系统病毒
系统病毒的前缀为:Win32、PE、Win95、W32、W95等。这些病毒的一般共有的特性是可以感染windows *** 作系统的 exe 和 dll 文件,并通过这些文件进行传播。如CIH病毒。
蠕虫病毒
蠕虫病毒的前缀是:Worm。这种病毒的共有特性是通过网络或者系统漏洞进行传播,很大部分的蠕虫病毒都有向外发送带毒邮件,阻塞网络的特性。比如冲击波(阻塞网络),小邮差(发带毒邮件) 等。
木马病毒、黑客病毒
木马病毒其前缀是:Trojan,黑客病毒前缀名一般为 Hack 。木马病毒的共有特性是通过网络或者系统漏洞进入用户的系统并隐藏,然后向外界泄露用户的信息,而黑客病毒则有一个可视的界面,能对用户的电脑进行远程控制。木马、黑客病毒往往是成对出现的,即木马病毒负责侵入用户的电脑,而黑客病毒则会通过该木马病毒来进行控制。现在这两种类型都越来越趋向于整合了。一般的木马如QQ消息尾巴木马 TrojanQQ3344 ,还有大家可能遇见比较多的针对网络游戏的木马病毒如 TrojanLMirPSW60 。这里补充一点,病毒名中有PSW或者什么PWD之类的一般都表示这个病毒有**密码的功能(这些字母一般都为“密码”的英文“password”的缩写)一些黑客程序如:网络枭雄(HackNetherClient)等。
脚本病毒
脚本病毒的前缀是:Script。脚本病毒的共有特性是使用脚本语言编写,通过网页进行的传播的病毒,如红色代码(ScriptRedlof)。脚本病毒还会有如下前缀:VBS、JS(表明是何种脚本编写的),如欢乐时光(VBSHappytime)、十四日(JsFortnightcs)等。
宏病毒
其实宏病毒是也是脚本病毒的一种,由于它的特殊性,因此在这里单独算成一类。宏病毒的前缀是:Macro,第二前缀是:Word、Word97、Excel、Excel97(也许还有别的)其中之一。凡是只感染WORD97及以前版本WORD文档的病毒采用Word97作为第二前缀,格式是:MacroWord97;凡是只感染WORD97以后版本WORD文档的病毒采用Word做为第二前缀,格式是:MacroWord;凡是只感染EXCEL97及以前版本EXCEL文档的病毒采用Excel97做为第二前缀,格式是:MacroExcel97;凡是只感染EXCEL97以后版本EXCEL文档的病毒采用Excel做为第二前缀,格式是:MacroExcel,以此类推。该类病毒的共有特性是能感染OFFICE系列文档,然后通过OFFICE通用模板进行传播,如:著名的美丽莎(MacroMelissa)。
后门病毒
后门病毒的前缀是:Backdoor。该类病毒的共有特性是通过网络传播,给系统开后门,给用户电脑带来安全隐患。
病毒种植程序病毒
这类病毒的共有特性是运行时会从体内释放出一个或几个新的病毒到系统目录下,由释放出来的新病毒产生破坏。如:冰河播种者(DropperBingHe22C)、MSN射手(DropperWormSmibag)等。
破坏性程序病毒
破坏性程序病毒的前缀是:Harm。这类病毒的共有特性是本身具有好看的图标来诱惑用户点击,当用户点击这类病毒时,病毒便会直接对用户计算机产生破坏。如:格式化C盘(HarmformatCf)、杀手命令(HarmCommandKiller)等。
玩笑病毒
玩笑病毒的前缀是:Joke。也称恶作剧病毒。这类病毒的共有特性是本身具有好看的图标来诱惑用户点击,当用户点击这类病毒时,病毒会做出各种破坏 *** 作来吓唬用户,其实病毒并没有对用户电脑进行任何破坏。如:女鬼(JokeGirl ghost)病毒。
捆绑机病毒
捆绑机病毒的前缀是:Binder。这类病毒的共有特性是病毒作者会使用特定的捆绑程序将病毒与一些应用程序如QQ、IE捆绑起来,表面上看是一个正常的文件,当用户运行这些捆绑病毒时,会表面上运行这些应用程序,然后隐藏运行捆绑在一起的病毒,从而给用户造成危害。如:捆绑QQ(BinderQQPassQQBin)、系统杀手(Binderkillsys)等。 以上为比较常见的病毒前缀,有时候我们还会看到一些其他的,但比较少见,这里简单提一下: DoS:会针对某台主机或者服务器进行DoS攻击; Exploit:会自动通过溢出对方或者自己的系统漏洞来传播自身,或者他本身就是一个用于Hacking的溢出工具; HackTool:黑客工具,也许本身并不破坏你的机子,但是会被别人加以利用来用你做替身去破坏别人。 你可以在查出某个病毒以后通过以上所说的方法来初步判断所中病毒的基本情况,达到知己知彼的效果。在杀毒无法自动查杀,打算采用手工方式的时候这些信息会给你很大的帮助
一 木马的种类:
1破坏型:惟一的功能就是破坏并且删除文件,可以自动的删除电脑上的DLL、INI、EXE文件
2、密码发送型:可以找到隐藏密码并把它们发送到指定的信箱。有人喜欢把自己的各种密码以文件的形式存放在计算机中,认为这样方便;还有人喜欢用WINDOWS提供的密码记忆功能,这样就可以不必每次都输入密码了。许多黑客软件可以寻找到这些文件,把它们送到黑客手中。也有些黑客软件长期潜伏,记录 *** 作者的键盘 *** 作,从中寻找有用的密码。
3、远程访问型:最广泛的是特洛伊马,只需有人运行了服务端程序,如果客户知道了服务端的IP地址,就可以实现远程控制。以下的程序可以实现观察"受害者"正在干什么,当然这个程序完全可以用在正道上的,比如监视学生机的 *** 作。
4键盘记录木马
这种特洛伊木马是非常简单的。它们只做一件事情,就是记录受害者的键盘敲击并且在LOG文件里查找密码。
5DoS攻击木马:随着DoS攻击越来越广泛的应用,被用作DoS攻击的木马也越来越流行起来。当你入侵了一台机器,给他种上DoS攻击木马,那么日后这台计算机就成为你DoS攻击的最得力助手了。你控制的肉鸡数量越多,你发动DoS攻击取得成功的机率就越大。所以,这种木马的危害不是体现在被感染计算机上,而是体现在攻击者可以利用它来攻击一台又一台计算机,给网络造成很大的伤害和带来损失。
6代理木马:黑客在入侵的同时掩盖自己的足迹,谨防别人发现自己的身份是非常重要的,因此,给被控制的肉鸡种上代理木马,让其变成攻击者发动攻击的跳板就是代理木马最重要的任务。通过代理木马,攻击者可以在匿名的情况下使用Telnet,ICQ,IRC等程序,从而隐蔽自己的踪迹
7FTP木马:这种木马可能是最简单和古老的木马了,它的惟一功能就是打开21端口,等待用户连接。现在新FTP木马还加上了密码功能,这样,只有攻击者本人才知道正确的密码,从而进人对方计算机。
8程序杀手木马:上面的木马功能虽然形形色色,不过到了对方机器上要发挥自己的作用,还要过防木马软件这一关才行。常见的防木马软件有ZoneAlarm,Norton Anti-Virus等。程序杀手木马的功能就是关闭对方机器上运行的这类程序,让其他的木马更好地发挥作用
