我在Cernet做过拨号接入平台的搭建，而后在Yahoo3721负载搜索引擎前端平台开发，又在猫扑处理过大型社区猫扑大杂烩的架构升级等工作，同时自己接触和开发过不少大中型网站的模块，因此在大型网站应对高负载和并发的解决方案上有一些积累和经验，可以和大家一起探讨一下。

一个小型的网站，比如个人网站，可以使用最简单的html静态页面就实现了，配合一些图片达到美化效果，所有的页面均存放在一个目录下，这样的网站对系统架构、性能的要求都很简单，随着互联网业务的不断丰富，网站相关的技术经过这些年的发展，已经细分到很细的方方面面，尤其对于大型网站来说，所采用的技术更是涉及面非常广，从硬件到软件、编程语言、数据库、WebServer、防火墙等各个领域都有了很高的要求，已经不是原来简单的html静态网站所能比拟的。

大型网站，比如门户网站。在面对大量用户访问、高并发请求方面，基本的解决方案集中在这样几个环节：使用高性能的服务器、高性能的数据库、高效率的编程语言、还有高性能的Web容器。但是除了这几个方面，还没法根本解决大型网站面临的高负载和高并发问题。

上面提供的几个解决思路在一定程度上也意味着更大的投入，并且这样的解决思路具备瓶颈，没有很好的扩展性，下面我从低成本、高性能和高扩张性的角度来说说我的一些经验。

1、HTML静态化

其实大家都知道，效率最高、消耗最小的就是纯静态化的html页面，所以我们尽可能使我们的网站上的页面采用静态页面来实现，这个最简单的方法其实也是最有效的方法。但是对于大量内容并且频繁更新的网站，我们无法全部手动去挨个实现，于是出现了我们常见的信息发布系统CMS，像我们常访问的各个门户站点的新闻频道，甚至他们的其他频道，都是通过信息发布系统来管理和实现的，信息发布系统可以实现最简单的信息录入自动生成静态页面，还能具备频道管理、权限管理、自动抓取等功能，对于一个大型网站来说，拥有一套高效、可管理的CMS是必不可少的。

除了门户和信息发布类型的网站，对于交互性要求很高的社区类型网站来说，尽可能的静态化也是提高性能的必要手段，将社区内的帖子、文章进行实时的静态化，有更新的时候再重新静态化也是大量使用的策略，像Mop的大杂烩就是使用了这样的策略，网易社区等也是如此。

同时，html静态化也是某些缓存策略使用的手段，对于系统中频繁使用数据库查询但是内容更新很小的应用，可以考虑使用html静态化来实现，比如论坛中论坛的公用设置信息，这些信息目前的主流论坛都可以进行后台管理并且存储再数据库中，这些信息其实大量被前台程序调用，但是更新频率很小，可以考虑将这部分内容进行后台更新的时候进行静态化，这样避免了大量的数据库访问请求。

2、图片服务器分离

大家知道，对于Web服务器来说，不管是Apache、IIS还是其他容器，图片是最消耗资源的，于是我们有必要将图片与页面进行分离，这是基本上大型网站都会采用的策略，他们都有独立的图片服务器，甚至很多台图片服务器。这样的架构可以降低提供页面访问请求的服务器系统压力，并且可以保证系统不会因为图片问题而崩溃，在应用服务器和图片服务器上，可以进行不同的配置优化，比如apache在配置ContentType的时候可以尽量少支持，尽可能少的LoadModule，保证更高的系统消耗和执行效率。

3、数据库集群和库表散列

大型网站都有复杂的应用，这些应用必须使用数据库，那么在面对大量访问的时候，数据库的瓶颈很快就能显现出来，这时一台数据库将很快无法满足应用，于是我们需要使用数据库集群或者库表散列。

在数据库集群方面，很多数据库都有自己的解决方案，Oracle、Sybase等都有很好的方案，常用的MySQL提供的Master/Slave也是类似的方案，您使用了什么样的DB，就参考相应的解决方案来实施即可。

上面提到的数据库集群由于在架构、成本、扩张性方面都会受到所采用DB类型的限制，于是我们需要从应用程序的角度来考虑改善系统架构，库表散列是常用并且最有效的解决方案。我们在应用程序中安装业务和应用或者功能模块将数据库进行分离，不同的模块对应不同的数据库或者表，再按照一定的策略对某个页面或者功能进行更小的数据库散列，比如用户表，按照用户ID进行表散列，这样就能够低成本的提升系统的性能并且有很好的扩展性。sohu的论坛就是采用了这样的架构，将论坛的用户、设置、帖子等信息进行数据库分离，然后对帖子、用户按照板块和ID进行散列数据库和表，最终可以在配置文件中进行简单的配置便能让系统随时增加一台低成本的数据库进来补充系统性能。

4、缓存

缓存一词搞技术的都接触过，很多地方用到缓存。网站架构和网站开发中的缓存也是非常重要。这里先讲述最基本的两种缓存。高级和分布式的缓存在后面讲述。
架构方面的缓存，对Apache比较熟悉的人都能知道Apache提供了自己的缓存模块，也可以使用外加的Squid模块进行缓存，这两种方式均可以有效的提高Apache的访问响应能力。
网站程序开发方面的缓存，Linux上提供的Memory Cache是常用的缓存接口，可以在web开发中使用，比如用Java开发的时候就可以调用MemoryCache对一些数据进行缓存和通讯共享，一些大型社区使用了这样的架构。另外，在使用web语言开发的时候，各种语言基本都有自己的缓存模块和方法，PHP有Pear的Cache模块，Java就更多了，.net不是很熟悉，相信也肯定有。

5、镜像

镜像是大型网站常采用的提高性能和数据安全性的方式，镜像的技术可以解决不同网络接入商和地域带来的用户访问速度差异，比如ChinaNet和EduNet之间的差异就促使了很多网站在教育网内搭建镜像站点，数据进行定时更新或者实时更新。在镜像的细节技术方面，这里不阐述太深，有很多专业的现成的解决架构和产品可选。也有廉价的通过软件实现的思路，比如Linux上的rsync等工具。

6、负载均衡

负载均衡将是大型网站解决高负荷访问和大量并发请求采用的终极解决办法。
负载均衡技术发展了多年，有很多专业的服务提供商和产品可以选择，我个人接触过一些解决方法，其中有两个架构可以给大家做参考。

7、硬件四层交换
第四层交换使用第三层和第四层信息包的报头信息，根据应用区间识别业务流，将整个区间段的业务流分配到合适的应用服务器进行处理。　第四层交换功能就象是虚IP，指向物理服务器。它传输的业务服从的协议多种多样，有HTTP、FTP、NFS、Telnet或其他协议。这些业务在物理服务器基础上，需要复杂的载量平衡算法。在IP世界，业务类型由终端TCP或UDP端口地址来决定，在第四层交换中的应用区间则由源端和终端IP地址、TCP和UDP端口共同决定。
在硬件四层交换产品领域，有一些知名的产品可以选择，比如Alteon、F5等，这些产品很昂贵，但是物有所值，能够提供非常优秀的性能和很灵活的管理能力。Yahoo中国当初接近2000台服务器使用了三四台Alteon就搞定了。

软件四层交换

大家知道了硬件四层交换机的原理后，基于OSI模型来实现的软件四层交换也就应运而生，这样的解决方案实现的原理一致，不过性能稍差。但是满足一定量的压力还是游刃有余的，有人说软件实现方式其实更灵活，处理能力完全看你配置的熟悉能力。
软件四层交换我们可以使用Linux上常用的LVS来解决，LVS就是Linux Virtual Server，他提供了基于心跳线heartbeat的实时灾难应对解决方案，提高系统的鲁棒性，同时可供了灵活的虚拟VIP配置和管理功能，可以同时满足多种应用需求，这对于分布式的系统来说必不可少。

一个典型的使用负载均衡的策略就是，在软件或者硬件四层交换的基础上搭建squid集群，这种思路在很多大型网站包括搜索引擎上被采用，这样的架构低成本、高性能还有很强的扩张性，随时往架构里面增减节点都非常容易。这样的架构我准备空了专门详细整理一下和大家探讨。

对于大型网站来说，前面提到的每个方法可能都会被同时使用到，我这里介绍得比较浅显，具体实现过程中很多细节还需要大家慢慢熟悉和体会，有时一个很小的squid参数或者apache参数设置，对于系统性能的影响就会很大，希望大家一起讨论，达到抛砖引玉之效。

Cancel 方法
     使用方法如下
     Object.Cancel
     说明：取消执行挂起的异步 Execute 或 Open 方法的调用。
Close  方法
     使用方法如下
     Object.Close
     ：关闭对像
CopyTo 方法
     使用方法如下
     Object.CopyTo(destStream,[CharNumber])
     说明：将对像的数据复制，destStream指向要复制的对像，CharNumber为可选参数，指要复制的字节数，不选为全部复制。
Flush  方法
     使用方法如下
     Object.Flush
     说明：
LoadFromFile 方法
     使用方法如下
     Object.LoadFromFile(FileName)
     说明:将FileName指定的文件装入对像中,参数FileName为指定的用户名。
Open  方法
      使用方法如下
      Object.Open(Source,[Mode],[Options],[UserName],[Password])
      说明：打开对像，
      参数说明：Sourece 对像源，可不指定
  Mode 指定打开模式，可不指定，可选参数如下：
    adModeRead  =1
    adModeReadWrite =3
    adModeRecursive =4194304
    adModeShareDenyNone =16
    adModeShareDenyRead =4
    adModeShareDenyWrite =8
    adModeShareExclusive =12
    adModeUnknown  =0
    adModeWrite  =2
  Options 指定打开的选项，可不指定，可选参数如下：
    adOpenStreamAsync =1
    adOpenStreamFromRecord =4
    adOpenStreamUnspecified=-1
  UserName 指定用户名，可不指定。
  Password 指定用户名的密码
Read  方法
 使用方法如下：
 Object.Read(Numbytes)
 说明：读取指定长度的二进制内容。
 参数说明：Numbytes指定的要读取的找度，不指定则读取全部。

ReadText  方法
 使用方法如下：
 Object.ReadText(NumChars)
 说明：读取指定长度的文本
 参数说明：NumChars指定的要读取的找度，不指定则读取全部。

SaveToFile  方法
 使用方法如下：
 Object.SaveToFile(FileName,[Options])
 说明：将对像的内容写到FileName指定的文件中
 参数说明：FileName指定的文件
    Options 存取的选项，可不指定，可选参数如下：
      adSaveCreateNotExist  =1
      adSaveCreateOverWrite =2

