关于端口的问题

关于端口的问题

Win98系统： c:\Windows c:\Windows\system Winnt和Win2000系统：c:\Winnt c:\Winnt\system32 Winxp系统： c:\Windows c:\Windows\system32 根据系统安装的路径不同，目录所在盘符也可能不同，如系统安装在D盘， 请将C:\Windows改为D:\Windows依此类推 ============================================= 113端口木马的清除（仅适用于Windows系统）： 这是一个基于irc聊天室控制的木马程序。 1.首先使用netstat -an命令确定自己的系统上是否开放了113端口 2.使用fport命令察看出是哪个程序在监听113端口 例如我们用fport看到如下结果： Pid Process Port Proto Path 392 svchost -> 113 TCP C:\WinNT\system32\vhos.exe 我们就可以确定在监听在113端口的木马程序是vhos.exe而该程序所在的路径为c:\Winnt\system32下。 3.确定了木马程序名（就是监听113端口的程序）后，在任务管理器中查找到该进程，并使用管理器结束 该进程。 4.在开始-运行中键入regedit运行注册表管理程序，在注册表里查找刚才找到那个程序，并将相关的键值 全部删掉。 5.到木马程序所在的目录下删除该木马程序。（通常木马还会包括其他一些程序，如rscan.exe、psexec.exe、 ipcpass.dic、ipcscan.txt等，根据木马程序不同，文件也有所不同，你可以通过察看程序的生成和修改的 时间来确定与监听113端口的木马程序有关的其他程序） 6.重新启动机器。 以下列出的端口仅为相关木马程序默认情况下开放的端口，请根据具体情况采取相应的操作： 445端口的关闭 修改注册表，添加一个键值 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBT\Parameters在右面的窗口建立一 个SMBDeviceEnabled 为REG_DWORD类型键值为 0这样就ok了 707端口的关闭： 这个端口开放表示你可能感染了nachi蠕虫病毒，该蠕虫的清除方法如下： 1、停止服务名为WinS Client和Network Connections Sharing的两项服务 2、删除c:\Winnt\SYSTEM32\WinS\目录下的DLLHOST.EXE和SVCHOST.EXE文件 3、编辑注册表，删除HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services项中名为RpcTftpd和 RpcPatch的两个键值 1999端口的关闭： 这个端口是木马程序BackDoor的默认服务端口，该木马清除方法如下： 1、 使用进程管理工具将notpa.exe进程结束 2、 删除c:\Windows\目录下的notpa.exe程序 3、 编辑注册表，删 除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run项中包 含c:\Windows\notpa.exe /o=yes的键值 2001端口的关闭： 这个端口是木马程序黑洞2001的默认服务端口，该木马清除方法如下： 1、首先使用进程管理软件将进程Windows.exe杀掉 2、删除c:\Winnt\system32目录下的Windows.exe和S_Server.exe文件 3、编辑注册表，删除HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\项 中名为Windows的键值 4、将HKEY_CLASSES_ROOT和HKEY_LOCAL_MACHINE\Software\CLASSES项中的Winvxd项删除 5、修改HKEY_CLASSES_ROOT\txtfile\shell\open\command项中的c:\Winnt\system32\S_SERVER.EXE %1为 C:\WinNT\NOTEPAD.EXE %1 6、修改HKEY_LOCAL_MACHINE\Software\CLASSES\txtfile\shell\open\command项中 的c:\Winnt\system32\S_SERVER.EXE %1键值改为C:\WinNT\NOTEPAD.EXE %1 2023端口的关闭： 这个端口是木马程序Ripper的默认服务端口，该木马清除方法如下： 1、使用进程管理工具结束sysrunt.exe进程 2、删除c:\Windows目录下的sysrunt.exe程序文件 3、编辑system.ini文件，将shell=explorer.exe sysrunt.exe 改为shell=explorer.exe后保存 4、重新启动系统 2583端口的关闭： 这个端口是木马程序Wincrash v2的默认服务端口，该木马清除方法如下： 1、编辑注册表，删除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\项中 的WinManager = "c:\Windows\server.exe"键值 2、编辑Win.ini文件，将run=c:\Windows\server.exe改为run=后保存退出 3、重新启动系统后删除C:\Windows\system\ SERVER.EXE 3389端口的关闭： 首先说明3389端口是Windows的远程管理终端所开的端口，它并不是一个木马程序，请先确定该服务是 否是你自己开放的。