电脑安全知识大全.doc

电脑安全知识大全一、未雨绸缪做好预防措施1.一个好，两个妙无论是菜鸟还是飞鸟，杀毒软件和网络防火墙都是必需的。上网前或启动机器后马上运行这些软件，就好像给你的机器“穿”上了一层厚厚的“保护衣”，就算不能完全杜绝网络病毒的袭击，起码也能把大部分的网络病毒“拒之门外”。目前杀毒软件非常多，功能也十分接近，大家可以根据需要去购买正版的(都不算贵)，也可以在网上下载免费的共享杀毒软件(网上有不少哦)，但千万不要使用一些破解的杀毒软件，以免因小失大。安装软件后，要坚持定期更新病毒库和杀毒程序，以最大限度地发挥出软件应有的功效，给计算机“铁桶”般的保护。2.下载文件仔细查网络病毒之所以得以泛滥，很大程度上跟人们的惰性和侥幸心理有关。当你下载文件后，最好立即用杀毒软件扫描一遍，不要怕麻烦，尤其是对于一些Flash、MP3、文本文件同样不能掉以轻心，因为现在已经有病毒可以藏身在这些容易被大家忽视的文件中了。3.拒绝不良诱惑很多中了网页病毒的朋友，都是因为访问不良站点惹的祸，因此，不去浏览这类网页会让你省心不少。另外，当你在论坛、聊天室等地方看到有推荐浏览某个URL时，要千万小心，以免不幸“遇害”，或者尝试使用以下步骤加以防范：1)打开杀毒软件和网络防火墙；2)把Internet选项的安全级别设为“高”；3)尽量使用以IE为内核的浏览器(如MyIE2)，然后在MyIE2中新建一个空白标签，并关闭Script、javaApple、ActiveX功能后再输入URL。小提示：该方法不但能有效对付网页病毒，而且对“蠕虫病毒”也有一定作用。4.免费午餐：在线查毒虽然目前网络上的“免费午餐”越来越少，但仍有一些网站坚持向网民们提供免费的在线查毒服务，实在是值得表扬哦。对于没有安装查毒软件、又担心会“中招”的朋友，可以利用在线查毒服务为自己的“爱姬”来一个全身“扫描”：小提示：1)各网站的在线查毒服务都有所不同，使用前要仔细阅读网站上的相关说明后再进行操作，争取把病毒赶尽杀绝；2)由于查毒时需要调用浏览器的ActiveX控件，因此查毒前要先在IE的“Internet选项”“安全”页面中检查该功能是否打开，并相应降低安全级别(一般“中等”即可)再查毒。5.千呼万唤终不应如果你发现有“你中奖啦！”、“打开附件会有意外惊喜哦！”这些话，可千万别信！看到类似广告的邮件标题，最好马上把它删掉。对于形迹可疑的邮件(特别是HTML格式)，不要随便打开，如果是你熟悉的朋友发来的，可以先与对方核实后再作处理。同时，也有必要采取一定措施来预防邮件病毒：1)尽量不要用Outlook作为你的邮件客户端，改以Foxmail等代替，同时以文本方式书写和阅读邮件，这样就不用担心潜伏在HTML中的病毒了；2)多使用远程邮箱功能，利用远程邮箱的预览功能(查看邮件Header和部分正文)，可以及时找出垃圾邮件和可疑邮件，从而把病毒邮件直接从服务器上赶走；3)不要在Web邮箱中直接阅读可疑邮件，因为这种阅读方法与浏览网页的原理一样，需要执行一些脚本或Applet才能显示信息，有一定危险性。6.修修补补，填充漏洞当前各种各样的安全漏洞给网络病毒开了方便之门(其中以IE和PHP脚本语言的漏洞最多)，我们平时除了注意及时对系统软件和网络软件进行必要升级外，还要尽快为各种漏洞打上最新的补丁。其中一个检测漏洞的简易方法就是直接使用系统中自带的“Windows Update”功能，让微软为你的电脑来一次“全身检查”并打上安全补丁。当然也可以使用其他软件对计算机进行安全检测(例如东方卫士的“系统漏洞检测精灵”就是一个不错的软件)，以便及早发现漏洞。7.给危险文件加把“锁”不管网络病毒如何“神通广大”，它要对计算机进行破坏，总是要调用系统文件的执行程序(例如format.exe、delete.exe、deltree.exe等)，根据这个特点，我们可以对这些危险文件采用改名、更改后缀、更换存放目录、用软件进行加密保护等多种方法进行防范，让病毒无从下手。8.有“备”无患，打造最后防线正所谓“智者千虑，必有一失”，为保证计算机内重要数据的安全，定时备份少不了。如果我们能做好备份工作，即使遭受网络病毒的全面破坏，也能把损失减至最小。当然，前提条件是必须保证备份前数据没被感染病毒，否则只能是徒劳无功。另外，要尽量把备份文件刻录到光盘上或存放到隐藏分区中，以免“全军覆没”。二、见招拆招杀毒软件的常见问题安装杀毒软件后与其他软件发生冲突怎么办？1)由于多数杀毒软件和防火墙在默认设置中都是开机后自动运行的，因此当发生软件冲突时先检查是否开启了杀毒软件和防火墙，然后尝试暂时关闭杀毒软件和防火墙的监测功能，再看看问题是否已经解决；2)到杀毒软件的主页网站看看是否出了相关补丁或升级版本，有则打上补丁或升级到最新版本；3)如果以上措施还不能解决问题，可以通过E-mail联系作者，寻求解决方法。