SetEOS  方法
 使用方法如下：
 Object.setEOS()
 说明：
SkipLine  方法
 使用方法如下：
 Object.SkipLine()
 说明：
Write  方法
 使用方法如下：
 Object.Write(Buffer)
 说明：将指定的数据装入对像中。
 参数说明：Buffer 为指定的要写入的内容。
WriteText  方法
 使用方法如下：
 Object.Write(Data,[Options])
 说明：将指定的文本数据装入对像中。
 参数说明：Data 为指定的要写入的内容。
           Options 写入的选项，可不指定，可选参数如下：
    adWriteChar  =0
    adWriteLine  =1

 
有下列属性：
 Charset
 EOS 返回对像内数据是否为空。

 LineSeparator 指定换行格式，可选参数有
  adCR   =13
  adCRLF   =-1
  adLF   =10
 
 Mode 指定或返加模式。
 
 Position 指定或返加对像内数据的当前指针。
 
 Size 返回对像内数据的大小。
 
 State 返加对像状态是否打开。
 
 Type 指定或返回的数据类型，可选参数为：
  adTypeBinary  =1
  adTypeText  =2

 
 
 
%>

端口是计算机通讯的协议,通常端口有两种分法:
一种是可分为3大类：
1 公认端口（Well Known Ports）：从0到1023，它们紧密绑定于一些服务。通常这些端口的通讯明确表明了某种服务的协议。例如：80端口实际上总是HTTP通讯。
2 注册端口（Registered Ports）：从1024到49151。它们松散地绑定于一些服务。也就是说有许多服务绑定于这些端口，这些端口同样用于许多其它目的。例如：许多系统处理动态端口从1024左右开始。
3 动态和/或私有端口（Dynamic and/or Private Ports）：从49152到65535。理论上，不应为服务分配这些端口。实际上，机器通常从1024起分配动态端口。但也有例外：SUN的RPC端口从32768开始按协议类型划分，
另一种是可以分为TCP、UDP、IP和ICMP（Internet控制消息协议）等端口。下面主要介绍TCP和UDP端口
（1）TCP端口
TCP端口，即传输控制协议端口，需要在客户端和服务器之间建立连接，这样可以提供可靠的数据传输。常见的包括FTP服务的21端口，Telnet服务的23端口，SMTP服务的25端口，以及HTTP服务的80端口等等。
（2）UDP端口
UDP端口，即用户数据包协议端口，无需在客户端和服务器之间建立连接，安全性得不到保障。常见的有DNS服务的53端口，SNMP（简单网络管理协议）服务的161端口，QQ使用的8000和4000端口等等。
很多的病毒和黑客朋友的入侵就是通过端口进入的,比如蠕虫病毒,冰河,,,,都是通过开放相关的端口达到其目的的
下面介绍端口的一些信息,由于太多了,也是太长了,所以鄙人就压缩了一个说明,大家下载就可以了(晕,谁说我是懒蛋了.我听见了,就是你,,,,你,,,)
在Windows 2000/XP/Server 2003中要查看端口，可以使用Netstat命令：
依次点击“开始→运行”，键入“cmd”并回车，打开命令提示符窗口。在命令提示符状态下键入“netstat -a -n”，按下回车键后就可以看到以数字形式显示的TCP和UDP连接的端口号及状态。
小知识：Netstat命令用法
命令格式：Netstat -a -e -n -o -s
-a 表示显示所有活动的TCP连接以及计算机监听的TCP和UDP端口。
-e 表示显示以太网发送和接收的字节数、数据包数等。
-n 表示只以数字形式显示所有活动的TCP连接的地址和端口号。
-o 表示显示活动的TCP连接并包括每个连接的进程ID（PID）。
-s 表示按协议显示各种连接的统计信息，包括端口号。

计算机在初装之后很多的端口是自动打开的,可是很多的端口我们又是无用的,更有些是不安全的端口开放着,寒(你还讲不讲啊.晕,这是谁说的,我不是在讲吗?我闪,臭鸡蛋啊.暴寒)
据统计最容易受到扫描的十个端口是
135和445      windows rpc    最容易感染最新的windows病毒或蠕虫病毒
57   email   黑客利用工具对这个端口进行扫描，寻找微软web服务器的弱点
1080，3128，6588，8080        代理服务            黑客进行扫描的端口
25     smtp服务        黑客通过这个端口探测smtp服务器并发送垃圾邮件
10000＋  未注册的服务   黑客攻击这些端口通常会返回流量，原因可能是计算机或防火墙配置不当，或者黑客模拟返回流量进行攻击
161   snmp服务  黑客成功获得snmp可能会完全控制路由器、防火墙.交换机
1433    微软sql服务     表明计算机可能已经感染了sql slammer蠕虫病毒
53       dns                           表明防火墙或lan配置可能有问题
67      引导程序                                表明设备可能配置不当
2847   诺顿反病毒服务                         表明计算机存在设置问题
我们对端口也了解了一些了,下面介绍端口如何关闭,这也是大家想知道的(又有人扔砖头,表扔了,偶闪,简略,,,,)
关闭端口可以说有两样的,一种是通过老温的设置直接关,另一种就需要自己动手了.
下面讲正题,睡着的朋友醒醒了,上菜了!!!
21端口
端口说明：21端口主要用于FTP（File Transfer Protocol，文件传输协议）服务，FTP服务主要是为了在两台计算机之间实现文件的上传与下载，一台计算机作为FTP客户端，另一台计算机作为FTP服务器，可以采用匿名（anonymous）登录和授权用户名与密码登录两种方式登录FTP服务器。目前，通过FTP服务来实现文件的传输是互联网上上传、下载文件最主要的方法。另外，还有一个20端口是用于FTP数据传输的默认端口号。
在Windows中可以通过Internet信息服务（IIS）来提供FTP连接和管理，也可以单独安装FTP服务器软件来实现FTP功能，比如常见的FTP Serv-U。
操作建议：因为有的FTP服务器可以通过匿名登录，所以常常会被黑客利用。另外，21端口还会被一些木马利用，比如Blade Runner、FTP Trojan、Doly Trojan、WebEx等等。
如果不架设FTP服务器，建议关闭21端口。可以到控制面板里的添加删除程序的添加组件的IIS服务里的FTP的前面去掉勾
23端口
端口说明：23端口主要用于Telnet（远程登录）服务，是Internet上普遍采用的登录和仿真程序。同样需要设置客户端和服务器端，开启Telnet服务的客户端就可以登录远程Telnet服务器，采用授权用户名和密码登录。登录之后，允许用户使用命令提示符窗口进行相应的操作。在Windows中可以在命令提示符窗口中，键入“Telnet”命令来使用Telnet远程登录。
操作建议：利用Telnet服务，黑客可以搜索远程登录Unix的服务，扫描操作系统的类型。而且在Windows 2000中Telnet服务存在多个严重的漏洞，比如提升权限、拒绝服务等，可以让远程服务器崩溃。Telnet服务的23端口也是TTS（Tiny Telnet Server）木马的缺省端口。
所以，建议关闭23端口。
win2000server关闭的方法
开始-->程序-->管理工具-->服务里找到Terminal Services服务项， 选中属性选项将启动类型改成手动，并停止该服务。
win2000pro 关闭的方法
开始-->设置-->控制面板-->管理工具-->服务里找到Terminal Services服务项，选中属性选项将启动类型改成手动，并停止该服务。
winxp关闭的方法：
在我的电脑上点右键选属性-->远程，将里面的远程协助和远程桌面两个选项框里的勾去掉。