如果不是必须的，请关闭该服务。 Win2000关闭的方法： 1、Win2000server 开始-->程序-->管理工具-->服务里找到Terminal Services服务项，选中属性选项 将启动类型改成手动，并停止该服务。 2、Win2000pro 开始-->设置-->控制面板-->管理工具-->服务里找到Terminal Services服务项，选中 属性选项将启动类型改成手动，并停止该服务。 Winxp关闭的方法： 在我的电脑上点右键选属性-->远程，将里面的远程协助和远程桌面两个选项框里的勾去掉。 4444端口的关闭： 如果发现你的机器开放这个端口，可能表示你感染了msblast蠕虫，清除该蠕虫的方法如下： 1、使用进程管理工具结束msblast.exe的进程 2、编辑注册表，删除HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run项中 的"Windows auto update"="msblast.exe"键值 3、删除c:\Winnt\system32目录下的msblast.exe文件 4899端口的关闭： 首先说明4899端口是一个远程控制软件（remote administrator)服务端监听的端口，他不能算是一个 木马程序，但是具有远程控制功能，通常杀毒软件是无法查出它来的，请先确定该服务是否是你自己开放 并且是必需的。如果不是请关闭它。 关闭4899端口： 1、请在开始-->运行中输入cmd(98以下为command),然后 cd C:\Winnt\system32(你的系统安装目录）， 输入r_server.exe /stop后按回车,然后在输入r_server /uninstall /silence 2、到C:\Winnt\system32(系统目录)下删除r_server.exe admdll.dll raddrv.dll三个文件 5800，5900端口： 首先说明5800，5900端口是远程控制软件VNC的默认服务端口，但是VNC在修改过后会被用在某些蠕虫中。 请先确认VNC是否是你自己开放并且是必须的，如果不是请关闭 关闭的方法： 1、首先使用fport命令确定出监听在5800和5900端口的程序所在位置 （通常会是c:\Winnt\fonts\explorer.exe） 2、在任务管理器中杀掉相关的进程（注意有一个是系统本身正常的，请注意！如果错杀可以重新运 行c:\Winnt\explorer.exe） 3、删除C:\Winnt\fonts\中的explorer.exe程序。 4、删除注册表HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run项中的Explorer键值。 5、重新启动机器。 6129端口的关闭： 首先说明6129端口是一个远程控制软件（dameware nt utilities）服务端监听得端口，他不是一个木马程序， 但是具有远程控制功能，通常的杀毒软件是无法查出它来的。请先确定该服务是否是你自己安装并且是必需的， 如果不是请关闭。 关闭6129端口： 1、选择开始-->设置-->控制面板-->管理工具-->服务 找到DameWare Mini Remote Control项点击右键选择属性选项，将启动类型改成禁用后停止该服务。 2、到c:\Winnt\system32(系统目录)下将DWRCS.EXE程序删除。 3、到注册表内将HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\项中的DWRCS键值删除 6267端口的关闭： 6267端口是木马程序广外女生的默认服务端口，该木马删除方法如下： 1、启动到安全模式下，删除c:\Winnt\system32\下的DIAGFG.EXE文件 2、到c:\Winnt目录下找到regedit.exe文件，将该文件的后缀名改为.com 3、选择开始-->运行输入regedit.com进入注册表编辑页面 4、修改HKEY_CLASSES_ROOT\exefile\shell\open\command项的键值为"%1" %* 5、删除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\RunServices项中名字 为Diagnostic Configuration的键值 6、将c:\Winnt下的regedit.com改回到regedit.exe 6670、6771端口的关闭： 