菜鸟进阶（１０）

以下列出的端口仅为相关木马程序默认情况下开放的端口，请根据具体情况采取相应的操作：

707端口的关闭：

这个端口开放表示你可能感染了nachi蠕虫病毒，该蠕虫的清除方法如下：

停止服务名为WINS Client和Network Connections Sharing的两项服务

删除c:\winnt\SYSTEM32\WINS\目录下的DLLHOST.EXE和SVCHOST.EXE文件

编辑注册表，删除HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services项中名为RpcTftpd和RpcPatch的两个键值

1999端口的关闭：

这个端口是木马程序BackDoor的默认服务端口，该木马清除方法如下：

使用进程管理工具将notpa.exe进程结束

删除c:\windows\目录下的notpa.exe程序

编辑注册表，删除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run项中包含c:\windows

otpa.exe /o=yes的键值

2001端口的关闭：

这个端口是木马程序黑洞2001的默认服务端口，该木马清除方法如下：

首先使用进程管理软件将进程windows.exe杀掉

删除c:\winnt\system32目录下的windows.exe和S_Server.exe文件

编辑注册表，删除将HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\项中名为windows的键值

将HKEY_CLASSES_ROOT和HKEY_LOCAL_MACHINE\Software\CLASSES项中的Winvxd项删除

修改HKEY_CLASSES_ROOT\txtfile\shell\open\command项中的c:\winnt\system32\S_SERVER.EXE %1为C:\WINNT\NOTEPAD.EXE %1

修改HKEY_LOCAL_MACHINE\Software\CLASSES\txtfile\shell\open\command项中的c:\winnt\system32\S_SERVER.EXE %1键值改为C:\WINNT\NOTEPAD.EXE %1

2023端口的关闭：

这个端口是木马程序Ripper的默认服务端口，该木马清除方法如下：

使用进程管理工具结束sysrunt.exe进程

删除c:\windows目录下的sysrunt.exe程序文件

编辑system.ini文件，将shell=explorer.exe sysrunt.exe 改为shell=explorer.exe后保存

重新启动系统

2583端口的关闭：

这个端口是木马程序Wincrash v2的默认服务端口，该木马清除方法如下：

编辑注册表，删除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\项中的WinManager = 　c:\windows\server.exe键值

编辑win.ini文件，将run=c:\windows\server.exe改为run=后保存退出

重新启动系统后删除C:\windows\system\ SERVER.EXE

3389端口的关闭：

首先说明3389端口是windows的远程管理终端所开的端口，它并不是一个木马程序，请先确定该服务是否是你自己开放的。如果不是必须的，请关闭该服务。

win2000关闭的方法：win2000server 开始-->程序-->管理工具-->服务里找到Terminal Services服务项，

选中属性选项将启动类型改成手动，并停止该服务。

win2000pro 开始-->设置-->控制面板-->管理工具-->服务里找到Terminal Services服务项，选中属性选项将启动类型改成手动，并停止该服务。

winxp关闭的方法：在我的电脑上点右键选属性-->远程，将里面的远程协助和远程桌面两个选项框里的勾去掉。

4444端口的关闭：

如果发现你的机器开放这个端口，可能表示你感染了msblast蠕虫，清除该蠕虫的方法如下：

使用进程管理工具结束msblast.exe的进程

编辑注册表，删除HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run项中的windows auto update=msblast.exe键值

删除c:\winnt\system32目录下的msblast.exe文件

4899端口的关闭：

首先说明4899端口是一个远程控制软件（remote administrator）服务端监听的端口，他不能算是一个木马程序，但是具有远程控制功能，通常杀毒软件是无法查出它来的，请先确定该服 务是否是你自己开放并且是必需的。如果不是请关闭它。

关闭4899端口：

请在开始-->运行中输入cmd（98以下为command）,然后cd C:\winnt\system32（你的系统安装目录），输入r_server.exe /stop后按回车。然后在输入r_server /uninstall /silence 到C:\winnt\system32（系统目录）下删除r_server.exe admdll.dll raddrv.dll三个文件

5800，5900端口：

首先说明5800，5900端口是远程控制软件VNC的默认服务端口，但是VNC在修改过后会被用在某些蠕虫中。

请先确认VNC是否是你自己开放并且是必须的，如果不是请关闭

关闭的方法：

首先使用fport命令确定出监听在5800和5900端口的程序所在位置（通常会是c:\winnt\fonts\explorer.exe）

在任务管理器中杀掉相关的进程（注意有一个是系统本身正常的，请注意！如果错杀可以重新运行c:\winnt\explorer.exe）

删除C:\winnt\fonts\中的explorer.exe程序。

删除注册表HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run项中的Explorer键值。

重新启动机器。