25端口
端口说明：25端口为SMTP（Simple Mail Transfer Protocol，简单邮件传输协议）服务器所开放，主要用于发送邮件，如今绝大多数邮件服务器都使用该协议。比如我们在使用电子邮件客户端程序的时候，在创建账户时会要求输入SMTP服务器地址，该服务器地址默认情况下使用的就是25端口。
端口漏洞：
1. 利用25端口，黑客可以寻找SMTP服务器，用来转发垃圾邮件。
2. 25端口被很多木马程序所开放，比如Ajan、Antigen、Email Password Sender、ProMail、trojan、Tapiras、Terminator、WinPC、WinSpy等等。拿WinSpy来说，通过开放25端口，可以监视计算机正在运行的所有窗口和模块。
操作建议：如果不是要架设SMTP邮件服务器，可以将该端口关闭。同关闭21端口一样的路径.
53端口
端口说明：53端口为DNS（Domain Name Server，域名服务器）服务器所开放，主要用于域名解析，DNS服务在NT系统中使用的最为广泛。通过DNS服务器可以实现域名与IP地址之间的转换，只要记住域名就可以快速访问网站。
端口漏洞：如果开放DNS服务，黑客可以通过分析DNS服务器而直接获取Web服务器等主机的IP地址，再利用53端口突破某些不稳定的防火墙，从而实施攻击。近日，美国一家公司也公布了10个最易遭黑客攻击的漏洞，其中第一位的就是DNS服务器的BIND漏洞。
操作建议：如果当前的计算机不是用于提供域名解析服务，建议关闭该端口。一般只有NT系统需要注意.
67.68端口
端口说明：67、68端口分别是为Bootp服务的Bootstrap Protocol Server（引导程序协议服务端）和Bootstrap Protocol Client（引导程序协议客户端）开放的端口。Bootp服务是一种产生于早期Unix的远程启动协议，我们现在经常用到的DHCP服务就是从Bootp服务扩展而来的。通过Bootp服务可以为局域网中的计算机动态分配IP地址，而不需要每个用户去设置静态IP地址。
端口漏洞：如果开放Bootp服务，常常会被黑客利用分配的一个IP地址作为局部路由器通过“中间人”（man-in-middle）方式进行攻击。
操作建议：建议关闭该端口。
69端口
端口说明：69端口是为TFTP（Trival File Tranfer Protocol，次要文件传输协议）服务开放的，TFTP是Cisco公司开发的一个简单文件传输协议，类似于FTP。不过与FTP相比，TFTP不具有复杂的交互存取接口和认证控制，该服务适用于不需要复杂交换环境的客户端和服务器之间进行数据传输。
端口漏洞：很多服务器和Bootp服务一起提供TFTP服务，主要用于从系统下载启动代码。可是，因为TFTP服务可以在系统中写入文件，而且黑客还可以利用TFTP的错误配置来从系统获取任何文件。
操作建议：建议关闭该端口。一般用户不会有问题,只有服务器和提供传输协议的主机.
79端口
端口说明：79端口是为Finger服务开放的，主要用于查询远程主机在线用户、操作系统类型以及是否缓冲区溢出等用户的详细信息。比如要显示远程计算www.abc.com上的user01用户的信息，可以在命令行中键入“finger user01www.abc.com”即可。
端口漏洞：一般黑客要攻击对方的计算机，都是通过相应的端口扫描工具来获得相关信息，比如使用“流光”就可以利用79端口来扫描远程计算机操作系统版本，获得用户信息，还能探测已知的缓冲区溢出错误。这样，就容易遭遇到黑客的攻击。而且，79端口还被Firehotcker木马作为默认的端口。
操作建议：建议关闭该端口。
80端口
端口说明：80端口是为HTTP（HyperText Transport Protocol，超文本传输协议）开放的，这是上网冲浪使用最多的协议，主要用于在WWW（World Wide Web，万维网）服务上传输信息的协议。我们可以通过HTTP地址加“:80”（即常说的“网址”）来访问网站的，比如http://www.cce.com.cn:80，因为浏览网页服务默认的端口号是80，所以只要输入网址，不用输入“:80”。
端口漏洞：有些木马程序可以利用80端口来攻击计算机的，比如Executor、RingZero等。
操作建议：为了能正常上网冲浪，我们必须开启80端口。
99端口
端口说明：99端口是用于一个名为“Metagram Relay”（亚对策延时）的服务，该服务比较少见，一般是用不到的。
端口漏洞：虽然“Metagram Relay”服务不常用，可是Hidden Port、NCx99等木马程序会利用该端口，比如在Windows 2000中，NCx99可以把cmd．exe程序绑定到99端口，这样用Telnet就可以连接到服务器，随意添加用户、更改权限。
操作建议：建议关闭该端口。一般用户不会遭到袭击.
109.110端口
端口说明：109端口是为POP2（Post Office Protocol Version 2，邮局协议2）服务开放的，110端口是为POP3（邮件协议3）服务开放的，POP2、POP3都是主要用于接收邮件的，目前POP3使用的比较多，许多服务器都同时支持POP2和POP3。客户端可以使用POP3协议来访问服务端的邮件服务，如今ISP的绝大多数邮件服务器都是使用该协议。在使用电子邮件客户端程序的时候，会要求输入POP3服务器地址，默认情况下使用的就是110端口
端口漏洞：POP2、POP3在提供邮件接收服务的同时，也出现了不少的漏洞。单单POP3服务在用户名和密码交换缓冲区溢出的漏洞就不少于20个，比如WebEasyMail POP3 Server合法用户名信息泄露漏洞，通过该漏洞远程攻击者可以验证用户账户的存在。另外，110端口也被ProMail trojan等木马程序所利用，通过110端口可以窃取POP账号用户名和密码。
操作建议：如果是执行邮件服务器，可以打开该端口。如果想关闭,只要不安装邮件服务即可.直接到网站看邮件.
111端口
端口说明：111端口是SUN公司的RPC（Remote Procedure Call，远程过程调用）服务所开放的端口，主要用于分布式系统中不同计算机的内部进程通信，RPC在多种网络服务中都是很重要的组件。常见的RPC服务有rpc．mountd、NFS、rpc．statd、rpc．csmd、rpc．ttybd、amd等等。在Microsoft的Windows中，同样也有RPC服务。
端口漏洞：SUN RPC有一个比较大漏洞，就是在多个RPC服务时xdr＿array函数存在远程缓冲溢出漏洞。不做服务器就别担心
119端口
端口说明：119端口是为“Network News Transfer Protocol”（网络新闻组传输协议，简称NNTP）开放的，主要用于新闻组的传输，当查找USENET服务器的时候会使用该端口。
端口漏洞：著名的Happy99蠕虫病毒默认开放的就是119端口，如果中了该病毒会不断发送电子邮件进行传播，并造成网络的堵塞。
操作建议：如果是经常使用USENET新闻组，就要注意不定期关闭该端口。
113端口：
端口说明：113端口主要用于Windows的“Authentication Service”（验证服务）。
端口漏洞:多为木马所利用
关闭方式:这是一个基于irc聊天室控制的木马程序。
1.首先使用netstat -an命令确定自己的系统上是否开放了113端口
2.使用fport命令察看出是哪个程序在监听113端口
fport工具下载,例如我们用fport看到如下结果：Pid Process Port Proto Path
392 svchost -> 113 TCP C:\WINNT\system32\vhos.exe
我们就可以确定在监听在113端口的木马程序是vhos.exe而该程序所在的路径为
c:\winnt\system32下。
3.确定了木马程序名（就是监听113端口的程序）后，在任务管理器中查找到该进程，并使用管理器结束该进程。
4.在开始-运行中键入regedit运行注册表管理程序，在注册表里查找刚才找到那个程序，并将相关的键值全部删掉。
5.到木马程序所在的目录下删除该木马程序。（通常木马还会包括其他一些程序，如rscan.exe、psexec.exe、ipcpass.dic、ipcscan.txt等，根据
木马程序不同，文件也有所不同，你可以通过察看程序的生成和修改的时间来确定与监听113端口的木马程序有关的其他程序）
6.重新启动机器。
关闭135端口
端口说明:用来文件传输
端口漏洞:使用Windows 2000或者XP的用户今天都被那个利用RPC服务漏洞的蠕虫病毒折腾的够戗吧，该病毒主要攻击手段就是扫描计算机的135端口来进行攻击，现在教大家一种手动关闭135端口的方法，虽然不能完全解决问题，但也是能解一时的燃眉之急。更新微软的补丁还是必要的。
关闭方法:用一款16为编辑软件（推荐UltraEdit）打开你系统x:winntsystem32或者x:windowssystem32下的rpcss.dll文件。　查找31 00 33 00 35替换为30 00 30 00 30查找3100330035，将其替换为3000300030，意思就是将135端口改为000。
　　至此修改的任务已经完成，下面将面临一个保存的问题。因为该文件正在运行，在Windows环境下是不能覆盖的。如果你是FAT32文件系统，那么直接引导进DOS环境，将修改好的文件覆盖掉原来的文件。
　　如果是NTFS格式，相对就麻烦一些。进安全模式。然后启动pulist列出进程，然后用pskill这个程序（不少黑客网站有的下）杀掉svchost.exe程序。然后在COPY过去。
另一种方法是第一步，点击“开始”菜单设置控制面板管理工具，双击打开“本地安全策略”，选中“安全策略，在本地计算机”，在右边窗格的空白位置右击鼠标，弹出快捷菜单，选择“创建IP安全策略”于是弹出一个向导。在向导中点击“下一步”按钮，为新的安全策略命名；再按“下一步”，则显示“安全通信请求”画面，在画面上把“激活默认相应规则”左边的钩去掉，点击“完成”按钮就创建了一个新的安全策略。
第二步，右击该ip安全策略，在“属性”对话框中，把“使用添加向导”左边的钩去掉，然后单击“添加”按钮添加新的规则，随后弹出“新规则属性”对话框，在画面上点击“添加”按钮，弹出筛选器列表窗口；在列表中，首先把“使用添加向导”左边的钩去掉，然后再点击右边的“添加”按钮添加新的筛选器。
第三步，进入“筛选器属性”对话框，首先看到的是寻址，源地址选“任何ip地址”，目标地址选“我的ip地址”；点击“协议”选项卡，在“选择协议类型”的下拉列表中选择"tcp"然后在“到此端口”下的文本框中输入"135“点击“确定”按钮，这样就添加了一个屏蔽端口的筛选器，它可以防止外界通过端口连上你的电脑。点击“确定”后回到筛选器列表的对话框，可以看到已经添加了一条策略，重复以上步骤继续添加端口135端口，为它们建立相应的筛选器。
第四步，在“新规则属性”对话框中，选择“新筛选器列表”，然后点击其左边的圆圈上加一个点，表示已经激活，再点关闭。最后点击“筛选器操作”选项卡。在“筛选器操作”选项卡中，把“使用添加向导”左边的钩去掉，点击“添加”按钮，添加“阻止”操作：在“新筛选器操作属性”的“安全措施”选项卡中，选择“阻止”，然后点击“确定”按钮。
第五步最后回到“新>安全策略属性”对话框，在“新的筛选器列表”左边打钩，按“确定”按钮关闭对话框。在“本地安全策略”窗口，用鼠标右击新添加的安全策略，然后选择“指派”。
用上面的方法同样可以关闭137.139.445.593.3389.1025.2745.3127.6129端口
然后重新启动，使用netstat -an命令，可以看到Windows 2000下已经没有135端口了。XP系统下还有TCP的135，但是UDP里面已经没有135端口了。
137端口
端口说明：137端口主要用于“NetBIOS Name Service”（NetBIOS名称服务），属于UDP端口，使用者只需要向局域网或互联网上的某台计算机的137端口发送一个请求，就可以获取该计算机的名称、注册用户名，以及是否安装主域控制器、IIS是否正在运行等信息。
端口漏洞：因为是UDP端口，对于攻击者来说，通过发送请求很容易就获取目标计算机的相关信息，有些信息是直接可以被利用，并分析漏洞的，比如IIS服务。另外，通过捕获正在利用137端口进行通信的信息包，还可能得到目标计算机的启动和关闭的时间，这样就可以利用专门的工具来攻击。
操作建议：建议关闭该端口。
139端口
端口说明：139端口是为“NetBIOS Session Service”提供的，主要用于提供Windows文件和打印机共享以及Unix中的Samba服务。在Windows中要在局域网中进行文件的共享，必须使用该服务。比如在Windows 98中，可以打开“控制面板”，双击“网络”图标，在“配置”选项卡中单击“文件及打印共享”按钮选中相应的设置就可以安装启用该服务；在Windows 2000/XP中，可以打开“控制面板”，双击“网络连接”图标，打开本地连接属性；接着，在属性窗口的“常规”选项卡中选择“Internet协议（TCP/IP）”，单击“属性”按钮；然后在打开的窗口中，单击“高级”按钮；在“高级TCP/IP设置”窗口中选择“WINS”选项卡，在“NetBIOS设置”区域中启用TCP/IP上的NetBIOS。
端口漏洞：开启139端口虽然可以提供共享服务，但是常常被攻击者所利用进行攻击，比如使用流光、SuperScan等端口扫描工具，可以扫描目标计算机的139端口，如果发现有漏洞，可以试图获取用户名和密码，这是非常危险的。
操作建议：如果不需要提供文件和打印机共享，建议关闭该端口。
143端口
端口说明：143端口主要是用于“Internet Message Access Protocol”v2（Internet消息访问协议，简称IMAP），和POP3一样，是用于电子邮件的接收的协议。通过IMAP协议我们可以在不接收邮件的情况下，知道信件的内容，方便管理服务器中的电子邮件。不过，相对于POP3协议要负责一些。如今，大部分主流的电子邮件客户端软件都支持该协议。
端口漏洞：同POP3协议的110端口一样，IMAP使用的143端口也存在缓冲区溢出漏洞，通过该漏洞可以获取用户名和密码。另外，还有一种名为“admv0rm”的Linux蠕虫病毒会利用该端口进行繁殖。
操作建议：如果不是使用IMAP服务器操作，应该将该端口关闭。没有安装邮件服务,不必担心.
161端口
端口说明：161端口是用于“Simple Network Management Protocol”（简单网络管理协议，简称SNMP），该协议主要用于管理TCP/IP网络中的网络协议，在Windows中通过SNMP服务可以提供关于TCP/IP网络上主机以及各种网络设备的状态信息。目前，几乎所有的网络设备厂商都实现对SNMP的支持。
在Windows 2000/XP中要安装SNMP服务，我们首先可以打开“Windows组件向导”，在“组件”中选择“管理和监视工具”，单击“详细信息”按钮就可以看到“简单网络管理协议（SNMP）”，选中该组件；然后，单击“下一步”就可以进行安装。
端口漏洞：因为通过SNMP可以获得网络中各种设备的状态信息，还能用于对网络设备的控制，所以黑客可以通过SNMP漏洞来完全控制网络。
操作建议：建议关闭该端口。用关闭21端口的方法关闭
443端口
端口说明：443端口即网页浏览端口，主要是用于HTTPS服务，是提供加密和通过安全端口传输的另一种HTTP。在一些对安全性要求较高的网站，比如银行、证券、购物等，都采用HTTPS服务，这样在这些网站上的交换信息其他人都无法看到，保证了交易的安全性。网页的地址以https://开始，而不是常见的http://。
端口漏洞：HTTPS服务一般是通过SSL（安全套接字层）来保证安全性的，但是SSL漏洞可能会受到黑客的攻击，比如可以黑掉在线银行系统，盗取信用卡账号等。
操作建议：建议开启该端口，用于安全性网页的访问。另外，为了防止黑客的攻击，应该及时安装微软针对SSL漏洞发布的最新安全补丁。
关闭445端口
端口说明:用来传输文件和NET远程管理
端口漏洞:黑客喜欢扫描扫描的漏洞,也是震荡病毒扫描的.
关闭445端口的方法有很多，但是我比较推荐以下这种方法：
修改注册表，添加一个键值
Hive: HKEY_LOCAL_MACHINE
Key: System\CurrentControlSet\Services\NetBT\Parameters
Name: SMBDeviceEnabled
Type: REG_DWORD
value: 0
554端口
端口说明：554端口默认情况下用于“Real Time Streaming Protocol”（实时流协议，简称RTSP），该协议是由RealNetworks和Netscape共同提出的，通过RTSP协议可以借助于Internet将流媒体文件传送到RealPlayer中播放，并能有效地、最大限度地利用有限的网络带宽，传输的流媒体文件一般是Real服务器发布的，包括有.rm、.ram。如今，很多的下载软件都支持RTSP协议，比如FlashGet、影音传送带等等。
端口漏洞：目前，RTSP协议所发现的漏洞主要就是RealNetworks早期发布的Helix Universal Server存在缓冲区溢出漏洞，相对来说，使用的554端口是安全的。
操作建议：为了能欣赏并下载到RTSP协议的流媒体文件，建议开启554端口。
1024端口
端口说明：1024端口一般不固定分配给某个服务，在英文中的解释是“Reserved”（保留）。之前，我们曾经提到过动态端口的范围是从1024～65535，而1024正是动态端口的开始。该端口一般分配给第一个向系统发出申请的服务，在关闭服务的时候，就会释放1024端口，等待其他服务的调用。
端口漏洞：著名的YAI木马病毒默认使用的就是1024端口，通过该木马可以远程控制目标计算机，获取计算机的屏幕图像、记录键盘事件、获取密码等，后果是比较严重的。
操作建议：一般的杀毒软件都可以方便地进行YAI病毒的查杀，在确认无YAI病毒的情况下建议开启该端口。所以还是装杀毒更安心些.
休息一下,广告时间,马上回来.如果您的电脑遭受间谍软件的侵扰,遭受恶意代码的侵袭,生活怎能舒适?唉!!!我来了,3721反间谍专家,解决你遇到的种种捆饶,还等什么,免费下载,清除间谍,免除恶意代码.联系电话,,,,,,(没有)联系地址,,,,(秘密)晕,那如何找到,不用愁,直接登陆网站即可找到http://www.3721.com 如果还是有问题,可以来这里,3721助手论坛.成就你网络狂飙的梦想http://zsbbs.3721.com广告回来,继续学习.
1029端口和20168端口：
端口说明:这两个端口是lovgate蠕虫所开放的后门端口。
蠕虫相关信息请参见：Lovgate蠕虫：http://it.rising.com.cn/newSite/ ... rus/Antivirus_Base/
TopicExplorerPagePackage/lovgate.htm
你可以下载专杀工具：http://it.rising.com.cn/service/ ... ovGate_download.htm
使用方法：下载后直接运行，在该程序运行结束后重起机器后再运行一遍该程序。
建议关闭.要不装杀毒软件
1080端口
端口说明：1080端口是Socks代理服务使用的端口，大家平时上网使用的WWW服务使用的是HTTP协议的代理服务。而Socks代理服务不同于HTTP代理服务，它是以通道方式穿越防火墙，可以让防火墙后面的用户通过一个IP地址访问Internet。Socks代理服务经常被使用在局域网中，比如限制了QQ，那么就可以打开QQ参数设置窗口，选择“网络设置”，在其中设置Socks代理服务。另外，还可以通过安装Socks代理软件来使用QQ，比如Socks2HTTP、SocksCap32等。
端口漏洞：著名的代理服务器软件WinGate默认的端口就是1080，通过该端口来实现局域网内计算机的共享上网。不过，如Worm.Bugbear.B（怪物II）、Worm.Novarg.B（SCO炸弹变种B）等蠕虫病毒也会在本地系统监听1080端口，给计算机的安全带来不利。
操作建议：除了经常使用WinGate来共享上网外，那么其他的建议关闭该端口。
1755端口
端口说明：1755端口默认情况下用于“Microsoft Media Server”（微软媒体服务器，简称MMS），该协议是由微软发布的流媒体协议，通过MMS协议可以在Internet上实现Windows Media服务器中流媒体文件的传送与播放。这些文件包括.asf、.wmv等，可以使用Windows Media Player等媒体播放软件来实时播放。其中，具体来讲，1755端口又可以分为TCP和UDP的MMS协议，分别是MMST和MMSU，一般采用TCP的MMS协议，即MMST。目前，流媒体和普通下载软件大部分都支持MMS协议。
端口漏洞：目前从微软官方和用户使用MMS协议传输、播放流媒体文件来看，并没有什么特别明显的漏洞，主要一个就是MMS协议与防火墙和NAT（网络地址转换）之间存在的兼容性问题。
操作建议：为了能实时播放、下载到MMS协议的流媒体文件，建议开启该端口。记得更新这个老温就可以了.
3389端口的关闭：
首先说明3389端口是windows的远程管理终端所开的端口，它并不是一个木马程序，请先确定该服务是否是你自己开放的。
win2000关闭的方法：
win2000server 开始-->程序-->管理工具-->服务里找到Terminal Services服务项，
选中属性选项将启动类型改成手动，并停止该服务。
win2000pro 开始-->设置-->控制面板-->管理工具-->服务里找到Terminal Services服务项，选中属性选项将启动类型改成手动，并停止该服务。
winxp关闭的方法：在我的电脑上点右键选属性-->远程，将里面的远程协助和远程桌面两个选项框里的勾去掉。
如果不是必须的，请关闭该服务。
4899端口的关闭：
首先说明4899端口是一个远程控制软件（remote administrator)服务端监听的端口，他不能算是一个木马程序，但是具有远程控制功能，通常杀毒软件是无法查出它来的.
关闭4899端口：
请在开始-->运行中输入cmd(98以下为command),然后cd C:\winnt\system32(你的系统安装目录），输入r_server.exe /stop后按回车。
然后在输入r_server /uninstall /silence
到C:\winnt\system32(系统目录）下删除r_server.exe admdll.dll radbrv.dll三个文件
请先确定该服务是否是你自己开放并且是必需的。如果不是请关闭它。