这些端口是木马程序DeepThroat v1.0 - 3.1默认的服务端口，清除该木马的方法如下： 1、编辑注册表，删除HKEY_LOCAL_MACHINE\SOFTWARE\MicroSoft\Windows\CurrentVersion\Run项中 的‘System32‘=c:\Windows\system32.exe键值（版本1.0）或‘SystemTray‘ = ‘Systray.exe‘ 键值（版本2.0-3.0)键值 2、重新启动机器后删除c:\Windows\system32.exe（版本1.0）或c:\Windows\system\systray.exe （版本2.0-3.0） 6939 端口的关闭： 这个端口是木马程序Indoctrination默认的服务端口，清除该木马的方法如下： 1、编辑注册表，删除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce\ 四项中所有包含Msgsrv16 ="msgserv16.exe"的键值 2、重新启动机器后删除C:\Windows\system\目录下的msgserv16.exe文件 6969端口的关闭： 这个端口是木马程序PRIORITY的默认服务端口，清除该木马的方法如下： 1、编辑注册表，删除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Services 项中的"PServer"= C:\Windows\System\PServer.exe键值 2、重新启动系统后删除C:\Windows\System\目录下的PServer.exe文件 7306端口的关闭： 这个端口是木马程序网络精灵的默认服务端口，该木马删除方法如下： 1、你可以使用fport察看7306端口由哪个程序监听，记下程序名称和所在的路径 2、如果程序名为Netspy.exe，你可以在命令行方式下到该程序所在目录输入命令Netspy.exe /remove来 删除木马 3、如果是其他名字的程序，请先在进程中结束该程序的进程，然后到相应目录下删除该程序 4、编辑注册表，将HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run项 和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\RunServices项中与该程序有关 的键值删除 7511端口的关闭： 7511是木马程序聪明基因的默认连接端口，该木马删除方法如下： 1、首先使用进程管理工具杀掉MBBManager.exe这个进程 2、删除c:\Winnt（系统安装目录）中的MBBManager.exe和Explore32.exe程序文件，删除c:\Winnt\system32 目录下的editor.exe文件 3、编辑注册表，删除注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run项中 内容为C:\WinNT\MBBManager.exe键名为MainBroad BackManager的项 4、修改注册表HKEY_CLASSES_ROOT\txtfile\shell\open\command中的c:\Winnt\system32\editor.exe %1改 为c:\Winnt\NOTEPAD.EXE %1 5、修改注册表HKEY_LOCAL_MACHINE\Software\CLASSES\hlpfile\shell\open\command项中的 C:\WinNT\explore32.exe %1键值改为C:\WinNT\WinHLP32.EXE %1 7626端口的关闭： 7626是木马冰河的默认开放端口（这个端口可以改变），木马删除方法如下： 1、启动机器到安全模式下，编辑注册表 删除HKEY_LOCAL_MACHINE\software\microsoft\Windows\ CurrentVersion\Run项中内容为 c:\Winnt\system32\Kernel32.exe的键值 2、删除HKEY_LOCAL_MACHINE\software\microsoft\Windows\ CurrentVersion\Runservices项中内容为 C:\Windows\system32\Kernel32.exe的键值 3、修改HKEY_CLASSES_ROOT\txtfile\shell\open\command项下的C:\Winnt\system32\Sysexplr.exe %1为 C:\Winnt\notepad.exe %1 4、到C:\Windows\system32\下删除文件Kernel32.exe和Sysexplr.exe 8011端口的关闭： 8011端口是木马程序WAY2.4的默认服务端口，该木马删除方法如下： 1、首先使用进程管理工具杀掉msgsvc.exe的进程 2、到C:\Windows\system目录下删除msgsvc.exe文件 3、编辑注册表，删除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run项中内 