經驗:常見木馬和未授權控制軟體的關閉2

技術小甜發表於2017-11-01
關閉6129埠:
    1、選擇開始–>設定–>控制皮膚–>管理工具–>服務

   找到DameWare Mini Remote Control項點選右鍵選擇屬性選項,將啟動型別改成禁用後停止該服務。

2、到c:Winntsystem32(系統目錄)下將DWRCS.EXE程式刪除。

3、到登錄檔內將HKEY_LOCAL_MACHINESYSTEMControlSet001Services項中的DWRCS鍵值刪除


    6267埠的關閉:
    6267埠是木馬程式廣外女生的預設服務埠,該木馬刪除方法如下:

    1、啟動到安全模式下,刪除c:Winntsystem32下的DIAGFG.EXE檔案

    2、到c:Winnt目錄下找到regedit.exe檔案,將該檔案的字尾名改為.com

    3、選擇開始–>執行輸入regedit.com進入登錄檔編輯頁面

    4、修改HKEY_CLASSES_ROOTexefileshellopencommand項的鍵值為

“%1” %*

    5、刪除HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows CurrentVersionRunServices項中名字為Diagnostic Configuration的鍵值

    6、將c:Winnt下的regedit.com改回到regedit.exe
    6670、6771埠的關閉:
    這些埠是木馬程式DeepThroat v1.0 – 3.1預設的服務埠,清除該木馬的方法如下:

    1、編輯登錄檔,刪除HKEY_LOCAL_MACHINESOFTWAREMicroSoftWindowsCurrentVersion

Run項中的‘System32‘=c:Windowssystem32.exe鍵值(版本1.0)或‘SystemTray‘ = ‘Systray.exe‘ 鍵值(版本2.0-3.0)鍵值

    3、重新啟動機器後刪除c:Windowssystem32.exe(版本1.0)或c:Windowssystemsystray.exe(版本2.0-3.0)
    6939 埠的關閉:
    這個埠是木馬程式Indoctrination預設的服務埠,清除該木馬的方法如下:

    1、編輯登錄檔,刪除

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows

CurrentVersionRun

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows

CurrentVersionRunServices

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows

CurrentVersionRunOnce

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows

CurrentVersionRunServicesOnce
    四項中所有包含Msgsrv16 =”msgserv16.exe”的鍵值

    2、重新啟動機器後刪除C:Windowssystem目錄下的msgserv16.exe檔案
    6969埠的關閉:
    這個埠是木馬程式PRIORITY的預設服務埠,清除該木馬的方法如下:

    1、編輯登錄檔,刪除HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion

Run Services項中的”PServer”= C:WindowsSystemPServer.exe鍵值

    2、重新啟動系統後刪除C:WindowsSystem目錄下的PServer.exe檔案
    7306埠的關閉:
    這個埠是木馬程式網路精靈的預設服務埠,該木馬刪除方法如下:

    1、你可以使用fport察看7306埠由哪個程式監聽,記下程式名稱和所在的路徑

    2、如果程式名為Netspy.exe,你可以在命令列方式下到該程式所在目錄輸入命令Netspy.exe /remove來刪除木馬

    3、如果是其他名字的程式,請先在程式中結束該程式的程式,然後到相應目錄下刪除該程式。

    4、編輯登錄檔,將HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows CurrentVersionRun項和HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows CurrentVersionRunServices項中與該程式有關的鍵值刪除
    7511埠的關閉:
    7511是木馬程式聰明基因的預設連線埠,該木馬刪除方法如下:

    1、首先使用程式管理工具殺掉MBBManager.exe這個程式

    2、刪除c:Winnt(系統安裝目錄)中的MBBManager.exe和Explore32.exe程式檔案,刪除c:Winntsystem32目錄下的editor.exe檔案

    3、編輯登錄檔,刪除登錄檔HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion

Run項中內容為C:WinNTMBBManager.exe鍵名為MainBroad BackManager的項。

    4、修改登錄檔HKEY_CLASSES_ROOT xtfileshellopencommand中的c:Winntsystem32editor.exe %1改為c:WinntNOTEPAD.EXE %1

    5、修改登錄檔HKEY_LOCAL_MACHINESoftwareCLASSEShlpfileshellopencommand

項中的C:WinNTexplore32.exe %1鍵值改為C:WinNTWinHLP32.EXE %1
    7626埠的關閉:
    7626是木馬冰河的預設開放埠(這個埠可以改變),木馬刪除方法如下:

    1、啟動機器到安全模式下,編輯登錄檔,刪除HKEY_LOCAL_MACHINEsoftwaremicrosoftWindows CurrentVersionRun

項中內容為c:Winntsystem32Kernel32.exe的鍵值

    2、刪除HKEY_LOCAL_MACHINEsoftwaremicrosoftWindows CurrentVersionRunservices項中內容為C:Windowssystem32Kernel32.exe的鍵值

    3、修改HKEY_CLASSES_ROOT xtfileshellopencommand項下的C:Winntsystem32Sysexplr.exe %1為C:Winnt otepad.exe %1

    4、到C:Windowssystem32下刪除檔案Kernel32.exe和Sysexplr.exe
    8011埠的關閉:
    8011埠是木馬程式WAY2.4的預設服務埠,該木馬刪除方法如下:

    1、首先使用程式管理工具殺掉msgsvc.exe的程式

    2、到C:Windowssystem目錄下刪除msgsvc.exe檔案

    3、編輯登錄檔,刪除HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion

Run項中內容為C:WinDOWSSYSTEMmsgsvc.exe的鍵值
本文轉自loveme2351CTO部落格,原文連結:http://blog.51cto.com/loveme23/8404 ,如需轉載請自行聯絡原作者


相關文章