4000端口
端口说明：4000端口是用于大家经常使用的QQ聊天工具的，再细说就是为QQ客户端开放的端口，QQ服务端使用的端口是8000。通过4000端口，QQ客户端程序可以向QQ服务器发送信息，实现身份验证、消息转发等，QQ用户之间发送的消息默认情况下都是通过该端口传输的。4000和8000端口都不属于TCP协议，而是属于UDP协议。
端口漏洞：因为4000端口属于UDP端口，虽然可以直接传送消息，但是也存在着各种漏洞，比如Worm_Witty.A（维迪）蠕虫病毒就是利用4000端口向随机IP发送病毒，并且伪装成ICQ数据包，造成的后果就是向硬盘中写入随机数据。另外，Trojan.SkyDance特洛伊木马病毒也是利用该端口的。
操作建议：为了用QQ聊天，4000大门敞开也无妨。不过注意不要随意接受别人给的资料,图片啊,尤其是什么美女图片的诱惑(晕,随说要介绍美女给我,我要.嘎嘎………)
5554端口
端口说明：在今年4月30日就报道出现了一种针对微软lsass服务的新蠕虫病毒——震荡波（Worm.Sasser），该病毒可以利用TCP 5554端口开启一个FTP服务，主要被用于病毒的传播。
端口漏洞：在感染“震荡波”病毒后会通过5554端口向其他感染的计算机传送蠕虫病毒，并尝试连接TCP 445端口并发送攻击，中毒的计算机会出现系统反复重启、运行缓慢、无法正常上网等现象，甚至会被黑客利用夺取系统的控制权限。
操作建议：为了防止感染“震荡波”病毒，建议关闭5554端口。下个补丁,搞定.到处都是,我就不说了.
5632端口
端口说明：5632端口是被大家所熟悉的远程控制软件pcAnywhere所开启的端口，分TCP和UDP两种，通过该端口可以实现在本地计算机上控制远程计算机，查看远程计算机屏幕，进行文件传输，实现文件同步传输。在安装了pcAnwhere被控端计算机启动后，pcAnywhere主控端程序会自动扫描该端口。
端口漏洞：通过5632端口主控端计算机可以控制远程计算机，进行各种操作，可能会被不法分子所利用盗取账号，盗取重要数据，进行各种破坏。
操作建议：为了避免通过5632端口进行扫描并远程控制计算机，建议关闭该端口。
5800，5900端口：
多位黑客或是蠕虫病毒所导演
1.首先使用fport命令确定出监听在5800和5900端口的程序所在位置（通常会是c:\winnt\fonts\explorer.exe)
2.在任务管理器中杀掉相关的进程（注意有一个是系统本身正常的，请注意！如果错杀可以重新
运行c:\winnt\explorer.exe)
3.删除C:\winnt\fonts\中的explorer.exe程序。
4.删除注册表HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run中的
Explorer项。
5.重新启动机器
6129端口的关闭：

端口说明:6129端口是一个远程控制软件（dameware nt utilities)服务端监听得端口，他不是一个木马程序，但是具有远程控制功能，通常的杀毒软件是无法查出它来的。请先确定该服务是否是你自己安装并且是必需的，如果不是请关闭。