9反d端口型木马:木马是木马开发者在分析了防火墙的特性后发现:防火墙对于连入的链接往往会进行非常严格的过滤,但是对于连出的链接却疏于防范。于是,与一般的木马相反,反d端口型木马的服务端 (被控制端)使用主动端口,客户端 (控制端)使用被动端口。木马定时监测控制端的存在,发现控制端上线立即d出端口主动连结控制端打开的主动端口;为了隐蔽起见,控制端的被动端口一般开在80,即使用户使用扫描软件检查自己的端口,发现类似TCP UserIP:1026 ControllerIP:80ESTABLISHED的情况,稍微疏忽一点,你就会以为是自己在浏览网页。
二:病毒类
1开机磁区病毒
2档案型病毒
3巨集病毒
4其他新种类的病毒
三:1计算机病毒名称
冲击波(WORM_MSBlastA)
W97M_Etkill(宏病毒)
捣毁者(W97M_ TRASHERD)
等等
2木马病毒
木马病毒的前缀是:Trojan
如Q尾巴:TrojanQQPSW
网络游戏木马:TrojanStartPageFH等
3脚本病毒
脚本病毒的前缀是:Script
如:红色代码ScriptRedlof
4系统病毒
系统病毒的前缀为:Win32、PE、Win95、W32、W95等
如以前有名的CIH病毒就属于系统病毒
5宏病毒
宏病毒的前缀是:Macro,第二前缀有Word、Word97、Excel、Excel97等
如以前著名的美丽莎病毒MacroMelissa。
6蠕虫病毒
蠕虫病毒的前缀是:Worm
大家比较熟悉的这类病毒有冲击波、震荡波等
7捆绑机病毒
捆绑机病毒的前缀是:Binder
如系统杀手Binderkillsys
8后门病毒
后门病毒的前缀是:Backdoor
如爱情后门病毒WormLovgatea/b/c
9坏性程序病毒
破坏性程序病毒的前缀是:Harm
格式化C盘(HarmformatCf)、杀手命令(HarmCommandKiller)等。
10玩笑病毒
玩笑病毒的前缀是:Joke
如:女鬼(JokeGirlghost)病毒。
常见木马名称:
Mbbmanagerexe → 聪明基因
_exe → Tryit Mdmexe → Doly 16-17
Aboutagirlexe → 初恋情人 Microsoftexe → 传奇密码使者
Absrexe → BackdoorAutoupder Mmcexe → 尼姆达病毒
Aplica32exe → 将死者病毒 Mprdllexe → Bla
Avconsolexe → 将死者病毒 Msabel32exe → Cain and Abel
Avpexe → 将死者病毒 Msblastexe → 冲击波病毒
Avp32exe → 将死者病毒 Mschvexe → Control
Avpccexe → 将死者病毒 Msgsrv36exe → Coma
Avpmexe → 将死者病毒 Msgsvcexe → 火凤凰
Avserveexe → 震荡波病毒 Msgsvr16exe → Acid Shiver
Bbeagleexe → 恶鹰蠕虫病毒 Msie5exe → Canasson
Brainspyexe → BrainSpy vBeta Msstartexe → Backdoorlivup
Cfiadminexe → 将死者病毒 Msteskexe → Doly 11-15
Cfiauditexe → 将死者病毒 Netipexe → Spirit 2000 Beta
Cfinet32exe → 将死者病毒 Netspyexe → 网络精灵
Checkdllexe → 网络公牛 Notpaexe → Backdoor
Cmctl32exe → Back Construction Odbcexe → Telecommando
Commandexe → AOL Trojan Pcfwalliconexe → 将死者病毒
Diagcfgexe → 广外女生 Pcxexe → Xplorer
Dkbdllexe → Der Spaeher Pw32exe → 将死者病毒
Dllclientexe → Bobo Recycle - Binexe → stHeap
Dvldr32exe → 口令病毒 Regscanexe → 波特后门变种
Esafeexe → 将死者病毒 Tftpexe → 尼姆达病毒
Expiorerexe → Acid Battery Thingexe → Thing
Fewebexe → 将死者病毒 Userexe → Schwindler
Flcssexe → Funlove病毒 Vp32exe → 将死者病毒
Frwexe → 将死者病毒 Vpccexe → 将死者病毒
Icload95exe → 将死者病毒 Vpmexe → 将死者病毒
Icloadntexe → 将死者病毒 Vsecomrexe → 将死者病毒
Icmonexe → 将死者病毒 Serverexe → Revenger, WinCrash, YAT
Icsupp95exe → 将死者病毒 Serviceexe → Trinoo
Iexploreexe → 恶邮差病毒 Setupexe → 密码病毒或Xanadu
Rpcsrvexe → 恶邮差病毒 Socketsexe → Vampire
Rundllexe → SCKISS爱情森林 Somethingexe → BladeRunner
Rundll32exe→ 狩猎者病毒 Spfwexe → 瑞波变种PX
Runouceexe → 中国黑客病毒 Svchostexe (线程105) → 蓝色代码
Scanrewexe → 传奇终结者 Sysedit32exe → SCKISS爱情森林
Scvhostexe → 安哥病毒 Syplorexe → wCrat
Server 1 2exe → Spirit 2000 12fixed Syplrexe → 冰河
Intelexe → 传奇叛逆 Syshelpexe → 恶邮差病毒
Internetexe → 传奇幽灵 Sysprotexe → Satans Back Door
Internetexe → 网络神偷 Sysruntexe → Ripper
Kernel16exe → Transmission Scount Systemexe → stHeap
Kernel32exe → 坏透了或冰河 System32exe → DeepThroat 10
Kissexe → 传奇天使 Systrayexe → DeepThroat 20-31
Krn132exe → 求职信病毒 Syswindowexe → Trojan Cow
Libupdateexe → BioNet Task_Barexe
近期高危病毒/木马:
病毒名称:熊猫烧香
病毒名称:U盘破坏者
最新病毒报告:
病毒名称:Win32MitgliederDU
病毒别名:Email-WormWin32Baglegi