不能正常升级怎么办？1)如果使用的是正版软件，可以先试着完全卸载旧版本，再安装新版本(为安全起见，建议卸载前先进行备份)；2)检查是否安装了多种杀毒软件，卸载其他杀毒软件后再安装；3)检查输入的序列号是否正确、钥匙盘(A盘)有没有损坏，有问题的请与经销商联系解决；4)尝试以下操作方法：清空Temp文件夹关闭打开的杀毒软件换路径重新安装把安装光盘中的安装目录拷贝到硬盘上，然后运行目录里的“Setup.exe”。无法清除病毒怎么办？1)先升级病毒库再杀毒；2)用一张干净的系统引导盘启动机器后，在DOS状态下进行杀毒；3)备份染毒文件并隔离，然后把病毒样本寄给作者，得到新病毒库后再杀毒。三、亡羊补牢病毒发作后的急救措施虽然已经做足了防范措施，但正所谓：“天有不测之风云”，万一中招了，我们还有什么急救措施呢？1.软件方面1)首先断开全部网络连接，以免病毒向其他在线电脑传播，然后马上用杀毒软件进行扫描杀毒工作(记得要先扫描内存、引导区)；2)赶快备份和转移重要文档到安全地方(软盘、光盘)，记录账号、密码等资料，等病毒清除完毕后再作处理；3)平时曾用GHOST备份的，可以利用映像文件来恢复系统，这样不但能马上恢复工作，而且连同所有病毒也一并清除了，当然，这要求你的GHOST备份是没有感染病毒的。另外，恢复系统前同样要先做好备份重要资料的工作。4)没有进行GHOST备份，并且机器中数据并不重要的，可以用干净的引导盘启动机器后格式化硬盘，然后再重新安装系统和程序。2.硬件方面1)BIOS或CMOS被破坏的，需要找寻相同类型的主板，然后用热插拔的方法进行恢复。此方法存在着极大的危险性，最好找专业技术人员代你进行恢复。2)硬盘引导区或主引导扇区被破坏的，可以尝试用KV杀毒王、金山毒霸等硬盘修复工具进行修复。做好了上面这些防范和应对措施，网络病毒再也别想骚扰到你，冲浪当然更安全了！电脑安全知识：防御计算机病毒十大必知步骤近日全球计算机病毒猖獗，怎样有效防御计算机病毒、蠕虫和特洛伊木马呢？请详细阅读以下十大必知步骤：1、用常识进行判断决不打开来历不明邮件的附件或你并未预期接到的附件。对看来可疑的邮件附件要自觉不予打开。千万不可受骗，认为你知道附件的内容，即使附件看来好象是. jpg文件 - 因为Windows允许用户在文件命名时使用多个后缀，而许多电子邮件程序只显示第一个后缀，例如，你看到的邮件附件名称是wow.jpg，而它的全名实际是wow.jpg.vbs，打开这个附件意味着运行一个恶意的VBScript病毒，而不是你的.jpg察看器。2、安装防病毒产品并保证更新最新的病毒定义码建议你至少每周更新一次病毒定义码，因为防病毒软件只有最新才最有效。需要提醒你的是，你所是购买的诺顿防病毒软件，不仅是更新病毒定义码，而且同时更新产品的引擎，这是与其它防病毒软件所不一样的。这样的好处在于，可以满足新引擎在侦破和修复方面的需要，从而有效地抑制病毒和蠕虫。3、首次安装防病毒软件时，一定要对计算机做一次彻底的病毒扫描当你首次在计算机上安装防病毒软件时，一定要花费些时间对机器做一次彻底的病毒扫描，以确保它尚未受过病毒感染。功能先进的防病毒软件供应商现在都已将病毒扫描做为自动程序，当用户在初装其产品时自动执行。 4、插入软盘、光盘和其他可插拔介质前，一定对它们进行病毒扫描。确保你的计算机对插入的软盘、光盘和其他的可插拔介质，及对电子邮件和互联网文件都会做自动的病毒检查。 5、不要从任何不可靠的渠道下载任何软件这一点比较难于做到，因为通常我们无法判断什么是不可靠的渠道。比较容易的做法是认定所有较有名气的在线图书馆未受病毒感染，但是提供软件下载的网站实在太多了，我们无法肯定它们一定都采取了防病毒的措施，所以比较保险的办法是对安全下载的软件在安装前先做病毒扫描。6、警惕欺骗性的病毒如果你收到一封来自朋友的邮件，声称有一个最具杀伤力的新病毒，并让你将这封警告性质的邮件转发给你所有认识的人，这十有八九是欺骗性的病毒。建议你访问防病毒软件供应商，证实确有其事。这些欺骗性的病毒，不仅浪费收件人的时间，而且可能与其声称的病毒一样有杀伤力。7、使用其它形式的文档，如.rtf（Rich Text Format）和.pdf（Portable Document Format）常见的宏病毒使用Microsoft Office的程序传播，减少使用这些文件类型的机会将降低病毒感染风险。尝试用Rich Text存储文件，这并不表明仅在文件名称中用.rtf后缀，而是要在Microsoft Word中，用“另存为”指令，在对话框中选择Rich Text形式存储。尽管Rich Text Format依然可能含有内嵌的对象，但它本身不支持Visual Basic Macros或Jscript。