容为C:\WinDOWS\SYSTEM\msgsvc.exe的键值 9989端口的关闭： 这个端口是木马程序InIkiller的默认服务端口，该木马删除方法如下： 1、编辑注册表，删除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\项中 的Explore="C:\Windows\bad.exe"键值 2、重新启动系统后删除C:\Windows目录下的bad.exe程序文件 19191端口的关闭： 这个端口是木马程序兰色火焰默认开放的telnet端口，该木马关闭方法如下： 1、使用管理工具结束进程tasksvc.exe 2、删除c:\Windows\system目录下的tasksvc.exe、sysexpl.exe、bfhook.dll三个文件 3、编辑注册表，删除HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run项中的 Network Services=C:\WinDOWS\SYSTEM\tasksvc.exe键值 4、将注册表HKEY_CLASSES_ROOT\txtfile\shell\open\command项中的C:\WinDOWS\SYSTEM\sysexpl.exe "%1"键 值改为c:\Windows\notepad.exe "%1"键值 5、将注册表HKEY_LOCAL_MACHINE\Software\CLASSES\txtfile\shell\open\command项中的 C:\WinDOWS\SYSTEM\sysexpl.exe "%1键值"改为c:\Windows\notepad.exe "%1" 1029端口和20168端口： 这两个端口是lovgate蠕虫所开放的后门端口。 蠕虫相关信息请参见：Lovgate蠕虫 你可以下载专杀工具：FixLGate.exe 使用方法：下载后直接运行，在该程序运行结束后重起机器后再运行一遍该程序。 23444端口的关闭方法： 这个端口是木马程序网络公牛的默认服务端口，关闭该木马的方法如下： 1、进入安全模式，删除c:\Winnt\system32\下的CheckDll.exe文件 2、将系统中的如下文件的大小与正常系统中的文件大小比较，如果大小不一样请删除，然后将正常的文件 拷贝回来，需要检查的文件包括：notepad.exe；write.exe，regedit.exe，Winmine.exe，Winhelp.exe 3、替换回正常文件后进入注册表编辑状态 删除HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run项 中的"CheckDll.exe"="C:\WinNT\SYSTEM32\CheckDll.exe“键值 4、删除HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\RunServices中 的"CheckDll.exe"="C:\WinNT\SYSTEM32\CheckDll.exe"键值 5、删除HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run中 的"CheckDll.exe"="C:\WinNT\SYSTEM32\CheckDll.exe"键值请注意该病毒还可能会捆绑在其他 应用软件上，请检查你的软件大小是否有异，如果有请卸载后重装. 27374端口的关闭方法： 这个端口是木马程序SUB7的默认服务端口，关闭该木马方法如下： 1、首先使用fport软件确定出27374端口由哪个程序打开，记下程序名称和所在的路径。 2、编辑注册表，将HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run项中包含 刚才使用fport察看出的文件名的键值删除 3、将HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServic项中包含刚才使 用fport察看出的文件名的键值删除 4、在进程中将刚才察看的文件进程杀掉，如果杀不掉请到服务中将关联该程序的服务关掉（服务名应该 是刚才在注册表RunServic中看到的） 5、编辑Win.ini文件，检查“run=”后有没有刚才的文件名，如有则删除之 6、编辑system.ini文件，检查“shell=explorer.exe”后有没有刚才那个文件，如有将它删除 7、到相应的目录中将刚才查到的文件删除。 