发现日期:2007/2/11
病毒种类:特洛伊木马
病毒危害等级:★★★★★
病毒原理及基本特征:
Win32MitgliederDU是一种特洛伊病毒,能够在被感染机器上打开一个后门,并作为一个SOCKS 4/5代理。特洛伊还会定期的连接与感染相关的信息的网站。病毒的主要运行程序大小为48,728字节。
感染方式:
病毒的主体程序运行时,会复制到:
%System%\wintemsexe
MitgliederDU生成以下注册表,以确保每次系统启动时运行病毒:
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\germanexe = "%System%\wintemsexe"
注:'%System%'是一个可变的路径。病毒通过查询 *** 作系统来决定System文件夹的位置。Windows 2000 and NT默认的系统安装路径是C:\Winnt\System32; 95,98 和 ME 的是C:\Windows\System; XP 的是C:\Windows\System32。
危害:
SOCKS Proxy
MitgliederDU在25552端口打开一个SOCKS 4/5代理。
病毒名称:“勒索者(HarmExtortionera)”
病毒危害等级:★★★☆
依赖系统:WIN9X/NT/2000/XP。
病毒种类:恶意程序
病毒原理及基本特征:
该恶意程序采用E语言编写,运行后会将用户硬盘上除系统盘的各个分区的文件删除,将自身复制到根目录下,试图通过优盘、移动硬盘等移动存储设备传播,并会建立一个名为“警告”的文件。同时该病毒还会d出内容为:“警告:发现您硬盘内曾使用过盗版了的我公司软件,所以将您部份文件移到锁定了的扇区,若要解锁将文件释放,请电邮liugongs1969@yahoocomcn购买相应的软件”的窗口,向用户进行勒索
病毒名称:“情人节”(Vbs_ValentinA)
病毒种类:脚本类病毒
发作日期:2月14日
危害程度:病毒主要通过电子邮件和mIRC(Internet 在线聊天系统)进行传播, 并在2月14日“情人节”这一天,将受感染的计算机系统中C盘下的文件进行重命名,在其原文件名后增加后缀名“txt”,并用一串西班牙字符覆盖这些文件的内容,造成计算机系统无法正常使用
计算机病毒疫情监测周报
1
“威金”( Worm_Viking )
它主要通过网络共享进行传播,会感染计算机系统中所有文件后缀名为EXE的可执行文件,导致可执行文件无法正常启动运行,这当中也包括计算机系统中防病毒软件,蠕虫变种会终止防病毒软件,进而导致其无法正常工作。其传播速度十分迅速,一旦进入局域网络,很快就会导致整个局域网络瘫痪。它还会在受感染的计算机系统里运行后,会修改系统注册表的自启动项,以使蠕虫随计算机系统启动而自动运行。
2 “网络天空”变种(Worm_NetskyD)
该病毒通过邮件传播,使用UPX压缩。运行后,在%Win dows%目录下生成自身的拷贝,名称为Winlogonexe。 (其中,%Windows% 是Windows的默认文件夹,通常是 C:\Windows 或 C:\WINNT),病毒使用Word的图标,并在共享文件夹中生成自身拷贝。病毒创建注册表项,使得自身能够在系统启动时自动运行。病毒邮件的发信人、主题、内容和附件都是不固定的。
3 “高波”(Worm_AgoBot)
该病毒是常驻内存的蠕虫病毒,利用RPC DCOM 缓冲区溢出漏洞、IIS5/WEBDAV 缓冲区溢出漏洞和RPC Locator 漏洞进行传播,还可通过弱密码攻击远程系统进行主动传播以及利用mIRC软件进行远程控制和传播。病毒运行后,在%System%文件夹下生成自身的拷贝nvchip4exe。添加注册表项,使得自身能够在系统启动时自动运行。
4 Worm_MytobX
该病毒是Worm_Mytob变种,并利用自身的SMTP引擎按照邮件地址列表中的邮件地址向外发送病毒邮件。该病毒还可以通过网络的共享文件夹进行搜索并尝试在这些文件夹中产生自身的拷贝文件。还具有后门功能,会使用不同的端口连接到指定的服务器上面,该服务器监听来自远程恶意用户的指令,利用这个指令远程用户可以控制受感染机器。同时,该变种利用一个任意的端口建立一个 FTP服务器,远程用户可以下载或上传文件或是恶意程序
1.Elk Cloner(1982年) 它被看作攻击个人计算机的第一款全球病毒,也是所有令人头痛的安全问题先驱者。它通过苹果Apple II软盘进行传播。这个病毒被放在一个游戏磁盘上,可以被使用49次。在第50次使用的时候,它并不运行游戏,取而代之的是打开一个空白屏幕,并显示一首短诗。
2.Brain(1986年) Brain是第一款攻击运行微软的受欢迎的 *** 作系统DOS的病毒,可以感染360K软盘的病毒,该病毒会填充满软盘上未用的空间,而导致它不能再被使用。
3.Morris(1988年) Morris该病毒程序利用了系统存在的弱点进行入侵,Morris设计的最初的目的并不是搞破坏,而是用来测量网络的大小。但是,由于程序的循环没有处理好,计算机会不停地执行、复制Morris,最终导致死机。
4.CIH(1998年) CIH病毒是迄今为止破坏性最严重的病毒,也是世界上首例破坏硬件的病毒。它发作时不仅破坏硬盘的引导区和分区表,而且破坏计算机系统BIOS,导致主板损坏。 此病毒是由台湾大学生陈盈豪研制的,据说他研制此病毒的目的是纪念1986年的灾难或是让反病毒软件难堪。
5.Melissa(1999年) Melissa是最早通过电子邮件传播的病毒之一,当用户打开一封电子邮件的附件,病毒会自动发送到用户通讯簿中的前50个地址,因此这个病毒在数小时之内传遍全球。
6.Love bug(2000年) Love bug也通过电子邮件附近传播,它利用了人类的本性,把自己伪装成一封求爱信来欺骗收件人打开。这个病毒以其传播速度和范围让安全专家吃惊。在数小时之内,这个小小的计算机程序征服了全世界范围之内的计算机系统。
7.“红色代码”(2001年) 被认为是史上最昂贵的计算机病毒之一,这个自我复制的恶意代码“红色代码”利用了微软IIS服务器中的一个漏洞。该蠕虫病毒具有一个更恶毒的版本,被称作红色代码II。这两个病毒都除了可以对网站进行修改外,被感染的系统性能还会严重下降。
8.“Nimda”(2001年) 尼姆达(Nimda)是历史上传播速度最快的病毒之一,在上线之后的22分钟之后就成为传播最广的病毒。
9.“冲击波”(2003年) 冲击波病毒的英文名称是Blaster,还被叫做Lovsan或Lovesan,它利用了微软软件中的一个缺陷,对系统端口进行疯狂攻击,可以导致系统崩溃。
10.“震荡波”(2004年) 震荡波是又一个利用Windows缺陷的蠕虫病毒,震荡波可以导致计算机崩溃并不断重启。