而pdf文件不仅是跨平台的，而且更为安全。当然，这也不是能够彻底避开病毒的万全之计。:恶意网页病毒十三大症状分析及简单修复方法:一、对IE浏览器产生破坏的网页病毒：（一）.默认主页被修改1.破坏特性：默认主页被自动改为某网站的网址。2.表现形式：浏览器的默认主页被自动设为如*.COM的网址。3.清除方法：采用手动修改注册表法，开始菜单运行regedit-确定，打开注册表编辑工具，按顺序依次打开： HKEY_LOCAL_USERSoftwareMicrosoftInternet ExplorerMain分支，找到Default_Page_URL键值名(用来设置默认主页)，在右窗口点击右键进行修改即可。按F5键刷新生效。危害程度：一般（二）.默认首页被修改1.破坏特性：默认首页被自动改为某网站的网址。2.表现形式：浏览器的默认主页被自动设为如*.COM的网址。3.清除方法：采用手动修改注册表法，开始菜单运行regedit-确定，打开注册表编辑工具，按如下顺序依次打开： HKEY_LOCAL_USERSoftwareMicrosoftInternet ExplorerMain分支，找到StartPage键值名(用来设置默认首页)，在右窗口点击右键进行修改即可。按F5键刷新生效。危害程度：一般（三）.默认的微软主页被修改1.破坏特性：默认微软主页被自动改为某网站的网址。2.表现形式：默认微软主页被篡改。3.清除方法：(1)手动修改注册表法：开始菜单运行regedit-确定，打开注册表编辑工具，按如下顺序依次打开： HKEY_LOCAL_MACHINESoftwareMicrosoftInternetExplorerMain分支，找到 Default_Page_URL键值名(用来设置默认微软主页)，在右窗口点击右键，将键值修改为 /windows/ie_intl/cn/start/ 即可。按F5键刷新生效。(2)自动文件导入注册表法：请把以下内容输入或粘贴复制到记事本内，以扩展名为reg的任意文件名存在C盘的任一目录下，然后执行此文件，根据提示，一路确认，即可显示成功导入注册表。REGEDIT4HKEY_LOCAL_MACHINESoftwareMicrosoftInternet ExplorerMaindefault_page_url=/windows/ie_intl/cn/start/危害程度：一般（四）.主页设置被屏蔽锁定，且设置选项无效不可更改1.破坏特性：主页设置被禁用。2.表现形式：主页地址栏变灰色被屏蔽。3.清除方法：(1)手动修改注册表法：开始菜单运行regedit-确定，打开注册表编辑工具，按如下顺序依次打开： HKEY_CURRENT_USERSoftwareMicrosoftInternetExplorer分支，新建 “ControlPanel”主键，然后在此主键下新建键值名为“HomePage”的DWORD值，值为“00000000”，按F5键刷新生效。(2)自动文件导入注册表法：请把以下内容输入或粘贴复制到记事本内，以扩展名为reg的任意文件名存在C盘的任一目录下，然后执行此文件，根据提示，一路确认，即可显示成功导入注册表。REGEDIT4HKEY_CURRENT_USERSoftwarePoliciesMicrosoftInternet ExplorerControl PanelHomePage=dword:00000000危害程度：轻度（五）.默认的IE搜索引擎被修改1.破坏特性：将IE的默认微软搜索引擎更改。2.表现形式：搜索引擎被篡改。3.清除方法：(1)手动修改注册表法：开始菜单运行regedit-确定，打开注册表编辑工具，第一，按如下顺序依次打开：HKEY_LOCAL_MACHINESoftwareMicrosoftInternet ExplorerSearch分支，找到“SearchAssistant”键值名，在右面窗口点击“修改”，即可对其键值进行输入为： /SUB_RFC1766/srchasst/srchasst.htm ，然后再找到“CustomizeSearch”键值名，将其键值修改为： /SUB_RFC1766/srchasst/srchasst.htm ，按F5键刷新生效。(2)自动文件导入注册表法：请把以下内容输入或粘贴复制到记事本内，以扩展名为reg的任意文件名存在C盘的任一目录下，然后执行此文件，根据提示，一路确认，即可显示成功导入注册表。