关闭6129端口：
选择开始-->设置-->控制面板-->管理工具-->服务
找到DameWare Mini Remote Control项点击右键选择属性选项，将启动类型改成禁用后停止该服务。
到c:\winnt\system32(系统目录）下将DWRCS.EXE程序删除。
到注册表内将HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWMRCS表项删除。

8080端口
端口说明：8080端口同80端口，是被用于WWW代理服务的，可以实现网页浏览，经常在访问某个网站或使用代理服务器的时候，会加上“:8080”端口号，比如http://www.cce.com.cn:8080。
端口漏洞：8080端口可以被各种病毒程序所利用，比如Brown Orifice（BrO）特洛伊木马病毒可以利用8080端口完全遥控被感染的计算机。另外，RemoConChubo，RingZero木马也可以利用该端口进行攻击。
操作建议：一般我们是使用80端口进行网页浏览的，为了避免病毒的攻击，我们可以关闭该端口。
45576端口：

端口说明:这是一个代理软件的控制端口，请先确定该代理软件并非你自己安装（代理软件会给你的机器带来额外的流量）如果没有被安装,也就不必担心了.
关闭代理软件：
1.请先使用fport察看出该代理软件所在的位置
2.在服务中关闭该服务（通常为SkSocks），将该服务关掉。
3.到该程序所在目录下将该程序删除。
终于完成了,同志们.我的饭还没有吃呢.谁请客啊.
最后要说的是安装杀毒,安装防火墙.注意不要随意下载,不要随意接受他人的资料,不要随便看邮件,用杀毒先扫.不说了.最后一个声明吧.此文章是本人编写,很多资料来源于网络,有些本人并未执行过.只是参照一些资料,希望慎重操作.尤其是涉及到注册表的,切记.

(1)21端口:
端口说明: ftp 最常见的攻击者用于寻找打开“anonymous”的ftp服务器的方法。
这些服务器带有可读写的目录。Hackers或Crackers 利用这些服务器
作为传送warez (私有程序) 和pr0n(故意拼错词而避免被搜索引擎分
类)的节点。

关闭方法:控制面板--管理工具--服务
关闭FTP Publishing Service,它提供的服务是通过 Internet 信息服务
的管理单元提供 FTP 连接和管理。

(2)23端口
端口说明:Telnet 入侵者在搜索远程登陆UNIX的服务。大多数情况下入侵者扫
描这一端口是为了找到机器运行的操作系统。此外使用其它技术，入
侵者会找到密码。

关闭方法:控制面板--管理工具--服务
关闭Telnet服务，它允许远程用户登录到系统并且使用命令行运行控
制台程序。

(3)25端口
端口说明:smtp 攻击者（spammer）寻找SMTP服务器是为了传递他们的spam。
入侵者的帐户总被关闭，他们需要拨号连接到高带宽的e-mail服务器
上，将简单的信息传递到不同的地址。SMTP服务器（尤其是sendmail）
是进入系统的最常用方法之一，因为它们必须完整的暴露于Internet且
邮件的路由是复杂的（暴露+复杂=弱点）。

关闭方法:控制面板--管理工具--服务
关闭Simple Mail Transport Protocol (SMTP)服务，它提供的功能是
跨网传送电子邮件.

(4)80端口
端口说明:80端口是为HTTP（HyperText Transport Protocol，超文本传输协
议）开放的，这是上网冲浪使用最多的协议，主要用于在WWW
（World Wide Web，万维网）服务上传输信息的协议。

关闭方法:控制面板--管理工具--服务
关掉WWW服务。在“服务”中显示名称为"World Wide Web
Publishing Service"，通过Internet 信息服务的管理单元提供 Web
连接和管理。

(5)135端口
端口说明c-serv MS RPC end-point mapper Microsoft在这个端口运行DCE
RPC end-point mapper为它的DCOM服务。这与UNIX 111 端口的功
能很相似。使用DCOM和/或RPC的服务利用机器上的end-point mapper
注册它们的位置。远端客户连接到机器时，它们查询end-point
mapper找到服务的位置。同样Hacker扫描机器的这个端口是为了找到
诸如：这个机器上运行ExchangeServer吗?是什么版本？

关闭方法:用一款16为编辑软件（推荐UltraEdit）打开你系统
winnt\system32 或者 x:\windows\system32下的rpcss.dll文件。
查找31 00 33 00 35
替换为30 00 30 00 30
查找3100330035，将其替换为3000300030，意思就是将135端口
改为000。至此修改的任务已经完成，下面将面临一个保存的问题。
因为该文件正在运行，在Windows环境下是不能覆盖的。如果你是
FAT32文件系统，那么直接引导进DOS环境，将修改好的文件覆盖掉
原来的文件。
如果是NTFS格式，相对就麻烦一些。进安全模式。然后启动pulist列
出进程，然后用pskill这个程序（黑客网站有下的）杀掉svchost.exe
程序。然后在COPY过去。
覆盖后重新启动，使用netstat -an命令，可以看到Windows 2000下
已经没有135端口了。XP系统还有TCP的135，但是UDP里面已经没有
135端口了。
(如果看不懂以上的方法,我帮大家找了一个有图片的关闭方法
http://www.pcpop.com/hard/03/8/26909.shtml)

135端口的详细关闭方法:
http://www.shengfang.org/blog/p/block135port.php

(6)139端口
端口说明: File and Print Sharing 通过这个端口进入的连接试图获
NetBIOS/SMB服务。这个协议被用于Windows“文件和打印机共享”
和SAMBA。在Internet上共享自己的硬盘是可能是最常见的问题。
Ipc$就是要依赖这个端口的.
关于此端口的命令详解和入侵技巧请参照我发的帖子
http://www.fskybase.com/bbs/viewthread.php?tid=18&fpage=1

关闭方法:139端口可以通过禁止NBT来屏蔽
本地连接－TCP/IT属性－高级－WINS－选‘禁用TCP/IT上的NETBIOS’
一项

(7)445端口:
端口说明: 445端口是般是信息流通数据的端口，一般黑客都是通过这个端口对你
的计算机或木马的控制，windows2000以后的版本都会自动打开这个
端口。一般流行性病毒，如冲击波，震荡婆，灾飞都是从这个端口对
计算机开始攻击！

关闭方法:445端口可以通过修改注册表来屏蔽
添加一个键值
Hive: HKEY_LOCAL_MACHINE
Key: System\Controlset\Services\NetBT\Parameters
Name: SMBDeviceEnabled
Type: REG_DWORD
Value: 0
修改完后重启机器

(8)3389端口
端口说明: 3389又称Terminal Service，服务终端。在WindowsNT中最先开始使
用的一种终端，在Win2K的Professional版本中不可以安装，在Server
或以上版本才可以安装这个服务，其服务端口为3389。由于使用简
单，方便等特点，一直受系统管理员的青昧。也正式因为他的简便，
不产生交互式登陆，可以在后台操作，因此也受到了黑客朋友的喜
爱，事实可以说明，现在大多数朋友在入侵之后，都想打开windows
终端服务，甚至不惜重启对方的计算机，也要把终端服务安装上，由
此可见他的普遍性。另，在在XP系统中又叫做“远程桌面”。

关闭方法:首先说明3389端口是windows的远程管理终端所开的端口，它并不是
一个木马程序，请先确定该服务是否是你自己开放的。如果不是必须
的，请关闭该服务。

win2000关闭的方法：
win2000server 开始-->程序-->管理工具-->服务里找到Terminal Services服务项，
选中属性选项将启动类型改成手动，并停止该服务。
win2000pro 开始-->设置-->控制面板-->管理工具-->服务里找到Terminal Services
服务项，选中属性选项将启动类型改成手动，并停止该服务。
winxp关闭的方法：
在我的电脑上点右键选属性-->远程，将里面的远程协助和远程桌面两个选项框里的勾去掉。

(9)4489端口
端口说明: 首先说明4899端口是一个远程控制软件（remote administrator)服务
端监听的端口，他不能 算是一个木马程序，但是具有远程控制功能，
通常杀毒软件是无法查出它来的，请先确定该服务是否是你自己开放
并且是必需的。如果不是请关闭它。

关闭方法:请在开始-->运行中输入cmd(98以下为command),然后cd
C:\winnt\system32(你的系统安装目录），输入r_server.exe /stop
后按回车然后在输入r_server /uninstall /silence 到C:\winnt\system32
(系统目录）下删除r_server.exe admdll.dll radbrv.dll三个文件

(10)默认共享:
很多人根本就还不知道有默认共享这么一回事,其实系统一装好都是打开默认共享的.把c,d默认共享为c$,d$.其实这个是相当危险的,这个就相当于开着门让黑课进来.可以通过很多种方法入侵.其中以ipc$最为著名.所以一定关闭它.关闭的方法有很多种.

端口说明:这是在安装服务器的时候，把系统安装分区自动进行共享，虽然对其访
问还需要超级用户的密码，但这是潜在的安全隐患，从服务器的安全考
虑，最好关闭这个“默认共享”，以保证系统安全。

关闭方法：关于默认共享的关闭方法有很多种方法.我这里根据自己所知的,归纳
了4种最常用的方法.
1.DOS下删除共享
单击“开始/运行”，在运行窗口中输入“cmd”(98则是command)，打开cmd命令行.用net share 命令查看自己是否开了默认共享和ipc$,所有的共享信息都可以在里面显示.选择你要的删除的共享.用net share xx /delete(此处的xx表示你要删除的共享文件)例如:net share c$ /delete 表示删除c盘的默认共享(根据我的经验net share c:\ /delete 其实也是一样删除c盘的默认共享的).
2.盘符属性
确定你要删除的盘符,单击鼠标右键选择共享和安全的选项.在弹出的窗口中选择不共享此文件夹.然后点确定.这样就关闭了共享(包括默认共享).
3.控制面板中删除
控制面板—管理工具—计算机管理—共享文件夹—共享
关闭里面的默认共享(包括admin$的删除)
4. 修改注册表
单击“开始/运行”，在运行窗口中输入“Regedit”，打开注册表编辑器，展开“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Lanmanworkstation\parameters”，在右侧窗口中创建一个名为“AutoShareWks”的双字节值，将其值设置为0，(win2000 专业版 win xp);[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
lanmanserver\parameters]"AutoShareServer"=dword:00000000 (win2000 server、win2003 server)这样就可以彻底关闭“默认共享”。

以上几个端口都是最常入侵的端口,也是最适合一般用户的电脑.至于其他特定软件所开放的端口可以根据通过创建 IP 安全策略来屏蔽端口的方法;增加防火墙的规则屏蔽端口;通过本地连接的TCP/IP筛选来过滤端口的方法来关闭端口.以下介绍一下通过创建 IP 安全策略来屏蔽端口的方法的方法来关闭端口,由于增加防火墙的规则屏蔽端口;通过本地连接的TCP/IP筛选来过滤端口的方法和过创建 IP 安全策略来屏蔽端口的方法差不多,所以就不重复讲了.这里就先介绍一下创建 IP 安全策略来屏蔽端口的方法.