11.“熊猫烧香”(2007年) 熊猫烧香会使所有程序图标变成熊猫烧香,并使它们不能应用。
12.“扫荡波”(2008年) 同冲击波和震荡波一样,也是个利用漏洞从网络入侵的程序。而且正好在黑屏事件,大批用户关闭自动更新以后,这更加剧了这个病毒的蔓延。这个病毒可以导致被攻击者的机器被完全控制。
13.“Conficker”(2008年) ConfickerC病毒原来要在2009年3月进行大量传播,然后在4月1日实施全球性攻击,引起全球性灾难。不过,这种病毒实际上没有造成什么破坏。
14.“木马下载器”(2009年) 本年度的新病毒,中毒后会产生1000~2000不等的木马病毒,导致系统崩溃,短短3天变成360安全卫士首杀榜前3名(现在位居榜首)
15“鬼影病毒”(2010年) 该病毒成功运行后,在进程中、系统启动加载项里找不到任何异常,同时即使格式化重装系统,也无法将彻底清除该病毒。犹如“鬼影”一般“阴魂不散”,所以称为“鬼影”病毒。
16 “极虎病毒”(2010年) 该病毒类似qvod播放器的图标。感染极虎之后可能会遭遇的情况:计算机进程中莫名其妙的有pingexe 瑞星
和rarexe进程,并且cpu占用很高,风扇转的很响很频繁(手提电脑),并且这两个进程无法结束。某些文件会出现usp10dll、lpkdll文件,杀毒软件和安全类软件会被自动关闭,如瑞星、360安全卫士等如果没有及时升级到最新版本都有可能被停掉。破坏杀毒软件,系统文件,感染系统文件,让杀毒软件无从下手。极虎病毒最大的危害是造成系统文件被篡改,无法使用杀毒软件进行清理,一旦清理,系统将无法打开和正常运行,同时基于计算机和网络的帐户信息可能会被盗,如网络游戏帐户、银行帐户、支付帐户以及重要的电子邮件帐户等。
Win98系统: c:\Windows c:\Windows\system
Winnt和Win2000系统:c:\Winnt c:\Winnt\system32
Winxp系统: c:\Windows c:\Windows\system32
根据系统安装的路径不同,目录所在盘符也可能不同,如系统安装在D盘,
请将C:\Windows改为D:\Windows依此类推
=============================================
113端口木马的清除(仅适用于Windows系统):
这是一个基于irc聊天室控制的木马程序。
1首先使用netstat -an命令确定自己的系统上是否开放了113端口
2使用fport命令察看出是哪个程序在监听113端口
例如我们用fport看到如下结果:
Pid Process Port Proto Path
392 svchost -> 113 TCP C:\WinNT\system32\vhosexe
我们就可以确定在监听在113端口的木马程序是vhosexe而该程序所在的路径为c:\Winnt\system32下。
3确定了木马程序名(就是监听113端口的程序)后,在任务管理器中查找到该进程,并使用管理器结束
该进程。
4在开始-运行中键入regedit运行注册表管理程序,在注册表里查找刚才找到那个程序,并将相关的键值
全部删掉。
5到木马程序所在的目录下删除该木马程序。(通常木马还会包括其他一些程序,如rscanexe、psexecexe、
ipcpassdic、ipcscantxt等,根据木马程序不同,文件也有所不同,你可以通过察看程序的生成和修改的
时间来确定与监听113端口的木马程序有关的其他程序)
6重新启动机器。
以下列出的端口仅为相关木马程序默认情况下开放的端口,请根据具体情况采取相应的 *** 作:
445端口的关闭
修改注册表,添加一个键值
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBT\Parameters在右面的窗口建立一
个SMBDeviceEnabled 为REG_DWORD类型键值为 0这样就ok了
707端口的关闭:
这个端口开放表示你可能感染了nachi蠕虫病毒,该蠕虫的清除方法如下:
1、停止服务名为WinS Client和Network Connections Sharing的两项服务
2、删除c:\Winnt\SYSTEM32\WinS\目录下的DLLHOSTEXE和SVCHOSTEXE文件
3、编辑注册表,删除HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services项中名为RpcTftpd和
RpcPatch的两个键值
1999端口的关闭:
这个端口是木马程序BackDoor的默认服务端口,该木马清除方法如下:
1、 使用进程管理工具将notpaexe进程结束
2、 删除c:\Windows\目录下的notpaexe程序
3、 编辑注册表,删 除
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run项中包
含c:\Windows\notpaexe /o=yes的键值
2001端口的关闭:
这个端口是木马程序黑洞2001的默认服务端口,该木马清除方法如下:
1、首先使用进程管理软件将进程Windowsexe杀掉
2、删除c:\Winnt\system32目录下的Windowsexe和S_Serverexe文件
3、编辑注册表,删除HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\项
中名为Windows的键值
4、将HKEY_CLASSES_ROOT和HKEY_LOCAL_MACHINE\Software\CLASSES项中的Winvxd项删除
5、修改HKEY_CLASSES_ROOT\txtfile\shell\open\command项中的c:\Winnt\system32\S_SERVEREXE %1为
C:\WinNT\NOTEPADEXE %1
6、修改HKEY_LOCAL_MACHINE\Software\CLASSES\txtfile\shell\open\command项中
的c:\Winnt\system32\S_SERVEREXE %1键值改为C:\WinNT\NOTEPADEXE %1
2023端口的关闭:
这个端口是木马程序Ripper的默认服务端口,该木马清除方法如下:
1、使用进程管理工具结束sysruntexe进程
2、删除c:\Windows目录下的sysruntexe程序文件
3、编辑systemini文件,将shell=explorerexe sysruntexe 改为shell=explorerexe后保存
4、重新启动系统
2583端口的关闭:
这个端口是木马程序Wincrash v2的默认服务端口,该木马清除方法如下: 1、编辑注册表,删除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\项中