REGEDIT4HKEY_LOCAL_MACHINESoftwareMicrosoftInternetExplorerSearchSearchAssistant=/SUB_RFC1766/srchasst/srchasst.htmCustomizeSearch=/SUB_RFC1766/srchasst/srchasst.htm危害程度：一般（六）.IE标题栏被添加非法信息1.破坏特性：通过修改注册表，使IE标题栏被强行添加宣传网站的广告信息。2.表现形式：在IE顶端蓝色标题栏上多出了什么“正点网，即使正点网！ 尾巴。3.清除方法：(1)手动修改注册表法：开始菜单运行regedit-确定，打开注册表编辑工具，第一，按如下顺序依次打开：HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain分支，找到“Window Title”键值名，输入键值为Microsoft Internet Explorer，按F5刷新。第二，按如下顺序依次打开：HKEY_CURRENT_MACHINESoftware MicrosoftInternetExplorerMain分支，找到“Window Title”键值名，输入键值为Microsoft Internet Explorer，按F5刷新生效。(2)自动文件导入注册表法：请把以下内容输入或粘贴复制到记事本内，以扩展名为reg的任意文件名存在C盘的任一目录下，然后执行此文件，根据提示，一路确认，即可显示成功导入注册表。REGEDIT4HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMainWindow Title=Microsoft Internet ExplorerHKEY_LOCAL_MACHINESoftwareMicrosoftInternet ExplorerMainWindow Title=Microsoft Internet Explorer危害程度：一般（七）.OE标题栏被添加非法信息破坏特性：破坏特性：通过修改注册表，在微软的集成电子邮件程序Microsoft Outlook顶端标题栏添加宣传网站的广告信息br表现形式：在顶端的Outlook Express蓝色标题栏添加非法信息。清除方法：(1)手动修改注册表法：开始菜单运行regedit-确定，打开注册表编辑工具，按如下顺序依次打开： HKEY_LOCAL_USERSoftwareMicrosoftOutlook Express分支，找到WindowTitle以及Store Root键值名，将其键值均设为空。按F5键刷新生效。(2)自动文件导入注册表法：请把以下内容输入或粘贴复制到记事本内，以扩展名为reg的任意文件名存在C盘的任一目录下，然后执行此文件，根据提示，一路确认，即可显示成功导入注册表。REGEDIT4HKEY_CURRENT_USERSoftwareMicrosoftOutlook ExpressWindowTitle=Store Root=危害程度：一般（八）.鼠标右键菜单被添加非法网站链接：1.破坏特性：通过修改注册表，在鼠标右键弹出菜单里被添加非法站点的链接。2.表现形式：添加“网址之家”等诸如此类的链接信息。3.清除方法：(1)手动修改注册表法：开始菜单运行regedit-确定，打开注册表编辑工具，按如下顺序依次打开： HKEY_CURRENT_USERSoftwarePoliciesMicrosoftInternet ExplorerMenuExt分支，在左边窗口凡是属于非法链接的主键一律删除，按F5键刷新生效。4.危害程度：一般（九）.鼠标右键弹出菜单功能被禁用失常：1.破坏特性：通过修改注册表，鼠标右键弹出菜单功能在IE浏览器中被完全禁止。2.表现形式：在IE中点击右键毫无反应。3.清除方法：(1)手动修改注册表法：开始菜单运行regedit-确定，打开注册表编辑工具，按如下顺序依次打开： HKEY_CURRENT_USERSoftwarePoliciesMicrosoftInternet ExplorerRestrictions分支，找到“NoBrowserContextMenu”键值名，将其键值设为“00000000”，按F5 键刷新生效。(2)自动文件导入注册表法：请把以下内容输入或粘贴复制到记事本内，以扩展名为reg的任意文件名存在C盘的任一目录下，然后执行此文件，根据提示，一路确认，即可显示成功导入注册表。REGEDIT4HKEY_CURRENT_USERSoftwarePoliciesMicrosoftInternet ExplorerRestrictionsNoBrowserContextMenu=dword:00000000危害程度：轻度（十）.IE收藏夹被强行添加非法网站的地址链接破坏特性：通过修改注册表，强行在IE收藏夹内自动添加非法网站的链接信息。