¿Cómo cerrar troyanos comunes y software de control no autorizado?
Cabe señalar que los diversos troyanos y software de control remoto no autorizado introducidos en este artículo existen porque el sistema es invadido porque la contraseña de administrador no está configurada correctamente. Por lo tanto, verifique que la configuración de contraseña para todas las cuentas del sistema sea lo suficientemente segura.
Requisitos de configuración de contraseña:
1. La contraseña debe tener al menos 8 caracteres;
2. No incluye palabras del diccionario ni apellido. . Pinyin chino;
3. Contiene múltiples tipos de caracteres al mismo tiempo, como letras mayúsculas (A, B, C, ..z), letras minúsculas (a, b, c.. z), números (0, 1, 2,...9), puntuación (@, #,!, $, %, & amp...).
Nota: Dependiendo de la versión de su sistema operativo, las rutas relevantes que se mencionan a continuación serán diferentes. Realice los ajustes correspondientes según su propio sistema.
Sistema Win98: c:\Windows, c:\Windows\system.
Sistemas Winnt y Win2000: c:\Winnt, c:\Winnt\system32.
Sistema Winxp: c:\Windows, c:\Windows\system32.
La letra de unidad del directorio puede variar dependiendo de la ruta de instalación del sistema. Si el sistema está instalado en la unidad D, cambie C:\Windows a D:\Windows, y así sucesivamente.
La mayoría de los programas troyanos pueden cambiar el puerto de servicio predeterminado y debemos tomar las medidas adecuadas según la situación específica. El siguiente ejemplo muestra el proceso completo de inspección y eliminación:
Por ejemplo: eliminación de un troyano de 113 puertos (solo sistema Windows): este es un programa troyano basado en el control de la sala de chat IRC.
1. Primero, use el comando netstat -an para determinar si el puerto 113 está abierto en su sistema.
2. 113;
p>
Por ejemplo, usamos fport para ver los siguientes resultados:
Ruta original del puerto del proceso PID
392 svchost->; 113 TCP
C:\WinNT\system32\vhos.exe
Podemos confirmar que el programa troyano escuchando en el puerto 113 es vhos.exe, y la ruta donde se encuentra el programa. es c:\Winnt\system32.
3. Después de determinar el nombre del programa troyano (es decir, el programa que escucha en el puerto 113), busque el proceso en el administrador de tareas y utilice el administrador para finalizar el proceso.
4. Al comenzar a ejecutar, escriba regedit para ejecutar el programa de administración del registro, busque el programa que acaba de encontrar en el registro y elimine todos los valores clave relacionados.
5. Elimine el programa troyano en el directorio donde se encuentra. (Los troyanos suelen incluir otros programas, como ipcscan.txt, psexec.exe, ipcpass.dic, ipcscan.txt, etc. Los archivos son diferentes según el programa troyano. Al observar el momento en que se genera y modifica el programa, puede determinar el puerto asociado con el puerto de monitoreo 113 (programas relacionados con troyanos).
6.
Los puertos enumerados a continuación son sólo aquellos que están abiertos de forma predeterminada para el troyano en cuestión. Tome las medidas adecuadas según la situación específica:
Cerrar el puerto 707:
Este puerto está abierto, lo que significa que puede estar infectado con el gusano Nachi. El método de eliminación de este gusano es el siguiente:
1. Detenga dos servicios llamados cliente WinS y conexión compartida de red;
2. Elimine el directorio c:\Winnt\SYSTEM32\WinS. Archivos \DLLHOST.EXE y SVCHOST.EXE en \;
3. Edite el registro y elimine los dos valores clave llamados RpcTftpd y RpcPatch en HKEY_Local_Machine\System\Current Control Set\Service.
El puerto 1999 está cerrado:
Este puerto es el puerto de servicio predeterminado del backdoor troyano. El método de eliminación del troyano es el siguiente:
1. Utilice la herramienta de gestión de procesos para finalizar el proceso notpa.exe;
2. Elimine el programa notpa.exe en c:\. Directorio Windows\;
p>
3. Edite el registro y elimine el valor clave que contiene c:\Windows\notpa.exe /o=yes en HKEY_local_machine\software\Microsoft\Windows\current version. \correr.
Cerrar puerto 2001:
Este puerto es el puerto de servicio predeterminado de Trojan Blackhole 2001. El método de eliminación del troyano es el siguiente:
1. Primero, utilice el software de administración de procesos para eliminar el proceso Windows.exe;
2. Elimine Windows en el directorio c:\Winnt\. system32.exe y S_Server.exe;
3. Edite el registro y elimine el valor clave llamado Windows en HKEY_local_machine\software\Microsoft\Windows\current version\run services\;
4. Elimine las entradas de Winvxd en HKEY_class_root y HKEY_local_machine\software\class;
5. Cambie HKEY_class_root\txt file\shell\open\ C:\win nt\system32\s_server.exe %1 en el comando se cambia a C:\C:\WinNT\NOTEPAD. EXE % 1; +0;
6. Cambie HKEY_local_machine\software\classes\txt file\shell\open\command a C:\win nt\system32\s_server.exe % El valor clave de 1 es cambiado a c:\C:\WinNT\NOTEPAD. EXE %1+.