30100端口的关闭： 这个端口是木马程序NetSphere默认的服务端口，清除该木马方法如下： 1、编辑注册表，删除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\项 中的NSSX ="C:\WinDOWS\system\nssx.exe"键值 2、删除HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中 的NSSX ="C:\WinDOWS\system\nssx.exe"键值 3、删除HKEY_USERS\****\Software\Microsoft\Windows\CurrentVersion\Run 中 的NSSX ="C:\WinDOWS\system\nssx.exe"键值 4、重新启动系统后删除删除C:\WinDOWS\system\目录下的nssx.exe文件 31337端口的关闭： 这个端口是木马程序BO2000的默认服务端口，清除该木马方法如下： 1、将机器启动到安全模式状态 2、编辑注册表，删除\HEKY-LOCAL-MACHINE\Software\Microsoft\Windows\ CurrentVersion\RunServicse项 中包含Umgr32.exe的键值 3、删除\Windows\System目录下的Umgr32.exe程序 4、重新启动机器 45576端口： 这是一个代理软件的控制端口，请先确定该代理软件并非你自己安装（代理软件会给你的机器带来额外的流量） 关闭代理软件： 1.请先使用fport察看出该代理软件所在的位置 2.在服务中关闭该服务（通常为SkSocks），将该服务关掉。 3.到该程序所在目录下将该程序删除。 50766端口的关闭： 这个端口是木马程序SchWindler的默认服务端口，清除该木马的方法如下： 1、编辑注册表，删除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\项 中的User.exe = "C:\WinDOWS\User.exe"键值 2、重新启动机器后删除c:\Windows\目录下的user.exe文件 61466端口的关闭： 这个端口是木马程序Telecommando的默认服务端口，关闭该木马程序方法如下： 1、编辑注册表，删除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\中 的SystemApp＝"ODBC.EXE"键值 2、重新启动机器后删除C:\Windows\system\目录下的ODBC.EXE文件 ================================================== 关闭7.9等等端口：关闭Simple TCP/IP Service，支持以下 TCP/IP 服务：Character Generator， Daytime， Discard， Echo， 以及 Quote of the Day。 关掉21端口：关闭FTP Publishing Service，它提供的服务是通过 Internet 信息服务的管理单元 提供 FTP 连接和管理。 关掉23端口：关闭Telnet服务，它允许远程用户登录到系统并且使用命令行运行控制台程序。 关掉25端口：关闭Simple Mail Transport Protocol (SMTP)服务，它提供的功能是跨网传送电子邮件。 关闭80口：关掉WWW服务。在“服务”中显示名称为"World Wide Web Publishing Service"，通过 Internet 信息服务的管理单元提供 Web 连接和管理。 关闭默认共享：在Windows 2000中，有一个“默认共享”，这是在安装服务器的时候，把系统安装分区 自动进行共享，虽然对其访问还需要超级用户的密码，但这是潜在的安全隐患，从服务器 的安全考虑，最好关闭这个“默认共享”，以保证系统安全。方法是：单击“开始/运行”， 在运行窗口中输入“Regedit”，打开注册表编辑器，展开 “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Lanmanworkstation\parameters”， 在右侧窗口中创建一个为“AutoShareWks”的双字节值，将其值设置为0，(Win2000 专业 版 Win XP); [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver \parameters]"AutoShareServer"=dword:00000000 (win2000 server、win2003 server) 这样就可以彻底关闭“默认共享”。 (对了记住在DOS下运行net share c$Content$nbsp;/del，有几个默认共享就执行几次 关闭139端口：139端口是NetBIOS Session端口，用来文件和打印共享，注意的是运行samba的unix机器 也开放了139端口，功能一样。关闭139口听方法是在“网络和拨号连接”中“本地连接” 中选取“Internet协议(TCP/IP)”属性，进入“高级TCP/IP设置”“WINS设置”里面有 一项“禁用TCP/IP的NETBIOS”，打勾就关闭了139端口。 关闭445端口：修改注册表，添加一个键值 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT \Parameters]"SMBDeviceEnabled"=dword:00000000 关闭终端服务：在Windows2000 Sever版中打开“我的电脑”→“控制面板”→“ 添加/删除程序”→ “添加删除Windwos组件”，把其中的“终端连接器”反安装即可！ 