表现形式：躲藏在收藏夹下。清除方法：请用手动直接清除，用鼠标右键移动至该非法网站信息上，点击右键弹出菜单，选择删除即可。危害程度：一般（十一）.在IE工具栏非法添加按钮破坏特性：工具栏处添加非法按钮。表现形式：有按钮图标。清除方法：直接点击鼠标右键弹出菜单，选择“删除”即可。危害程度：一般（十二）.锁定地址栏的下拉菜单及其添加文字信息破坏特性：通过修改注册表，将地址栏的下拉菜单锁定变为灰色。表现形式：不仅使下拉菜单消失，而且在其上覆盖非法文字信息。清除方法：(1)手动修改注册表法：开始菜单运行regedit-确定，打开注册表编辑工具，按如下顺序依次打开： HKEY_CURRENT_USERSoftwarePoliciesMicrosoftInternet ExplorerToolbar分支，在右边窗口找到“LinksFolderName”键值名，将其键值设为“链接”，多余的字符一律去掉，按F5键刷新生效。危害程度：轻度（十三）.IE菜单“查看”下的“源文件”项被禁用破坏特性：通过修改注册表，将IE菜单“查看”下的“源文件”项锁定变为灰色。表现形式：“源文件”项不可用。清除方法：(1)手动修改注册表法：开始菜单运行regedit-确定，打开注册表编辑工具，第一，按如下顺序依次打开： HKEY_CURRENT_USERSoftwarePoliciesMicrosoftInternet ExplorerRestrictions分支，找到NoViewSource键值名，将其键值设为“00000000”，按F5键刷新生效。按如下顺序依次打开：HKEY_LOCAL_MACHINESoftwarePoliciesMicrosoftInternet ExplorerRestrictions分支，找到NoViewSource键值名，将其键值设为“00000000”，按F5键刷新生效。(2)自动文件导入注册表法：请把以下内容输入或粘贴复制到记事本内，以扩展名为reg的任意文件名存在C盘的任一目录下，然后执行此文件，根据提示，一路确认，即可显示成功导入注册表。REGEDIT4HKEY_CURRENT_USERSoftwarePoliciesMicrosoftInternet ExplorerRestrictionsNoViewSource=dword:00000000HKEY_LOCAL_MACHINESoftwarePoliciesMicrosoftInternet ExplorerRestrictionsNoViewSource=dword:00000000危害程度：轻度:常见用户提出的几个疑问:用户在使用计算机的过程中经常会提出下面的一些问题，下面做出简要的解答。1、我的计算机为什么突然变慢？答：计算机可能感染蠕虫病毒，不停往外发送数据包，在命令提示符下面用netstat an察看一下计算机是否对局域网其他机器发送数据包，主要看是否往其他机器的445端口发送数据包，检查计算机是否感染蠕虫，可以用最新的杀毒软件，附录中给出最近一些常见蠕虫的杀查方法。2、我的计算机为什么流量突然增加？答：计算机可能感染了蠕虫，或者种了木马程序而被别人设置了代理。用户可以用“netstat an”命令察看自己的计算机是否往局域网其他计算机发送数据包。4、我的计算机为什么突然丢失文件，而且多了一个未知的账号？答：多发生于Win2k操作系统，计算机可能由于没有设置口令或者口令过于简单导致系统被蠕虫病毒攻破，而病毒会自动在你的系统里面添加一个管理员账户，并且植入一个木马程序。或者网络上的一些上网用户通过文件: /18/c$这样的命令访问你的计算机，如果管理员帐户没有设置口令或者口令过于简单，计算机马上就能被控制。解决的方法，设置复杂的口令，更改Administrator帐户名称。5、我的计算机安装了操作系统补丁（windows update），安装了防病毒软件，而且也按时升级病毒定义文件，为什么还是被种了木马程序？答：有几个原因，可能是由于管理员口令过于简单，或者没有设置口令，导致被口令蠕虫病毒攻击；可能是由于打开了不明邮件的附件导致；可能是由于下载了不明软件或者程序导致。针对上面的这些问题最彻底的解决方法就是格式化系统盘重新安装操作系统，否则不能保证杀毒软件能够彻底杀除病毒，更不能确定系统是否留有后门。在后面的附录中给出近期常见蠕虫和杀查方法。-木马专题-一、win2000口令设置方法:当前用户口令：在桌面环境下按crtl+alt+del键后弹出选项单，选择其中的更改密码项后按要求输入你的密码（注意：如果以前administrator没有设置密码的话，旧密码那项就不用输入，只需直接输入新的密码）。其他用户口令：在开始-控制面板-用户和密码-选定一个用户名-点击设置密码二、113端口木马的清除（仅适用于windows系统）：这是一个基于irc聊天室控制的木马程序。