的WinManager = "c:\Windows\serverexe"键值
2、编辑Winini文件,将run=c:\Windows\serverexe改为run=后保存退出
3、重新启动系统后删除C:\Windows\system\ SERVEREXE
3389端口的关闭:
首先说明3389端口是Windows的远程管理终端所开的端口,它并不是一个木马程序,请先确定该服务是
否是你自己开放的。如果不是必须的,请关闭该服务。
Win2000关闭的方法:
1、Win2000server 开始-->程序-->管理工具-->服务里找到Terminal Services服务项,选中属性选项
将启动类型改成手动,并停止该服务。
2、Win2000pro 开始-->设置-->控制面板-->管理工具-->服务里找到Terminal Services服务项,选中
属性选项将启动类型改成手动,并停止该服务。
Winxp关闭的方法:
在我的电脑上点右键选属性-->远程,将里面的远程协助和远程桌面两个选项框里的勾去掉。
4444端口的关闭:
如果发现你的机器开放这个端口,可能表示你感染了msblast蠕虫,清除该蠕虫的方法如下:
1、使用进程管理工具结束msblastexe的进程
2、编辑注册表,删除HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run项中
的"Windows auto update"="msblastexe"键值
3、删除c:\Winnt\system32目录下的msblastexe文件
4899端口的关闭:
首先说明4899端口是一个远程控制软件(remote administrator)服务端监听的端口,他不能算是一个
木马程序,但是具有远程控制功能,通常杀毒软件是无法查出它来的,请先确定该服务是否是你自己开放
并且是必需的。如果不是请关闭它。
关闭4899端口:
1、请在开始-->运行中输入cmd(98以下为command),然后 cd C:\Winnt\system32(你的系统安装目录),
输入r_serverexe /stop后按回车,然后在输入r_server /uninstall /silence
2、到C:\Winnt\system32(系统目录)下删除r_serverexe admdlldll raddrvdll三个文件
5800,5900端口:
首先说明5800,5900端口是远程控制软件VNC的默认服务端口,但是VNC在修改过后会被用在某些蠕虫中。
请先确认VNC是否是你自己开放并且是必须的,如果不是请关闭
关闭的方法:
1、首先使用fport命令确定出监听在5800和5900端口的程序所在位置
(通常会是c:\Winnt\fonts\explorerexe)
2、在任务管理器中杀掉相关的进程(注意有一个是系统本身正常的,请注意!如果错杀可以重新运
行c:\Winnt\explorerexe)
3、删除C:\Winnt\fonts\中的explorerexe程序。
4、删除注册表HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run项中的Explorer键值。
5、重新启动机器。
6129端口的关闭:
首先说明6129端口是一个远程控制软件(dameware nt utilities)服务端监听得端口,他不是一个木马程序,
但是具有远程控制功能,通常的杀毒软件是无法查出它来的。请先确定该服务是否是你自己安装并且是必需的,
如果不是请关闭。
关闭6129端口:
1、选择开始-->设置-->控制面板-->管理工具-->服务
找到DameWare Mini Remote Control项点击右键选择属性选项,将启动类型改成禁用后停止该服务。
2、到c:\Winnt\system32(系统目录)下将DWRCSEXE程序删除。
3、到注册表内将HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\项中的DWRCS键值删除
6267端口的关闭:
6267端口是木马程序广外女生的默认服务端口,该木马删除方法如下:
1、启动到安全模式下,删除c:\Winnt\system32\下的DIAGFGEXE文件
2、到c:\Winnt目录下找到regeditexe文件,将该文件的后缀名改为com
3、选择开始-->运行输入regeditcom进入注册表编辑页面
4、修改HKEY_CLASSES_ROOT\exefile\shell\open\command项的键值为"%1" %
5、删除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\RunServices项中名字
为Diagnostic Configuration的键值
6、将c:\Winnt下的regeditcom改回到regeditexe
6670、6771端口的关闭:
这些端口是木马程序DeepThroat v10 - 31默认的服务端口,清除该木马的方法如下: 1、编辑注册表,删除HKEY_LOCAL_MACHINE\SOFTWARE\MicroSoft\Windows\CurrentVersion\Run项中
的‘System32‘=c:\Windows\system32exe键值(版本10)或‘SystemTray‘ = ‘Systrayexe‘
键值(版本20-30)键值
2、重新启动机器后删除c:\Windows\system32exe(版本10)或c:\Windows\system\systrayexe
(版本20-30)
6939 端口的关闭:
这个端口是木马程序Indoctrination默认的服务端口,清除该木马的方法如下: 1、编辑注册表,删除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce\
四项中所有包含Msgsrv16 ="msgserv16exe"的键值
2、重新启动机器后删除C:\Windows\system\目录下的msgserv16exe文件
6969端口的关闭:
这个端口是木马程序PRIORITY的默认服务端口,清除该木马的方法如下: 1、编辑注册表,删除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Services
项中的"PServer"= C:\Windows\System\PServerexe键值
2、重新启动系统后删除C:\Windows\System\目录下的PServerexe文件
7306端口的关闭:
这个端口是木马程序网络精灵的默认服务端口,该木马删除方法如下:
1、你可以使用fport察看7306端口由哪个程序监听,记下程序名称和所在的路径