2.创建 IP 安全策略来屏蔽端口:
关闭的端口有，135，137，138，139，445，1025，2475，3127，6129，3389，593，还有tcp.
具体操作如下:
默认情况下，Windows有很多端口是开放的，在你上网的时候，网络病毒和黑客可以通过这些端口连上你的电脑。为了让你的系统变为铜墙铁壁，应该封闭这些端口，主要有：TCP 135、139、445、593、1025 端口和 UDP 135、137、138、445 端口，一些流行病毒的后门端口（如 TCP 2745、3127、6129 端口），以及远程服务访问端口3389。下面介绍如何在WinXP/2000/2003下关闭这些网络端口：

第一步，点击“开始”菜单/设置/控制面板/管理工具，双击打开“本地安全策略”，选中“IP 安全策略，在本地计算机”，在右边窗格的空白位置右击鼠标，弹出快捷菜单，选择“创建 IP 安全策略”（如右图），于是弹出一个向导。在向导中点击“下一步”按钮，为新的安全策略命名；再按“下一步”，则显示“安全通信请求”画面，在画面上把“激活默认相应规则”左边的钩去掉，点击“完成”按钮就创建了一个新的IP 安全策略。

第二步，右击该IP安全策略，在“属性”对话框中，把“使用添加向导”左边的钩去掉，然后单击“添加”按钮添加新的规则，
随后弹出“新规则属性”对话框，在画面上点击“添加”按钮，弹出IP筛选器列表窗口；在列表中，首先把“使用添加向导”
左边的钩去掉，然后再点击右边的“添加”按钮添加新的筛选器。

第三步，进入“筛选器属性”对话框，首先看到的是寻址，源地址选“任何 IP 地址”，目标地址选“我的 IP 地址”；
点击“协议”选项卡，在“选择协议类型”的下拉列表中选择“TCP”，然后在“到此端口”下的文本框中输入“135”，点击
“确定”按钮（如左图），这样就添加了一个屏蔽 TCP 135（RPC）端口的筛选器，它可以防止外界通过135端口连上你的电脑 。
点击“确定”后回到筛选器列表的对话框，可以看到已经添加了一条策略，重复以上步骤继续添加 TCP 137、139、445、593
端口和 UDP 135、139、445 端口，为它们建立相应的筛选器。
重复以上步骤添加TCP 1025、2745、3127、6129、3389 端口的屏蔽策略，建立好上述端口的筛选器，最后点击“确定”按钮。

第四步，在“新规则属性”对话框中，选择“新 IP 筛选器列表”，然后点击其左边的圆圈上加一个点，表示已经激活，
最后点击“筛选器操作”选项卡。在“筛选器操作”选项卡中，把“使用添加向导”左边的钩去掉，点击“添加”按钮，添加
“阻止”操作（右图）：在“新筛选器操作属性”的“安全措施”选项卡中，选择“阻止”，然后点击“确定”按钮。

第五步、进入“新规则属性”对话框，点击“新筛选器操作”，其左边的圆圈会加了一个点，表示已经激活，点击“关闭”按钮，关闭对话框；最后回到“新IP安全策略属性”对话框，在“新的IP筛选器列表”左边打钩，按“确定”按钮关闭对话框。

在“本地安全策略”窗口，用鼠标右击新添加的 IP 安全策略，然后选择“指派”。
于是重新启动后，电脑中上述网络端口就被关闭了，病毒和黑客再
也不能连上这些端口，从而保护了你的电脑。

本人建议:如果你要关闭的端口是比较常见的入侵端口的话,我建议你采用系统的关闭方法.这样更加直接和有效.而一般的端口的话,你不想开可以采用ip安全策略或者防火墙或者TCP\IP筛选来关闭.将来你想开这个端口或者软件需要用的时候,只要去掉规则就可以了.这里还有提醒大家一点,端口从1024开始到65535都是应用程序所开启的端口(当然也包括木马和病毒).除非你很确定这个端口是木马或者病毒或者是没用途的端口,不然不建议关闭.不然会出现很多问题.
以下是电脑端口基础知识
端口可分为3大类：
1） 公认端口（Well Known Ports）：从0到1023，它们紧密绑定于一些服务。通常这些端口的通讯明确表明了某种服务的协议。例如：80端口实际上总是HTTP通讯。

2） 注册端口（Registered Ports）：从1024到49151。它们松散地绑定于一些服务。也就是说有许多服务绑定于这些端口，这些端口同样用于许多其它目的。例如：许多系统处理动态端口从1024左右开始。

3） 动态和/或私有端口（Dynamic and/or Private Ports）：从49152到65535。理论上，不应为服务分配这些端口。实际上，机器通常从1024起分配动态端口。但也有例外：SUN的RPC端口从32768开始。
由于时间的关系,稍微就介绍以上的几种方法.其实关闭端口还有很多种方法.这里就先介绍到这里吧.如果文章有什么不足之处.希望大家提出来.我一定好好修改

　　通过向目标发送不同 IP 生存时间 (TTL) 值的“Internet 控制消息协议 (ICMP)”回应数据包，Tracert 诊断程序确定到目标所采取的路由。要求路径上的每个路由器在转发数据包之前至少将数据包上的 TTL 递减 1。数据包上的 TTL 减为 0 时，路由器应该将“ICMP 已超时”的消息发回源系统。

　　Tracert 先发送 TTL 为 1 的回应数据包，并在随后的每次发送过程将 TTL 递增 1，直到目标响应或 TTL 达到最大值，从而确定路由。通过检查中间路由器发回的“ICMP 已超时”的消息确定路由。某些路由器不经询问直接丢弃 TTL 过期的数据包，这在 Tracert 实用程序中看不到。

　　Tracert 命令按顺序打印出返回“ICMP 已超时”消息的路径中的近端路由器接口列表。如果使用 -d 选项，则 Tracert 实用程序不在每个 IP 地址上查询 DNS。

　　在下例中，数据包必须通过两个路由器（10.0.0.1 和 192.168.0.1）才能到达主机 172.16.0.99。主机的默认网关是 10.0.0.1，192.168.0.0 网络上的路由器的 IP 地址是 192.168.0.1。

　　C:\>tracert 172.16.0.99 -d

　　Tracing route to 172.16.0.99 over a maximum of 30 hops

　　1 2s 3s 2s 10,0.0,1

　　2 75 ms 83 ms 88 ms 192.168.0.1

　　3 73 ms 79 ms 93 ms 172.16.0.99

　　Trace complete.

　　用 tracert 解决问题

　　可以使用 tracert 命令确定数据包在网络上的停止位置。下例中，默认网关确定 192.168.10.99 主机没有有效路径。这可能是路由器配置的问题，或者是 192.168.10.0 网络不存在（错误的 IP 地址）。

　　C:\>tracert 192.168.10.99

　　Tracing route to 192.168.10.99 over a maximum of 30 hops

　　1 10.0.0.1 reports:Destination net unreachable.

　　Trace complete.

　　Tracert 实用程序对于解决大网络问题非常有用，此时可以采取几条路径到达同一个点。

　　Tracert 命令行选项

　　Tracert 命令支持多种选项，如下表所示。

　　tracert [-d] [-h maximum_hops] [-j host-list] [-w timeout] target_name

选项                               描述
 
-d                                   指定不将 IP 地址解析到主机名称。
 
-h maximum_hops         指定跃点数以跟踪到称为 target_name 的主机的路由。
 
-j host-list                      指定 Tracert 实用程序数据包所采用路径中的路由器接口列表。
 
-w timeout                     等待 timeout 为每次回复所指定的毫秒数。
 
target_name                 目标主机的名称或 IP 地址。

登录类型2：交互式登录（Interactive）

这应该是你最先想到的登录方式吧，所谓交互式登录就是指用户在计算机的控制台上进行的登录，也就是在本地键盘上进行的登录，但不要忘记通过KVM登录仍然属于交互式登录，虽然它是基于网络的。

登录类型3：网络（Network）

当你从网络的上访问一台计算机时在大多数情况下Windows记为类型3，最常见的情况就是连接到共享文件夹或者共享打印机时。另外大多数情况下通过网络登录IIS时也被记为这种类型，但基本验证方式的IIS登录是个例外，它将被记为类型8，下面将讲述。

登录类型4：批处理（Batch）

当Windows运行一个计划任务时，“计划任务服务”将为这个任务首先创建一个新的登录会话以便它能在此计划任务所配置的用户账户下运行，当这种登录出现时，Windows在日志中记为类型4，对于其它类型的工作任务系统，依赖于它的设计，也可以在开始工作时产生类型4的登录事件，类型4登录通常表明某计划任务启动，但也可能是一个恶意用户通过计划任务来猜测用户密码，这种尝试将产生一个类型4的登录失败事件，但是这种失败登录也可能是由于计划任务的用户密码没能同步更改造成的，比如用户密码更改了，而忘记了在计划任务中进行更改。

登录类型5：服务（Service）

与计划任务类似，每种服务都被配置在某个特定的用户账户下运行，当一个服务开始时，Windows首先为这个特定的用户创建一个登录会话，这将被记为类型5，失败的类型5通常表明用户的密码已变而这里没得到更新，当然这也可能是由恶意用户的密码猜测引起的，但是这种可能性比较小，因为创建一个新的服务或编辑一个已存在的服务默认情况下都要求是管理员或serversoperators身份，而这种身份的恶意用户，已经有足够的能力来干他的坏事了，已经用不着费力来猜测服务密码了。

登录类型7：解锁（Unlock）

你可能希望当一个用户离开他的计算机时相应的工作站自动开始一个密码保护的屏保，当一个用户回来解锁时，Windows就把这种解锁操作认为是一个类型7的登录，失败的类型7登录表明有人输入了错误的密码或者有人在尝试解锁计算机。

登录类型8：网络明文（NetworkCleartext）

这种登录表明这是一个像类型3一样的网络登录，但是这种登录的密码在网络上是通过明文传输的，WindowsServer服务是不允许通过明文验证连接到共享文件夹或打印机的，据我所知只有当从一个使用Advapi的ASP脚本登录或者一个用户使用基本验证方式登录IIS才会是这种登录类型。“登录过程”栏都将列出Advapi。

登录类型9：新凭证（NewCredentials）

当你使用带/Netonly参数的RUNAS命令运行一个程序时，RUNAS以本地当前登录用户运行它，但如果这个程序需要连接到网络上的其它计算机时，这时就将以RUNAS命令中指定的用户进行连接，同时Windows将把这种登录记为类型9，如果RUNAS命令没带/Netonly参数，那么这个程序就将以指定的用户运行，但日志中的登录类型是2。

登录类型10：远程交互（RemoteInteractive）

当你通过终端服务、远程桌面或远程协助访问计算机时，Windows将记为类型10，以便与真正的控制台登录相区别，注意XP之前的版本不支持这种登录类型，比如Windows2000仍然会把终端服务登录记为类型2。

登录类型11：缓存交互（CachedInteractive）

Windows支持一种称为缓存登录的功能，这种功能对移动用户尤其有利，比如你在自己网络之外以域用户登录而无法登录域控制器时就将使用这种功能，默认情况下，Windows缓存了最近10次交互式域登录的凭证HASH，如果以后当你以一个域用户登录而又没有域控制器可用时，Windows将使用这些HASH来验证你的身份。

上面讲了Windows的登录类型，但默认情况下Windows2000是没有记录安全日志的，你必须先启用组策略“计算机配置/Windows设置/安全设置/本地策略/审核策略”下的“审核登录事件”才能看到上面的记录信息。希望这些详细的记录信息有助于大家更好地掌握系统情况，维护网络安定。

这只是一个自动种植后门批处理的雏形，两个批处理和后门程序（Windrv32.exe）,PSexec.exe需放在统一目录下.批处理内容
尚可扩展,例如:加入清除日志+DDOS的功能,加入定时添加用户的功能,更深入一点可以使之具备自动传播功能(蠕虫).此处不多做叙述,有兴趣的朋友可自行研究.