1.首先使用netstat -an命令确定自己的系统上是否开放了113端口2.使用fport命令察看出是哪个程序在监听113端口fport工具需要下载，例如我们用fport看到如下结果：Pid Process Port Proto Path392 svchost - 113 TCP C:WINNTsystem32vhos.exe我们就可以确定在监听在113端口的木马程序是vhos.exe而该程序所在的路径为c:winntsystem32下。3.确定了木马程序名（就是监听113端口的程序）后，在任务管理器中查找到该进程， 并使用管理器结束该进程。4.在开始-运行中键入regedit运行注册表管理程序，在注册表里查找刚才找到那个程序，并将相关的键值全部删掉。5. 到木马程序所在的目录下删除该木马程序。（通常木马还会包括其他一些程序，如rscan.exe、psexec.exe、IPcpass.dic、 IPcscan.txt等，根据木马程序不同，文件也有所不同，你可以通过察看程序的生成和修改的时间来确定与监听113端口的木马程序有关的其他程序）6.重新启动机器。三、3389端口的关闭：首先说明3389端口是windows的远程管理终端所开的端口，它并不是一个木马程序，请先确定该服务是否是你自己开放的。如果不是必须的，请关闭该服务。win2000关闭的方法：win2000server 开始-程序-管理工具-服务里找到Terminal Services服务项，选中属性选项将启动类型改成手动，并停止该服务。win2000pro 开始-设置-控制面板-管理工具-服务里找到Terminal Services 服务项，选中属性选项将启动类型改成手动，并停止该服务。winxp关闭的方法：在我的电脑上点右键选属性-远程，将里面的远程协助和远程桌面两个选项框里的勾去掉。四、4899端口的关闭：首先说明4899端口是一个远程控制软件（remote administrator)服务端监听的端口，他不能算是一个木马程序，但是具有远程控制功能，通常杀毒软件是无法查出它来的，请先确定该服务是否是你自己开放并且是必需的。如果不是请关闭它。关闭4899端口：请在开始-运行中输入cmd(98以下为command),然后cd C:winntsystem32(你的系统安装目录），输入r_server.exe /stop后按回车。然后在输入r_server /uninstall /silence 到C:winntsystem32(系统目录）下删除r_server.exe admdll.dll radbrv.dll三个文件。五、5800，5900端口：1.首先使用fport命令确定出监听在5800和5900端口的程序所在位置（通常会是c:winntfontsexplorer.exe)2.在任务管理器中杀掉相关的进程（注意有一个是系统本身正常的，请注意！如果错杀可以重新运行c:winntexplorer.exe)3.删除C:winntfonts中的explorer.exe程序。4.删除注册表HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun中的Explorer项5.重新启动机器。六、6129端口的关闭：首先说明6129端口是一个远程控制软件（dameware nt utilities)服务端监听得端口，他不是一个木马程序，但是具有远程控制功能，通常的杀毒软件是无法查出它来的。请先确定该服务是否是你自己安装并且是必需的，如果不是请关闭。关闭6129端口：选择开始-设置-控制面板-管理工具-服务，找到DameWareMini Remote Control项点击右键选择属性选项，将启动类型改成禁用后停止该服务。到c:winntsystem32(系统目录）下将DWRCS.EXE程序删除。到注册表内将HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesDWMRCS表项删除。八、45576端口：这是一个代理软件的控制端口，请先确定该代理软件并非你自己安装（代理软件会给你的机器带来额外的流量）关闭代理软件：1.请先使用fport察看出该代理软件所在的位置2.在服务中关闭该服务（通常为SkSocks），将该服务关掉。3.到该程序所在目录下将该程序删除。:手工去除13种木马:一、BO2000查看注册表 HEKY-LOCAL-MACHINESoftwareMicrosoftWindows CurrentVersionRunServicse 中是否存在Umgr32.exe 的键值。有则将其删除。