2、如果程序名为Netspyexe,你可以在命令行方式下到该程序所在目录输入命令Netspyexe /remove来
删除木马
3、如果是其他名字的程序,请先在进程中结束该程序的进程,然后到相应目录下删除该程序
4、编辑注册表,将HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run项
和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\RunServices项中与该程序有关 的键值删除
7511端口的关闭:
7511是木马程序聪明基因的默认连接端口,该木马删除方法如下:
1、首先使用进程管理工具杀掉MBBManagerexe这个进程
2、删除c:\Winnt(系统安装目录)中的MBBManagerexe和Explore32exe程序文件,删除c:\Winnt\system32
目录下的editorexe文件 3、编辑注册表,删除注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run项中
内容为C:\WinNT\MBBManagerexe键名为MainBroad BackManager的项
4、修改注册表HKEY_CLASSES_ROOT\txtfile\shell\open\command中的c:\Winnt\system32\editorexe %1改
为c:\Winnt\NOTEPADEXE %1
5、修改注册表HKEY_LOCAL_MACHINE\Software\CLASSES\hlpfile\shell\open\command项中的
C:\WinNT\explore32exe %1键值改为C:\WinNT\WinHLP32EXE %1
7626端口的关闭:
7626是木马冰河的默认开放端口(这个端口可以改变),木马删除方法如下:
1、启动机器到安全模式下,编辑注册表
删除HKEY_LOCAL_MACHINE\software\microsoft\Windows\ CurrentVersion\Run项中内容为
c:\Winnt\system32\Kernel32exe的键值
2、删除HKEY_LOCAL_MACHINE\software\microsoft\Windows\ CurrentVersion\Runservices项中内容为
C:\Windows\system32\Kernel32exe的键值
3、修改HKEY_CLASSES_ROOT\txtfile\shell\open\command项下的C:\Winnt\system32\Sysexplrexe %1为
C:\Winnt\notepadexe %1
4、到C:\Windows\system32\下删除文件Kernel32exe和Sysexplrexe
8011端口的关闭:
8011端口是木马程序WAY24的默认服务端口,该木马删除方法如下:
1、首先使用进程管理工具杀掉msgsvcexe的进程
2、到C:\Windows\system目录下删除msgsvcexe文件
3、编辑注册表,删除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run项中内
容为C:\WinDOWS\SYSTEM\msgsvcexe的键值
9989端口的关闭:
这个端口是木马程序InIkiller的默认服务端口,该木马删除方法如下:
1、编辑注册表,删除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\项中
的Explore="C:\Windows\badexe"键值
2、重新启动系统后删除C:\Windows目录下的badexe程序文件
19191端口的关闭:
这个端口是木马程序兰色火焰默认开放的telnet端口,该木马关闭方法如下:
1、使用管理工具结束进程tasksvcexe
2、删除c:\Windows\system目录下的tasksvcexe、sysexplexe、bfhookdll三个文件
3、编辑注册表,删除HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run项中的
Network Services=C:\WinDOWS\SYSTEM\tasksvcexe键值
4、将注册表HKEY_CLASSES_ROOT\txtfile\shell\open\command项中的C:\WinDOWS\SYSTEM\sysexplexe "%1"键
值改为c:\Windows\notepadexe "%1"键值
5、将注册表HKEY_LOCAL_MACHINE\Software\CLASSES\txtfile\shell\open\command项中的
C:\WinDOWS\SYSTEM\sysexplexe "%1键值"改为c:\Windows\notepadexe "%1"
1029端口和20168端口:
这两个端口是lovgate蠕虫所开放的后门端口。
蠕虫相关信息请参见:Lovgate蠕虫
你可以下载专杀工具:FixLGateexe
使用方法:下载后直接运行,在该程序运行结束后重起机器后再运行一遍该程序。
23444端口的关闭方法:
这个端口是木马程序网络公牛的默认服务端口,关闭该木马的方法如下:
1、进入安全模式,删除c:\Winnt\system32\下的CheckDllexe文件
2、将系统中的如下文件的大小与正常系统中的文件大小比较,如果大小不一样请删除,然后将正常的文件
拷贝回来,需要检查的文件包括:notepadexe;writeexe,regeditexe,Winmineexe,Winhelpexe
3、替换回正常文件后进入注册表编辑状态
删除HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run项
中的"CheckDllexe"="C:\WinNT\SYSTEM32\CheckDllexe“键值
4、删除HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\RunServices中
的"CheckDllexe"="C:\WinNT\SYSTEM32\CheckDllexe"键值
5、删除HKEY_USERS\DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run中
的"CheckDllexe"="C:\WinNT\SYSTEM32\CheckDllexe"键值请注意该病毒还可能会捆绑在其他
应用软件上,请检查你的软件大小是否有异,如果有请卸载后重装
27374端口的关闭方法:
这个端口是木马程序SUB7的默认服务端口,关闭该木马方法如下:
1、首先使用fport软件确定出27374端口由哪个程序打开,记下程序名称和所在的路径。
2、编辑注册表,将HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run项中包含
刚才使用fport察看出的文件名的键值删除
3、将HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServic项中包含刚才使
用fport察看出的文件名的键值删除
4、在进程中将刚才察看的文件进程杀掉,如果杀不掉请到服务中将关联该程序的服务关掉(服务名应该
是刚才在注册表RunServic中看到的)
5、编辑Winini文件,检查“run=”后有没有刚才的文件名,如有则删除之
6、编辑systemini文件,检查“shell=explorerexe”后有没有刚才那个文件,如有将它删除
7、到相应的目录中将刚才查到的文件删除。
30100端口的关闭:
这个端口是木马程序NetSphere默认的服务端口,清除该木马方法如下:
1、编辑注册表,删除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\项
中的NSSX ="C:\WinDOWS\system\nssxexe"键值
2、删除HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中
的NSSX ="C:\WinDOWS\system\nssxexe"键值
3、删除HKEY_USERS\\Software\Microsoft\Windows\CurrentVersion\Run 中
的NSSX ="C:\WinDOWS\system\nssxexe"键值
4、重新启动系统后删除删除C:\WinDOWS\system\目录下的nssxexe文件
31337端口的关闭:
这个端口是木马程序BO2000的默认服务端口,清除该木马方法如下:
1、将机器启动到安全模式状态
2、编辑注册表,删除\HEKY-LOCAL-MACHINE\Software\Microsoft\Windows\ CurrentVersion\RunServicse项
中包含Umgr32exe的键值
3、删除\Windows\System目录下的Umgr32exe程序
4、重新启动机器
45576端口: 这是一个代理软件的控制端口,请先确定该代理软件并非你自己安装(代理软件会给你的机器带来额外的流量)
关闭代理软件:
1请先使用fport察看出该代理软件所在的位置
2在服务中关闭该服务(通常为SkSocks),将该服务关掉。
3到该程序所在目录下将该程序删除。
50766端口的关闭:
这个端口是木马程序SchWindler的默认服务端口,清除该木马的方法如下: 1、编辑注册表,删除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\项
中的Userexe = "C:\WinDOWS\Userexe"键值
2、重新启动机器后删除c:\Windows\目录下的userexe文件
61466端口的关闭:
这个端口是木马程序Telecommando的默认服务端口,关闭该木马程序方法如下: 1、编辑注册表,删除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\中
的SystemApp="ODBCEXE"键值
2、重新启动机器后删除C:\Windows\system\目录下的ODBCEXE文件
==================================================
关闭79等等端口:关闭Simple TCP/IP Service,支持以下 TCP/IP 服务:Character Generator,
Daytime, Discard, Echo, 以及 Quote of the Day。
关掉21端口:关闭FTP Publishing Service,它提供的服务是通过 Internet 信息服务的管理单元
提供 FTP 连接和管理。
关掉23端口:关闭Telnet服务,它允许远程用户登录到系统并且使用命令行运行控制台程序。
关掉25端口:关闭Simple Mail Transport Protocol (SMTP)服务,它提供的功能是跨网传送电子邮件。
关闭80口:关掉WWW服务。在“服务”中显示名称为"World Wide Web Publishing Service",通过
Internet 信息服务的管理单元提供 Web 连接和管理。
关闭默认共享:在Windows 2000中,有一个“默认共享”,这是在安装服务器的时候,把系统安装分区
自动进行共享,虽然对其访问还需要超级用户的密码,但这是潜在的安全隐患,从服务器
的安全考虑,最好关闭这个“默认共享”,以保证系统安全。方法是:单击“开始/运行”,
在运行窗口中输入“Regedit”,打开注册表编辑器,展开
“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Lanmanworkstation\parameters”,
在右侧窗口中创建一个为“AutoShareWks”的双字节值,将其值设置为0,(Win2000 专业
版 Win XP);
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver
\parameters]"AutoShareServer"=dword:00000000 (win2000 server、win2003 server)
这样就可以彻底关闭“默认共享”。
(对了记住在DOS下运行net share c$Content$nbsp;/del,有几个默认共享就执行几次
关闭139端口:139端口是NetBIOS Session端口,用来文件和打印共享,注意的是运行samba的unix机器
也开放了139端口,功能一样。关闭139口听方法是在“网络和拨号连接”中“本地连接”
中选取“Internet协议(TCP/IP)”属性,进入“高级TCP/IP设置”“WINS设置”里面有
一项“禁用TCP/IP的NETBIOS”,打勾就关闭了139端口。
关闭445端口:修改注册表,添加一个键值
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT
\Parameters]"SMBDeviceEnabled"=dword:00000000
关闭终端服务:在Windows2000 Sever版中打开“我的电脑”→“控制面板”→“ 添加/删除程序”→
“添加删除Windwos组件”,把其中的“终端连接器”反安装即可!