El puerto 2023 está cerrado:
Este puerto es el puerto de servicio predeterminado de Trojan Ripper. El método de eliminación del troyano es el siguiente:
1. herramienta de administración para finalizar el proceso sysrunt.exe;
2. Elimine el archivo del programa sysrunt.exe en el directorio c:\Windows;
3. shell=explorer.exe a sysrunt.exe Cambie a shell = explorer.exe y guarde;
4.
Cerrar el puerto 2583:
Este puerto es el puerto de servicio predeterminado de Wincrash v2. El método de eliminación del troyano es el siguiente:
1. eliminar HKEY_local _ machine\software\Microsoft\Windows\Current version\Run\win manager = valor clave "c:\Windows\server.exe";
2. = Cambie c:\Windows\server.exe a run=, luego guarde y salga;
3. Elimine C:\Windows\System\SERVER.EXE después de reiniciar el sistema.
Cerrar el puerto 3389:
En primer lugar, el puerto 3389 es un puerto abierto por el terminal de administración remota de Windows y no es un programa troyano. Confirme si ha activado el servicio usted mismo. Si no es necesario, por favor apaga el servicio.
Método de apagado de Win2000:
1. Win2000server
Inicio->Programas->Herramientas de administración->Terminal se puede encontrar en el servicio Servicios. Proyectos. Seleccione la opción Propiedades para cambiar el tipo de inicio a manual y detener el servicio.
2. Win2000pro
Inicio->Configuración->Panel de control->Herramientas de administración->Los elementos de servicio de Terminal Services se pueden encontrar en Servicios. Seleccione la opción Propiedades para cambiar el tipo de inicio a manual y detener el servicio.
Método de apagado de Winxp:
Haga clic derecho en Mi PC y seleccione Propiedades -> Remoto, marque las casillas Asistencia remota y Escritorio remoto.
Cerrar puerto 4444:
Si descubres que tu máquina tiene este puerto abierto, puede significar que estás infectado con el gusano msblast.
El método para eliminar el gusano es el siguiente:
1. Utilice la herramienta de gestión de procesos para finalizar el proceso msblast.exe;
2 Edite el registro y elimine HKEY_local_machine\software\. Microsoft\ El valor clave de "Windows auto update" = "msblast .exe" en Windows \ versión actual \ ejecutar;
3. Elimine el archivo msblast.exe en el directorio c:\Winnt\system32.
Cerrar el puerto 4899:
En primer lugar, el puerto 4899 es el puerto de escucha del servidor de administrador remoto. No puede considerarse un programa troyano, pero tiene función de control remoto. Por lo general, no se puede encontrar el software antivirus. Determine usted mismo si este servicio está disponible y si es necesario. Si no, ciérrelo.
Método de cierre:
1. Inicie -& gt; ingrese cmd (98 o menos es el comando), luego cd C:\Winnt\system32 (el directorio de instalación de su sistema). , Escriba r_server.exe /stop y presione Entrar.
Luego ingrese r_server/uninstall/silence;
2. Vaya a C:\Winnt\system32 (directorio del sistema) y elimine r_server.exe, admdll.dll, tres archivos raddrv. dll.
Puertos 5800 y 5900:
En primer lugar, los puertos 5800 y 5900 son los puertos de servicio predeterminados del software de control remoto VNC, pero VNC se utilizará para ciertos gusanos después de la modificación. Confirme si VNC está abierto y si es necesario. En caso contrario, ciérrelo.
Método de cierre:
1. Primero use el comando fport para determinar la ubicación donde el programa escucha los puertos 5800 y 5900 (generalmente C:\win nt C:\win nt\ fonts\explorer. exe););
2. Elimine los procesos relevantes en el administrador de tareas (tenga en cuenta que uno de ellos es normal, ¡tenga en cuenta! Si se elimina accidentalmente, puede volver a ejecutar c :\win nt\explorer.exe) ;
3. Elimine el programa explorer.exe en C:\Winnt\fonts\;
4. Elimine HKEY_Local_Machine\Software\Microsoft\. Valor de clave de Windows\versión actual\Explorer en ejecución;
5.
El puerto 6129 está cerrado:
En primer lugar, el puerto 6129 es el puerto de escucha del software de control remoto (utilidad demonio). No es un programa troyano, pero tiene una función de control remoto y no puede ser detectado por un software antivirus común. Confirme si el servicio lo instaló usted mismo y si es necesario. En caso contrario, ciérrelo.
Método de cierre:
1. Seleccione Inicio->Configuración->Panel de control->Herramientas administrativas->Servicios
Busque el elemento de control remoto DameWare Mini, a la derecha. -haga clic y seleccione la opción de propiedades, cambie el tipo de inicio a deshabilitado y luego detenga el servicio;
2. Vaya a c:\Winnt\system32 (directorio del sistema) y elimine el programa DWRCS.EXE;<. /p >
3. Elimine el valor de la clave DWRCS en HKEY_Local_Machine\System\Control Set 001\Service\ en el registro.