1.卸载hxdef
C:\hxdef100>hxdef100 -:uninstall
2.删除服务
C:\Documents and Settings\Administrator>sc delete CCProxy
[SC] DeleteService SUCCESS
C:\Documents and Settings\Administrator>sc delete IPRIP
[SC] DeleteService SUCCESS
C:\Documents and Settings\Administrator>sc delete Spoolers
[SC] OpenService FAILED 1060:
指定的服务并未以已安装的服务存在。
C:\Documents and Settings\Administrator>sc delete Spooler
[SC] DeleteService SUCCESS
C:\Documents and Settings\Administrator>sc delete netddee
[SC] DeleteService SUCCESS
C:\Documents and Settings\Administrator>sc delete DCOMsvc34567890
[SC] OpenService FAILED 1060:
指定的服务并未以已安装的服务存在。
C:\Documents and Settings\Administrator>sc delete "Windows Event Logger"
[SC] DeleteService SUCCESS
C:\Documents and Settings\Administrator>sc delete NntpSvc
[SC] DeleteService SUCCESS
2.1有一些服务因为含有非法字符,可能无法从命令行删除,可以用注册表编辑器
regedit.exe在如下位置找到:
HKLM\SYSTEM\CurrentControlSet\Serivices\
删除服务对应的主键即可。
3.删除程序
del c:\winnt\spoolsv.exe
del c:\winnt\admdll.dll
del c:\winnt\raddrv.dll
del c:\winnt\system32\Dcomsvc.exe
del c:\winnt\system32\list.gif
del c:\winnt\system32\finder.gif
del c:\winnt\system32\nlog.gif
del c:\winnt\system32\kill.gif
del c:\winnt\system32\info.gif
del c:\winnt\system32\SvcHostDLL.dll
del c:\winnt\system32\sysinfo.dll
del c:\winnt\system32\reginfo.exe
del c:\winnt\system32\spinfo.dll
del c:\winnt\system32\ms29.ini
del c:\winnt\system32\TInject.Dll
del c:\winnt\system32\Svclog.log
del c:\winnt\system32\sporder.dll
del c:\winnt\system32\ mslsp.dat
del c:\winnt\system32\msdos*.exe
del c:\winnt\system32\MsDosdrv.sys
rd /s /q c:\winnt\apppatch
4.终端服务调整
终端服务么,假的已经被卸载掉了,真的还需要改一下端口:
"HKLM\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-TCP\PortNumber"
REG_DWORD PortNumber 4652
改为正常的3389,TermnalServer即可恢复正常的端口,之后可以根据需要开启
或禁用它。
5.用户帐号
首先,建议所有用户修改系统登录口令,以及Serv-U等应用服务的口令。
之后,对Guest帐户做如下设置:修改密码,锁定帐号,删除Administrators组特权。
做完这些设置之后,可以在运行一下rkdetector和kproccheck等工具,察看一下
现在的情况。
-Searching again for Hidden Services..
-Gathering Service list Information... ( Found: 0 Hidden Services)
-Searching for wrong Service Paths.... ( Found: 1 wrong Services )
-Trying to detect hxdef with TCP data..( Found: 0 running rootkits)
-Searching for hxdef hooks............ ( Found: 0 running rootkits)
-Searching for other rootkits......... ( Found: 0 running rootkits)
hxdef等后门应该已经成功被清除了
其他
其他还有些什么呢?
删服务、关端口、打补丁、装防火墙、换杀毒软件