修改终端服务的默认端口:
服务器端: 打开注册表,在
“HKLM\SYSTEM\Current\ControlSet\Control\Terminal Server\Win Stations”里找到
类似RDP-TCP的子键,修改PortNumber值。
客户端:按正常步骤建一个客户端连接,选中这个连接,在“文件”菜单中选择导出,在指定位置会生
成一个后缀为cns的文件。打开该文件,修改“Server Port”值为与服务器端的PortNumber对
应的值。然后再导入该文件(方法:菜单→文件→导入),这样客户端就修改了端口。
禁止IPC$空连接:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]"restrictanonymous"=dword:00000001
记住把服务server禁止喽~~~ipc$默认共享删除~~~~这样重启后才有效喽~~~
关闭server服务,此服务提供RPC支持、文件、打印以及命名管道共享。关掉它就关掉了win2k的默认共享,
比如ipc$、c$、admin$等等,此服务关闭不影响您的其他 *** 作。
=============================================
禁用服务
打开控制面板,进入管理工具——服务,关闭以下服务
1Alerter[通知选定的用户和计算机管理警报]
2ClipBook[启用“剪贴簿查看器”储存信息并与远程计算机共享]
3Distributed File System[将分散的文件共享合并成一个逻辑名称,共享出去,关闭后远程计算机无法
访问共享
4Distributed Link Tracking Server[适用局域网分布式链接 �倏突Ф朔�馷
5Human Interface Device Access[启用对人体学接口设备(HID)的通用输入访问]
6IMAPI CD-Burning COM Service[管理 CD 录制]
7Indexing Service[提供本地或远程计算机上文件的索引内容和属性,泄露信息]
8Kerberos Key Distribution Center[授权协议登录网络]
9License Logging[监视IIS和SQL如果你没安装IIS和SQL的话就停止]
10Messenger[警报]
11NetMeeting Remote Desktop Sharing[netmeeting公司留下的客户信息收集]
12Network DDE[为在同一台计算机或不同计算机上运行的程序提供动态数据交换]
13Network DDE DSDM[管理动态数据交换 (DDE) 网络共享]
14Print Spooler[打印机服务,没有打印机就禁止吧]
15Remote Desktop Help& nbsp;Session Manager[管理并控制远程协助]
16Remote Registry[使远程计算机用户修改本地注册表]
17Routing and Remote Access[在局域网和广域往提供路由服务黑客理由路由服务刺探注册信息]
18Server[支持此计算机通过网络的文件、打印、和命名管道共享]
19Special Administration Console Helper[允许管理员使用紧急管理服务远程访问命令行提示符]
20TCP/IPNetBIOS Helper[提供 TCP/IP 服务上的 NetBIOS 和网络上客户端的 NetBIOS 名称解析的支
持而使用户能够共享文件、打印和登录到网络]
21Telnet[允许远程用户登录到此计算机并运行程序]
22Terminal Services[允许用户以交互方式连接到远程计算机]
23Window s Image Acquisition (WIA)[照相服务,应用与数码摄象机]
如果发现机器开启了一些很奇怪的服务,如r_server这样的服务,必须马上停止该服务,因为这完全有
可能是黑客使用控制程序的服务端。
====================================================
1察看本地共享资源
运行CMD输入net share,如果看到有异常的共享,那么应该关闭。但是有时你关闭共享下次开机的时候
又出现了,那么你应该考虑一下,你的机器是否已经被黑客所控制了,或者中了病毒。
2删除共享(每次输入一个)
net share admin$ /delete
net share c$ /delete
net share d$ /delete(如果有e,f,……可以继续删除)
3删除ipc$空连接在运行内输入regedit,在注册表中找到 HKEY-LOCAL_MACHINESYSTEMCurrentControSetControlLSA 项
里数值名称RestrictAnonymous的数值数据由0改为1。
我也是网上找来的,挺管用的,我试过几个端口
qq直播
端口 13000-14000的udp 端口
迅雷
端口:3077 3076 I P: 2029615591 210221253 6112819897
网络精灵(NetFairy 2004)
端口:7777 7778 11300,
I P: 61134335 612337513 61138213251,
22224021068 6117795140 6117795137
电骡
端口:4662 4661 4242
I P:622415315
酷狗
端口:7000 3318I P: 21816125227 6114321056 21816125226
61129115206 6114511433
比特精灵:
端口:16881宝酷
端口: 6346
I P: 61172197196 2181143 2181144 2181149
61172197209 61172197197 2181145 218572118
61172197196
百事通下载工具
端口:
I P: 61145126150
百度MP3下载
端口:
I P: 202108156206
eDonkey2000下载工具
端口:4371 4662
I P: 622415315 622415317
Poco2005
端口:8094 2881 5354
I P: 61145118224 210192122147 20746196108
卡盟
端口:3751 3753 4772 4774
I P: 21115522467
维宇RealLink
端口:
I P: 21191135114 22123318180 6114511955 221313299
百宝
端口: 3468
I P: 21913625156 61149124173
百花PP
端口: 5093
I P: 221229241243
快递通
端口:
I P: 2029613756
酷乐
端口:6801 6800 7003
I P:2182444567 220169192145
百度下吧
端口: 11000
I P: 202108249171
百兆P2P
端口: 9000
I P: 2212331930
石头(OPENEXT)
端口:5467 2500 4173 10002 10003
I P:6619713166 2102212245 699322256
DDS
端口:11608
I P:2105116813 211157105252 2121796617
iMesh 5
端口:4662
I P:2121796617 2121796624 3811717523
winmx
端口:5690
I P:642461543
网酷
端口:2122
I P:211152229 21115222101 22119213229
PPlive网络电视
端口:UDP 4004
端口:TCP 8008
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)