运行客户端程序,一旦发作,就可设置后门,定时地发送该用户的隐私到木马程序指定的地址,一般同时内置可进入该用户电脑的端口,并可任意控制此计算机,进行文件删除、拷贝、改密码等非法操作。
防范措施:用户提高警惕,不下载和运行来历不明的程序,对于不明来历的邮件附件也不要随意打开。
木马是一种带有恶意性质的远程控制软件。木马一般分为客户端(client)和服务器端(server)。客户端就是本地使用的各种命令的控制台,服务器端则是要给别人运行,只有运行过服务器端的计算机才能够完全受控。木马不会像病毒那样去感染文件。
