职称计算机手机看课
您的位置:职业培训教育网  > 职称计算机 > 复习指导 > 复习资料 > 正文

如何清除Radmin木马

2008-02-19 17:46  来源: 纠错 打印 收藏   

  网络安全不可忽视,一不小心就让你中招。最近Radmin木马就在网络上疯狂流窜作案。如果大家通过清理注册表启动项的方法去对付它的话,是不能够成功清除的。因为Radmin通过服务项启动,并且极具隐蔽性。大家要是对系统服务不熟悉,还真拿它没有办法。但是再狡猾的狐狸也逃不脱猎人的眼睛。下面我们就来看看来自湖南的扫黑尖兵小舟是如何清除狡猾的Radmin木马的。

  情况描述

  电脑的鼠标指针无故滑动,像是被别人在操作。并且电脑里多了一些软件程序,其中居然还有宽带账号查看器。电脑也有时自动重启或则关闭。月底去电信营业厅缴上网费,发现莫名多出了使用互联星空进行网上消费的账单,可是我并没有通过电信的互联星空购买任何东西呀。

  揪出幕后黑手

  根据这些情况,我第一感觉就是中了灰鸽子木马。谁叫灰鸽子 “臭名远扬”呢?于是马上升级杀毒软件,对系统进行全面扫描。但是在漫长的查杀过程中一无所获。于是我又按照《电脑报》扫黑尖兵所介绍的方法来手工绞杀灰鸽子,但是发现并没有中灰鸽子木马。

  真不甘心,我难道还搞不定一个小“马”?我不气馁,仔细地排查系统进程,发现了一个可疑进程r_server.exe,发现该进程占用的内存不大,但是电脑在出现我所描述的故障时,便一下子增大了,可见是一个后门程序。马上结束它,并且打开注册表在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run的位置寻找可疑的加载值。

  但是让我失望的是并没有r_server.exe加载的值,难道它使用什么最新的高技术?一下子我的思路全断了。于是我又打开“命令提示符”输入“netstat –an”来查看计算机的所有连接与端口使用的情况,我查到一个被非法占用的4899端口,并且看到了远程控制我的IP地址。这下露出马脚了。

  扫除Radmin害人“马”

  根据种种迹象,在网上查看,我猜测我中的是Radmin木马。Radmin木马的默认端口就是4899,并且Radmin不同于普通的木马使用run加载值,而且该木马以前被杀毒软件认为是“良民”的,因为它的原始作用是帮助网管进行远程操作的。但是被黑客滥用于非法对别人入侵后,杀毒软件也不得不对它“痛下杀手”了。

  我打开注册表编辑器,用木马进程名r_server.exe作为关键字进行扫描,很快便搜索到相关的键值,我在无意中的点击中打开了“Display Name”键值的修改项,发现数值数据为“Remote Administrator Service”,这应该就是Radmin启动的服务名称了,因为Display Name的作用是在服务列表中显示的名称。

  到这里我已经清楚Radmin木马的工作方式了,它并不是通过run键值来加载的,而是通过“服务”来加载的。知道工作方式就好处理了。我打开服务项,依次进入“控制面板→管理工具→服务”,将Remote Administrator Service服务禁用掉,这时我又发现Radmin键值下的Image Path值下有木马程序的目录,通过目录将木马主程序及一些DLL文件删除掉,再将Radmin主键值删除,Radmin就这样被驱除了。

  从这个事例,我们可以看到入侵者在小舟的电脑上种上木马后,盗取小舟的宽带账号并通过互联星空进行消费,这是相当卑鄙的,同时这也是犯罪!阿良在这里提醒大家,如果没有使用互联星空服务的需求,最好去营业厅关闭网上购物的功能,以防有所损失。

  Radmin木马采用大家都容易忽视的服务方式启动木马,增加了大家扫黑的困难。不过还是那句话,再狡猾的狐狸也逃不过猎人的眼睛。只要是木马,一般都会占用系统的端口,只要我们发现了被非法占用端口,然后顺藤摸瓜,就能找到清除木马的方法。

  最后提示大家,关闭不需要的服务不但可以让系统性能提高,也可以在一定程度上增加系统的安全系数。如果大家对系统需要的服务不熟悉,可以借助超级兔子优化软件,在它的启动优化中可以对系统启动的服务进行设置。千万不可自己随意关闭服务,不然有可能导致系统崩溃。

热点关注:如何 清除 Radmin 木马

  上一篇:  什么是后门

  下一篇:  什么叫溢出


2016年职称计算机考试网上辅导
课程名称
老师/课时数/免费试听
价格
购买课程
中文Windows WIN7操作系统
100元
中文Windows XP操作系统
100元
Word 2003中文字处理
100元
Excel 2003中文电子表格
100元
PowerPoint 2003中文演示文稿
100元
Word 2007中文字处理
100元
Excel 2007中文电子表格
100元
PowerPoint 2007中文演示文稿
100元
金山演示2005
100元
Internet应用(XP)
100元
Internet应用(Win7)
100元
Photoshop 6.0图像处理
100元
Flash MX 2004动画制作
100元
Access 2000数据库管理系统
100元
WPS Office办公组合中文字处理
100元
金山文字2005
100元
金山表格2005
100元
FrontPage 2000网页制作
100元
Dreamweaver MX 2004网页制作
100元
AutoCAD2004制图软件
100元
Authorware 7.0多媒体制作
100元
Visual Foxpro 5.0数据库管理系统
100元
Photoshop CS4图像处理
100元
Project 2000项目管理
100元
用友财务(U8)软件
100元
用友财务(T3)会计信息化软件
100元
Frontpage 2003网页制作
100元
相关资讯:
网站导航:
职业培训教育网                    更多>>
 经 济 师 指南 动态 查分 试题 复习  职 称 英 语 指南 动态 查分 试题 复习
 职称计算机 指南 动态 查分 试题 复习  招 标 师 指南 动态 查分 试题 复习
 公 务 员 指南 动态 查分 试题 复习  人力资源管理 指南 动态 查分 试题 复习
 教师资格 指南 动态 查分 试题 复习  农村信用社 指南 动态 查分 试题 复习
 公共营养师 指南 动态 查分 试题 复习  心理咨询师 指南 动态 查分 试题 复习
一级消防师 指南 动态 查分 试题 复习 二级消防师 指南 动态 查分 试题 复习

·考试简介 ·报名条件 ·考试科目 ·免考条件
·考试时间 ·考试证书 ·成绩查询 ·指定教材
·合格标准 ·证书期限 ·职称英语

  • 视频课程
按教材章节体系全面讲解,
帮助考生掌握知识点、夯实基础。
视频课程

  

真实环境模拟;
紧扣最新大纲;
免费试用,终身升级;
题库及时更新;
版权声明
  1、凡本网注明 “来源:职业培训教育网”的所有作品,版权均属职业培训教育网所有,未经本网授权不得转载、链接、转贴或以其他方式使用;已经本网授权的,应在授权范围内使用,且必须注明“来源:职业培训教育网”。违反上述声明者,本网将追究其法律责任。
  2、本网部分资料为网上搜集转载,均尽力标明作者和出处。对于本网刊载作品涉及版权等问题的,请作者与本网站联系,本网站核实确认后会尽快予以处理。
  本网转载之作品,并不意味着认同该作品的观点或真实性。如其他媒体、网站或个人转载使用,请与著作权人联系,并自负法律责任。
  3、本网站欢迎积极投稿
  4、联系方式:
编辑信箱:chinatat@chinatat.com
电话:010-82333888