附dos命令集。转置dos的帮助文件。自己电脑里面其实有很多好东东的。。。

有关某个命令的详细信息，请键入 HELP 命令名
ASSOC    显示或修改文件扩展名关联。
AT       计划在计算机上运行的命令和程序。
ATTRIB   显示或更改文件属性。
BREAK    设置或清除扩展式 CTRL+C 检查。
CACLS    显示或修改文件的访问控制列表(ACLs)。
CALL     从另一个批处理程序调用这一个。
CD       显示当前目录的名称或将其更改。
CHCP     显示或设置活动代码页数。
CHDIR    显示当前目录的名称或将其更改。
CHKDSK   检查磁盘并显示状态报告。
CHKNTFS  显示或修改启动时间磁盘检查。
CLS      清除屏幕。
CMD      打开另一个 Windows 命令解释程序窗口。
COLOR    设置默认控制台前景和背景颜色。
COMP     比较两个或两套文件的内容。
COMPACT  显示或更改 NTFS 分区上文件的压缩。
CONVERT  将 FAT 卷转换成 NTFS。您不能转换
         当前驱动器。
COPY     将至少一个文件复制到另一个位置。
DATE     显示或设置日期。
DEL      删除至少一个文件。
DIR      显示一个目录中的文件和子目录。
DISKCOMP 比较两个软盘的内容。
DISKCOPY 将一个软盘的内容复制到另一个软盘。
DOSKEY   编辑命令行、调用 Windows 命令并创建宏。
ECHO     显示消息，或将命令回显打开或关上。
ENDLOCAL 结束批文件中环境更改的本地化。
ERASE    删除至少一个文件。
EXIT     退出 CMD.EXE 程序(命令解释程序)。
FC       比较两个或两套文件，并显示
         不同处。
FIND     在文件中搜索文字字符串。
FINDSTR  在文件中搜索字符串。
FOR      为一套文件中的每个文件运行一个指定的命令。
FORMAT   格式化磁盘，以便跟 Windows 使用。
FTYPE    显示或修改用于文件扩展名关联的文件类型。
GOTO     将 Windows 命令解释程序指向批处理程序
         中某个标明的行。
GRAFTABL 启用 Windows 来以图像模式显示
         扩展字符集。
HELP     提供 Windows 命令的帮助信息。
IF       执行批处理程序中的条件性处理。
LABEL    创建、更改或删除磁盘的卷标。
MD       创建目录。
MKDIR    创建目录。
MODE     配置系统设备。
MORE     一次显示一个结果屏幕。
MOVE     将文件从一个目录移到另一个目录。
PATH     显示或设置可执行文件的搜索路径。
PAUSE    暂停批文件的处理并显示消息。
POPD     还原 PUSHD 保存的当前目录的上一个值。
PRINT    打印文本文件。
PROMPT   更改 Windows 命令提示符。
PUSHD    保存当前目录，然后对其进行更改。
RD       删除目录。
RECOVER  从有问题的磁盘恢复可读信息。
REM      记录批文件或 CONFIG.SYS 中的注释。
REN      重命名文件。
RENAME   重命名文件。
REPLACE  替换文件。
RMDIR    删除目录。
SET      显示、设置或删除 Windows 环境变量。
SETLOCAL 开始批文件中环境更改的本地化。
SHIFT    更换批文件中可替换参数的位置。
SORT     对输入进行分类。
START    启动另一个窗口来运行指定的程序或命令。
SUBST    将路径跟一个驱动器号关联。
TIME     显示或设置系统时间。
TITLE    设置 CMD.EXE 会话的窗口标题。
TREE     以图形模式显示驱动器或路径的目录结构。
TYPE     显示文本文件的内容。
VER      显示 Windows 版本。
VERIFY   告诉 Windows 是否验证文件是否已正确
         写入磁盘。
VOL      显示磁盘卷标和序列号。
XCOPY    复制文件和目录树。

引用：http://blog.tom.com/blog/read.php?bloggerid=732877&blogid=49242

解决方法：
方法是删除以下文件：C:\Documents and Settings\用户名\Application Data\Macromedia\Dreamweaver 8\Configuration\WinFileCache-8B156B93.dat

不行就删除C:\Documents and Settings\用户名\Application Data\Macromedia\Dreamweaver 8整个文件夹，然后重装

Dreamweaver以下翻译器没有被装载
本文来自清风细雨阁(700net.com)
原址查看:http://www.700net.com/article.asp?id=957

　　——如何识别有害信息 (HijackThis使用说明.htm)

　　在 SpywareInfo 的论坛上，许多不熟悉浏览器篡改的人发表文章，询问如何通过分析 HijackThis 的日志来获得帮助，因为他们不理解哪些内容是无害的，而哪些内容是有害的。

　　本文是一个关于日志含义的基本指南，并包含一些有助于独立阅读本文的提示。本文决不能代替在SWI(SpywareInfo的缩写，下同)论坛上请求帮助的解答，而只是在某种程度上帮助您自己理解日志的含义。

概述

　　HijackThis 日志中的每一行以一个分类名称开始。(要查看这一主题的技术信息，单击主窗口中的“Info”按钮，并向下滚动窗口，突出显示某一行并单击“More info on this item”按钮即可。)

要查看实用信息，单击需要获得帮助的分类名称：

· R0, R1, R2, R3 - Internet Explorer 起始页、搜索页 URL

· F0 - system.ini 中自动加载程序
· F1 - win.ini 中自动加载程序
· F2 - 改变的 .ini 文件值，映射到注册表(轻松 译)
· F3 - 创建的 .ini 文件值，映射到注册表(轻松 译)

· N1, N2, N3, N4 - Netscape、Mozilla 起始页、搜索页 URL

· O1 - 主机文件重定向
· O2 - 浏览器辅助对象
· O3 - Internet Explorer 工具栏
· O4 - 从注册表自动加载程序
· O5 - 使 Internet Explorer 选项的图标在控制面板中不可见
· O6 - 由管理员限制的对 Internet Explorer 选项的访问
· O7 - 由管理员限制的对注册表编辑器的访问
· O8 - Internet Explorer 右键菜单中的额外项
· O9 - 主 Internet Explorer 按钮工具栏上的额外按钮，或 Internet Explorer “工具”菜单中的额外项
· O10 - Winsock篡改程序
· O11 - Internet Explorer “高级选项”窗口中的额外组
· O12 - Internet Explorer 插件
· O13 - Internet Explorer DefaultPrefix篡改
· O14 - “重置 Web 设置”篡改
· O15 - 受信任区域中的有害站点
· O16 - ActiveX 对象(aka 下载的程序文件)
· O17 - Lop.com 域篡改程序
· O18 - 额外协议和协议篡改程序
· O19 - 用户样式表篡改
· O20 - 应用程序配置动态连接库自动运行注册值(轻松 译)
· O21 - 公共服务对象延迟加载自动运行注册键(轻松 译)
· O22 - 共享计划任务自动运行注册键(轻松 译)
· O23 - 额外的 NT 服务组件(轻松 译)

R0、R1、R2、R3 - Internet Explorer 起始页和搜索页

症状：

　　R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page=http://www.google.com/
　　R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL=http://www.google.com/
　　R3 - Default URLSearchHook is missing

治疗方案：
　　如果结尾的URL是您的主页或搜索引擎，那就不用管它。如果您不认可，请检查一下并用 HijackThis 修复。对于 R3 项，始终修复它们，直到它提及一个您认可的程序为止，比如 Copernic。

F0、F1 - 自动加载程序

症状：

　　F0 - system.ini: Shell=Explorer.exe Openme.exe
　　F1 - win.ini: run=hpfsched

治疗方案：
　　F0 项始终是有害的，因此要修复它们。
　　F1 项通常是存在很长时间的安全程序，因此您应该根据其文件名查找与该文件有关的更多信息，以确定它是无害的还是有害的。

N1、N2、N3、N4 - Netscape、Mozilla起始页和搜索页

症状：

　　N1 - Netscape 4: user_pref("browser.startup.homepage", "www.google.com"); (C:\Program Files\Netscape\Users\default\prefs.js)
　　N2 - Netscape 6: user_pref("browser.startup.homepage", "http://www.google.com"); (C:\Documents and Settings\User\Application Data\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js)
　　N2 - Netscape 6: user_pref("browser.search.defaultengine", "engine://C%3A%5CProgram%20Files%5CNetscape%206%5Csearchplugins%5CSBWeb_02.src"); (C:\Documents and Settings\User\Application Data\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js)

治疗方案：
　　通常情况下，Netacape和Mozilla的主页及搜索页是安全的。它们极少被篡改。主页和搜索页的URL不是您认可的，请用 HijackThis 修复它。

O1 - 主机文件重定向

症状：

　　O1 - Hosts: 216.177.73.139 auto.search.msn.com
　　O1 - Hosts: 216.177.73.139 search.netscape.com
　　O1 - Hosts: 216.177.73.139 ieautosearch

治疗方案：
　　这种篡改将通向正确 IP 地址的地址重定向到错误的 IP 地址。如果 IP 不属于该地址，那么在您每次键入该地址时，您将被重定向到一个错误的站点。始终用 HijackThis 修复它们，除非您故意将这些行放到主机文件中。