修改终端服务的默认端口： 服务器端： 打开注册表，在 “HKLM\SYSTEM\Current\ControlSet\Control\Terminal Server\Win Stations”里找到 类似RDP-TCP的子键，修改PortNumber值。 客户端：按正常步骤建一个客户端连接，选中这个连接，在“文件”菜单中选择导出，在指定位置会生 成一个后缀为.cns的文件。打开该文件，修改“Server Port”值为与服务器端的PortNumber对 应的值。然后再导入该文件（方法：菜单→文件→导入），这样客户端就修改了端口。 禁止IPC$空连接: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]"restrictanonymous"=dword:00000001 记住把服务server禁止喽~~~ipc$默认共享删除~~~~这样重启后才有效喽~~~ 关闭server服务，此服务提供RPC支持、文件、打印以及命名管道共享。关掉它就关掉了win2k的默认共享， 比如ipc$、c$、admin$等等，此服务关闭不影响您的其他操作。 ============================================= 禁用服务 打开控制面板，进入管理工具——服务，关闭以下服务 1.Alerter[通知选定的用户和计算机管理警报] 2.ClipBook[启用“剪贴簿查看器”储存信息并与远程计算机共享] 3.Distributed File System[将分散的文件共享合并成一个逻辑名称，共享出去，关闭后远程计算机无法 访问共享 4.Distributed Link Tracking Server[适用局域网分布式链接? �倏突Ф朔�馷 5.Human Interface Device Access[启用对人体学接口设备(HID)的通用输入访问] 6.IMAPI CD-Burning COM Service[管理 CD 录制] 7.Indexing Service[提供本地或远程计算机上文件的索引内容和属性，泄露信息] 8.Kerberos Key Distribution Center[授权协议登录网络] 9.License Logging[监视IIS和SQL如果你没安装IIS和SQL的话就停止] 10.Messenger[警报] 11.NetMeeting Remote Desktop Sharing[netmeeting公司留下的客户信息收集] 12.Network DDE[为在同一台计算机或不同计算机上运行的程序提供动态数据交换] 13.Network DDE DSDM[管理动态数据交换 (DDE) 网络共享] 14.Print Spooler[打印机服务，没有打印机就禁止吧] 15.Remote Desktop Help& nbsp;Session Manager[管理并控制远程协助] 16.Remote Registry[使远程计算机用户修改本地注册表] 17.Routing and Remote Access[在局域网和广域往提供路由服务.黑客理由路由服务刺探注册信息] 18.Server[支持此计算机通过网络的文件、打印、和命名管道共享] 19.Special Administration Console Helper[允许管理员使用紧急管理服务远程访问命令行提示符] 20.TCP/IPNetBIOS Helper[提供 TCP/IP 服务上的 NetBIOS 和网络上客户端的 NetBIOS 名称解析的支 持而使用户能够共享文件、打印和登录到网络] 21.Telnet[允许远程用户登录到此计算机并运行程序] 22.Terminal Services[允许用户以交互方式连接到远程计算机] 23.Window s Image Acquisition (WIA)[照相服务，应用与数码摄象机]如果发现机器开启了一些很奇怪的服务，如r_server这样的服务，必须马上停止该服务，因为这完全有 可能是黑客使用控制程序的服务端。 ==================================================== 1.察看本地共享资源 运行CMD输入net share，如果看到有异常的共享，那么应该关闭。但是有时你关闭共享下次开机的时候 又出现了，那么你应该考虑一下，你的机器是否已经被黑客所控制了，或者中了病毒。 2.删除共享(每次输入一个) net share admin$ /delete net share c$ /delete net share d$ /delete（如果有e，f，……可以继续删除） 3.删除ipc$空连接在运行内输入regedit，在注册表中找到 HKEY-LOCAL_MACHINESYSTEMCurrentControSetControlLSA 项 里数值名称RestrictAnonymous的数值数据由0改为1。我也是网上找来的，挺管用的，我试过几个端口