重新启动电脑，并将WindowsSystem中的Umgr32.exe删除。二、NetSpy(网络精灵)国产木马，最新版本为3.0，默认连接端口为7306。在该版本中新添加了注册表编辑功能和浏览器监控功能，客户端现在可以不用NetMonitor，通过IE或Navigate就可以进行远程监控了！其强大之处丝毫不逊色于冰河和BO2000！服务端程序被执行后，会在C:Windows system目录下生成netspy.exe文件。同时在注册表HKEY_LOCAL_MACHINEsoftwaremicrosoft windowsCurrentVersionRun下建立键值C:windowssystemnetspy.exe，用于在系统启动时自动加载运行。清除方法：1.进入dos，在C:windowssystem目录下输入以下命令：del netspy.exe 回车；2.进入注册表HKEY_LOCAL_MACHINESoftwaremicrosoftwindowsCurrentVersionRun，删除Netspy.exe和Spynotify.exe的键值即可安全清除Netspy。三、Happy99此程序运行时，会在打开一个名为“Happy new year 1999”的窗口，并出现美丽的烟花，它会复制到Windows主文件夹的“System”目录下，更名为Ska.exe，并创建文件Ska.dll，同时修改Wsock32.dll，将修改前的文件备份为Wsock32.ska，并修改注册表。另外，用户可以检查注册HEKY-LOCAL- MACHINESoftwreMicrosoftWindows Current VersionRunOnce中有无键值Ska.exe。有则将其删除，并删除WindowsSystem中的Ska.exe和Ska.dll两个文件，将Wsock32.ska更名为Wscok32.dll。四、NetBus(网络公牛)国产木马，默认连接端口23444，最新版本V1.1。服务端程序newserver.exe运行后，会自动脱壳成checkdll.exe，位于C:WINDOWSSYSTEM下，下次开机checkdll.exe将自动运行，因此很隐蔽、危害很大。同时，服务端运行后会自动捆绑以下文件:win9x下：捆绑notepad.exe；write.exe，regedit.exe，winmine.exe，winhelp.exe；winnt/2000下：(在2000下会出现文件改动报警,但也不能阻止以下文件的捆绑)notepad.exe；regedit.exe，reged32.exe；drwtsn32.exe；winmine.exe。服务端运行后还会捆绑在开机时自动运行的第三方软件(如:realplay.exe、QQ、ICQ等)上。在注册表中网络公牛也悄悄地扎下了根，如下：HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun CheckDll.exe=C:WINDOWSSYSTEMCheckDll.exeHKEY_LOCAL_MACHINESoftwareMicrosoftWindows CurrentVersionRunServices CheckDll.exe=C:WINDOWSSYSTEMCheckDll.exeHKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRun CheckDll.exe=C:WINDOWSSYSTEMCheckDll.exe网络公牛没有采用文件关联功能，采用的是文件捆绑功能，和上面所列出的文件捆绑在一块，要清除非常困难。清除方法：1.删除网络公牛的自启动程序C:WINDOWSSYSTEMCheckDll.exe。2.把网络公牛在注册表中所建立的键值全部删除（上面所列出的那些键值全部删除）。3.检查上面列出的文件，如果发现文件长度发生变化（大约增加了40K左右，可以通过与其它机子上的正常文件比较而知），就删除它们。然后点击“开始 附件系统工具系统信息工具系统文件检查器”，在弹出的对话框中选中“从安装软盘提取一个文件”，在框中填入要提取的文件(前面你删除的文件)，点“确定”按钮，然后按屏幕提示将这些文件恢复即可。如果是开机时自动运行的第三方软件如: realplay.exe、QQ、ICQ等被捆绑上了，那就得把这些软件卸载，再重新安装。五、Asylum这个木马程序是修改了system.ini win.ini两个文件，先查一下system.ini文件下面的BOOT项，看看shell=explorer.exe”，如不是则删除它，用回上面的设置，并记下原来的文件名以便回过头去在纯DOS下删除它。