O2 - 浏览器辅助对象

症状：

　　O2 - BHO: Yahoo! Companion BHO - {13F537F0-AF09-11d6-9029-0002B31F9E59} - C:\PROGRAM FILES\YAHOO!\COMPANION\YCOMP5_0_2_4.DLL
　　O2 - BHO: (no name) - {1A214F62-47A7-4CA3-9D00-95A3965A8B4A} - C:\PROGRAM FILES\POPUP ELIMINATOR\AUTODISPLAY401.DLL (file missing)
　　O2 - BHO: MediaLoads Enhanced - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C:\PROGRAM FILES\MEDIALOADS ENHANCED\ME1.DLL

治疗方案：
　　如果您无法直接识别某个浏览器辅助对象的名称，可以使用 TonyK 的 BHO 列表通过类 ID(CLSID，位于大括号中的编号)进行查找，以确定它是无害的还是有害的。在BHO列表中，‘X’代表侦探软件，‘L’代表安全。

O3 - Internet Explorer 工具栏

症状：

　　O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRAM FILES\YAHOO!\COMPANION\YCOMP5_0_2_4.DLL
　　O3 - Toolbar: Popup Eliminator - {86BCA93E-457B-4054-AFB0-E428DA1563E1} - C:\PROGRAM FILES\POPUP ELIMINATOR\PETOOLBAR401.DLL (file missing)
　　O3 - Toolbar: rzillcgthjx - {5996aaf3-5c08-44a9-ac12-1843fd03df0a} - C:\WINDOWS\APPLICATION DATA\CKSTPRLLNQUL.DLL

治疗方案：
　　如果您不能直接识别工具栏的名称，可以使用 TonyK 的工具栏列表通过类 ID(CLSID，位于大括号中的编号)进行查找，以确定它是无害的还是有害的。在工具栏列表中，‘X’代表侦探软件，‘L’代表安全。如果它不在列表中，而且其名称似乎是一个随机的字符串，并且该文件位于一个名为‘Application Data’的文件夹中的某处(比如上述例子中的最后一个)，那么它肯定是有害的，应该用 HijackThis 修复它。

O4 - 从注册表自动加载程序

症状：

　　O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
　　O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
　　O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
　　O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

治疗方案：
　　使用 PacMan 的启动列表来查找这些条目，以确定它们是无害的还是有害的。

O5 - 使 Internet Explorer 选项在控制面板中不可见

症状：

　　O5 - control.ini: inetcpl.cpl=no

治疗方案：
　　除非故意隐藏控制面板中的图标，否则用 HijackThis 修复它。

O6 - 由管理员限制的对 Internet Explorer 选项的访问

症状：

　　O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

治疗方案：
　　除非激活了 Spybot S&D 选项“Lock homepage from changes”，否则用 HijackThis 修复这一项。

O7 - 由管理员限制的对注册表编辑器的访问

症状：

　　O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

治疗方案：
　　始终用 HijackThis 修复这一项。

O8 - Internet Explorer 右键菜单中的额外项

症状：

　　O8 - Extra context menu item: &Google Search - res://C:\WINDOWS\DOWNLOADED PROGRAM FILES\GOOGLETOOLBAR_EN_1.1.68-DELEON.DLL/cmsearch.html
　　O8 - Extra context menu item: Yahoo! Search - file:///C:\Program Files\Yahoo!\Common/ycsrch.htm
　　O8 - Extra context menu item: Zoom &In - C:\WINDOWS\WEB\zoomin.htm
　　O8 - Extra context menu item: Zoom O&ut - C:\WINDOWS\WEB\zoomout.htm

治疗方案：
　　如果不能识别 Internet Explorer 右键菜单中的项目名称，用 HijackThis 修复它。

O9 - 主 Internet Explorer 工具栏上的额外按钮，或 Internet Explorer “工具”菜单中的额外项

症状：

　　O9 - Extra button: Messenger (HKLM)
　　O9 - Extra 'Tools' menuitem: Messenger (HKLM)
　　O9 - Extra button: AIM (HKLM)

治疗方案：
　　如果不能识别按钮或菜单项的名称，用 HijackThis 修复它。

O10 - Wincock 篡改程序

症状：

　　O10 - Hijacked Internet access by New.Net
　　O10 - Broken Internet access because of LSP provider 'c:\progra~1\common~2\toolbar\cnmib.dll' missing
　　O10 - Unknown file in Winsock LSP: c:\program files\newton knows\vmain.dll

治疗方案：
　　最好使用 Cexx.org 的 LSPFix 或 Kolla.de 的 Spybot S&D 修复这些项。

O11 - Internet Explorer “高级选项”窗口中的额外组

症状：

　　O11 - Options group: [CommonName] CommonName

治疗方案：
　　现在，惟一将其自身的选项组添加到 Internet Explorer 高级选项窗口中的篡改程序是CommonName。因此您始终可以用 HijackThis 修复这一项。

O12 - Internet Explorer 插件

症状：

　　O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
　　O12 - Plugin for .PDF: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll

治疗方案：
　　大部分时间内，这些项是安全的。只有OnFlow在这里添加了一个您不想要的插件(.ofb)。

O13 - Internet Explorer DefaultPrefix篡改

症状：

　　O13 - DefaultPrefix: http://www.pixpox.com/cgi-bin/click.pl?url=
　　O13 - WWW Prefix: http://prolivation.com/cgi-bin/r.cgi?

治疗方案：
　　这些项始终是有害的。用 HijackThis 修复它们。

O14 -‘重置Web设置’篡改

症状：

　　O14 - IERESET.INF: START_PAGE_URL=http://www.searchalot.com

治疗方案：
　　如果该URL不是您计算机的厂商或您的ISP，用 HijackThis 修复它。

O15 - 受信任区域中的有害站点

症状：

　　O15 - Trusted Zone: http://free.aol.com

治疗方案：
　　迄今为止，只有AOL倾向于将自身添加到您的受信任区域，从而允许它运行任何它想要运行的ActiveX。始终用 HijackThis 修复这一项。

O16 - Active 对象(aka 下载的程序文件)

症状：

　　O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab
　　O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

治疗方案：
　　如果您你不能识别对象名称，或它下载文件的URL，用 HijackThis 修复它。如果名称或URL中包含下列单词，比如‘dialer’、‘casino’、‘free-pludin’等等，那么一定要修复它。

O17 - Lop.com 域篡改

症状：

　　O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = aoldsl.net
　　O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = W21944.find-quick.com
　　O17 - HKLM\Software\..\Telephony: DomainName = W21944.find-quick.com
　　O17 - HKLM\System\CCS\Services\Tcpip\..\{D196AB38-4D1F-45C1-9108-46D367F19F7E}: Domain = W21944.find-quick.com

治疗方案：
　　如果域不是来自您的ISP或公司的网络，用 HijackThis 修复它。

O18 - 额外协议和协议篡改程序

症状：

　　O18 - Protocol: relatedlinks - {5AB65DD4-01FB-44D5-9537-3767AB80F790} - C:\PROGRA~1\COMMON~1\MSIETS\msielink.dll
　　O18 - Protocol: mctp - {d7b95390-b1c5-11d0-b111-0080c712fe82}
　　O18 - Protocol hijack: http - {66993893-61B8-47DC-B10D-21E0C86DD9C8}

治疗方案：
　　这里只显示了少数篡改程序。恶名昭著的还有‘cn’?ommonName)，‘ayb’(Lop.com)和‘relatedlinks’(Huntbar)，您应该用 HijackThis 修复这些项。显示的其他情况要么是未被确认为安全的，要么是被侦探软件篡改的。如果是后一种情况，用 HijackThis 修复它。

O19 - 用户样式表篡改

症状：

　　O19 - User style sheet: c:\WINDOWS\Java\my.css

治疗方案：
　　在浏览器速度变慢并频繁弹出各种消息的情况下，如果这一项显示在日志中，用 HijackThis 修复它。

新功能说明(轻松翻译)：

F - IniFiles, autoloading entries
F - *.ini 文件，自动载入篡改

F2 - Changed inifile value, mapped to Registry

改变的 .ini 文件值，映射到注册表

F3 - Created inifile value, mapped to Registry

创建的 .ini 文件值，映射到注册表

O - Other, several sections which represent:
O - 其他的，个别节的表现

O20 - AppInit_DLLs autorun Registry value

应用程序配置动态连接库自动运行注册值

O21 - ShellServiceObjectDelayLoad (SSODL) autorun Registry key

公共服务对象延迟加载自动运行注册键

O22 - SharedTaskScheduler autorun Registry key

共享计划任务自动运行注册键

O23 - Enumeration of NT Services

额外的 NT 服务组件

* 版本历史 *

[v1.99.1](轻松 译)
* Added Winlogon Notify keys to O20 listing

增加启动时提示到O20列

* Fixed crashing bug on certain Win2000 and WinXP systems at O23 listing

修理了某些 Windows 2000 和 Windows XP 内列出 O23 时的错误

* Fixed lots and lots of 'unexpected error' bugs

修理了许多“排除错误”的小问题

* Fixed lots of improper functioning bugs (i.e. stuff that didn't work)

修理了许多不合适的函数小问题(比如stuff不工作)

* Added 'Delete NT Service' function in Misc Tools section

增加了个“删除NT服务”功能(在[Config...]的[Misc Tools]节的[Delete an NT Service...])

* Added Protocol Defaults to O15 listing

增加了默认协议到 O15

* Fixed MD5 hashing not working

修理了 MD5 不工作

* Fixed 'ISTSVC' autorun entries with garbage data not being fixed

修理了 ISTSVC 自动运行条目带有垃圾数据时不修复的小问题

* Fixed HijackThis uninstall entry not being updated/created on new versions

修理了 HijackThis 下载条目不在新版本的更新或建立时显示

* Added Uninstall Manager in Misc Tools to manage 'Add/Remove Software' list

增加了个卸载管理器(在[Config...]的[Misc Tools]节的[Open Uninstall Manager...])

* Added option to scan the system at startup, then show results or quit if nothing found

增加了个在启动时扫描系统的选项，之后如果没有任何发现就显示返回或者退出

[v1.99](轻松 译)
* Added O23 (NT Services) in light of newer trojans

增加 O23 (NT 服务)，因为新木马使用该技术
　

* Integrated ADS Spy into Misc Tools section

将 ADS 监视功能整合入[Misc Tools]节

* Added 'Action taken' to info in 'More info on this item'

增加了当点击“更多信息”按钮后，“钩选表示...”的注释

[v1.98](轻松 译)
* Definitive support for Japanese/Chinese/Korean systems
真正支持日、中、韩语亚洲语言操作系统

* Added O20 (AppInit_DLLs) in light of newer trojans
增加了 O20(AppInit_DLLs)，因为新木马使用该技术

* Added O21 (ShellServiceObjectDelayLoad, SSODL) in light of newer trojans
增加了 O21(ShellServi