再打开win.ini文件，看在windows项下的run=”是不是有什么文件名，一般情况下是没有任何加载值的，如有记下它以便回过头过在纯DOS下删除相应的文件名。六、冰河冰河标准版的服务器端程序为G- server.exe，客户端程序为G-client.exe，默认连接端口为7626。一旦运行G-server，那么该程序就会在C: Windowssystem目录下生成Kernel32.exe和sysexplr.exe，并删除自身。Kernel32.exe在系统启动时自动加载运行，sysexplr.exe和TXT文件关联。即使你删除了Kernel32.exe，但只要你打开TXT文件，sysexplr.exe就会被激活，它将再次生成Kernel32.exe，于是冰河又回来了！这就是冰河屡删不止的原因。清除方法：用纯DOS启动进入系统（以防木马的自动恢复），删除你安装的windows下的systemkernel32.exe和systemsysexplr.exe两个木马文件，注意如果系统提示你不能删除它们，则因为木马程序自动设置了这两个文件的属性，我们只需要先改掉它们的隐藏、只读属性，就可以删除。删除后进入windows系统进入注册表中，找到HKEY_LOCAL_MACHINESOFTWAREMicrosoft WindowsCurrentVersionRun和HKEY_LOCAL_MACHINESOFTWAREMicrosoft WindowsCurrentVersionRunServices两项，然后查找kernel32.exe和sysexplr.exe两个键值并删除。再找到HKEY_CLASSES_ROOTtxtfileopencommand,看在键值中是不是已改为“sysexplr.exe% 1”，如是改回notepad.exe %1” 。七、GOPGOP木马会在注册表HKEY_LOCAL_MACHINE SoftwareMicrosoftWindowsCurrentVersionRun主键下添加一个键值让自己自动运行。所以，首先要禁止该项。点击“开始”“运行”，输入“msinfo32”，查看其中的“软件环境”“正在运行的任务”，如果发现哪个项目只有程序名和路径，而没有版本、厂商和说明，你就应该提高警惕了。一般说来，GOP木马在这里显示的版本为“不能用”。现在运行regedit，进入到 HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun主键，记住刚才那个身份不明的运行项目，找到后删除该键值。然后关闭计算机，稍候一下启动计算机。还记得刚才查看到的项目路径吧？那就是木马的程序的藏身之处！接下来的任务是删除木马程序本身。八、Nethief(网络神偷)反弹端口型木马。大多数的防火墙对于由外面连入本机的连接往往会进行非常严格的过滤，但是对于由本机连出的连接却疏于防范（当然也有的防火墙两方面都很严格）。于是，与一般的木马相反，反弹端口型木马的服务端(被控制端)使用主动端口，客户端(控制端)使用被动端口，当要建立连接时，由客户端通过FTP主页空间告诉服务端：“现在开始连接我吧！”，并进入监听状态，服务端收到通知后，就会开始连接客户端。为了隐蔽起见，客户端的监听端口一般开在80，这样，即使用户使用端口扫描软件检查自己的端口，发现的也是类似“TCP服务端的 IP地址:1026客户端的IP地址:80 ESTABLISHED”的情况，稍微疏忽一点你就会以为是自己在浏览网页。防火墙也会如此认为，大概没有哪个防火墙会不给用户向外连接80端口吧。清除方法：1.网络神偷会在注册表HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun下建立键值“internet”，其值为internet.exe /s，将键值删除；2.删除其自启动程序C:WINDOWSSYSTEMINTERNET.EXE。九、广外女生广外女生是广东外语外贸大学“广外女生”网络小组的处女作，是一种新出现的远程监控工具，破坏性很大，远程上传、下载、删除文件、修改注册表等自然不在话下。其可怕之处在于广外女生服务端被执行后，会自动检查进程中是否含有“金山毒霸”、“防火墙”、“iparmor”、“tcmonitor”、“实时监控”、“lockdown”、“kill”、“天网”等字样，如果发现就将该进程终止，也就是说使防火墙完全失去作用！该木马程序运行后，将会在系统的 SYSTEM目录下生成一份自己的拷贝，名称为DIAGCFG.EXE，并关联.EXE文件的打开方式，如果贸然删掉了该文件，将会导致系统所有.EXE 文件无法打开的问题。清除方法：1.由于该木马程序运行时无法删除该文件，因此启动到纯DOS模式下，找到Sy