我给你找来一些木马的运行端口
以下列出的端口仅为相关木马程序默认情况下开放的端口，请根据具体情况采取相应的操作：
707端口的关闭：
这个端口开放表示你可能感染了nachi蠕虫病毒，该蠕虫的清除方法如下：
1、停止服务名为wins client和network connections sharing的两项服务
2、删除c:winntsystem32wins目录下的dllhost.exe和svchost.exe文件
3、编辑注册表，删除hkey_local_machinesystemcurrentcontrolsetservices项中名为rpctftpd和rpcpatch的两个键值
1999端口的关闭：
这个端口是木马程序backdoor的默认服务端口，该木马清除方法如下：
1、使用进程管理工具将notpa.exe进程结束
2、删除c:windows目录下的notpa.exe程序
3、编辑注册表，删除hkey_local_machinesoftwaremicrosoftwindowscurrentversion
run项中包含c:windows otpa.exe/o=yes的键值
2001端口的关闭：
这个端口是木马程序黑洞2001的默认服务端口，该木马清除方法如下：
1、首先使用进程管理软件将进程windows.exe杀掉
2、删除c:winntsystem32目录下的windows.exe和s_server.exe文件
3、编辑注册表，删除hkey_local_machinesoftwaremicrosoftwindowscurrentversion
runservices项中名为windows的键值
4、将hkey_classes_root和hkey_local_machinesoftwareclasses项中的winvxd项删除
5、修改hkey_classes_root xtfileshellopencommand项中的c:winntsystem32s_server.exe%1为c:winntnotepad.exe%1
6、修改hkey_local_machinesoftwareclasses xtfileshellopencommand
项中的c:winntsystem32s_server.exe%1键值改为
c:winntnotepad.exe%1
2023端口的关闭：
这个端口是木马程序ripper的默认服务端口，该木马清除方法如下：
1、使用进程管理工具结束sysrunt.exe进程
2、删除c:windows目录下的sysrunt.exe程序文件
3、编辑system.ini文件，将shell=explorer.exe sysrunt.exe 改为shell=explorer.exe后保存
4、重新启动系统
2583端口的关闭：
这个端口是木马程序wincrash v2的默认服务端口，该木马清除方法如下：
1、编辑注册表，删除hkey_local_machinesoftwaremicrosoftwindowscurrentversion
run项中的winmanager="c:windowsserver.exe"键值
2、编辑win.ini文件，将run=c:windowsserver.exe改为run=后保存退出
3、重新启动系统后删除c:windowssystem server.exe
3389端口的关闭：
首先说明3389端口是windows的远程管理终端所开的端口，它并不是一个木马程序，请先确定该服务是否是你自己开放的。如果不是必须的，请关闭该服务。win2000关闭的方法：
1、win2000server 开始->程序->管理工具->服务里找到terminal services服务项，选中属性选项将启动类型改成手动，并停止该服务。2、win2000pro开始->控制面板->管理工具->服务里找到terminal services服务项，选中属性选项将启动类型改成手动，并停止该服务。winxp关闭的方法：
在我的电脑上点右键选属性->远程，将里面的远程协助和远程桌面两个选项框里的勾去掉。4444端口的关闭：
如果发现你的机器开放这个端口，可能表示你感染了m**last蠕虫，清除该蠕虫的方法如下：
1、使用进程管理工具结束m**last.exe的进程
2、编辑注册表，删除hkey_local_machinesoftwaremicrosoftwindowscurrentversionrun
项中的"windows auto update"="m**last.exe"键值
3、删除c:winntsystem32目录下的m**last.exe文件
4899端口的关闭：
首先说明4899端口是一个远程控制软件（remote admin**trator)服务端**的端口，他不能算是一个木马程序，但是具有远程控制功能，通常杀毒软件是无法查出它来的，请先确定该服务是否是你自己开放并且是必需的。如果不是请关闭它。关闭4899端口：
1、请在开始->运行中输入cmd(98以下为command),然后 cd c:winntsystem32(你的系统安装目录），输入r_server.exe/stop后按回车。然后在输入r_server/uninstall/silence
2、到c:winntsystem32(系统目录）下删除r_server.exe admdll.dll
raddrv.dll三个文件
5800，5900端口：
首先说明5800，5900端口是远程控制软件vnc的默认服务端口，但是vnc在修改过后会被用在某些蠕虫中。请先确认vnc是否是你自己开放并且是必须的，如果不是请关闭
关闭的方法：
1、首先使用fport命令确定出**在5800和5900端口的程序所在位置（通常会是c:winntfontsexplorer.exe)
2、在任务管理器中杀掉相关的进程（注意有一个是系统本身正常的，请注意！如果错杀可以重新运行c:winntexplorer.exe)
3、删除c:winntfonts中的explorer.exe程序。4、删除注册表hkey_local_machinesoftwaremicrosoftwindows
currentversionrun项中的explorer键值。5、重新启动机器。6129端口的关闭：
首先说明6129端口是一个远程控制软件（dameware nt utilities)服务端**得端口，他不是一个木马程序，但是具有远程控制功能，通常的杀毒软件是无法查出它来的。请先确定该服务是否是你自己安装并且是必需的，如果不是请关闭
关闭6129端口：
1、选择开始->控制面板->管理工具->服务
找到dameware mini remote control项点击右键选择属性选项，将启动类型改成禁用后停止该服务。2、到c:winntsystem32(系统目录）下将dwrcs.exe程序删除。3、到注册表内将hkey_local_machinesystemcontrolset001services项中的dwrcs键值删除
6267端口的关闭：
6267端口是木马程序广外女生的默认服务端口，该木马删除方法如下：
1、启动到安全模式下，删除c:winntsystem32下的diagfg.exe文件
2、到c:winnt目录下找到regedit.exe文件，将该文件的后缀名改为.com
3、选择开始->运行输入regedit.com进入注册表编辑页面
4、修改hkey_classes_rootexefileshellopencommand项的键值为
1"%*
5、删除hkey_local_machinesoftwaremicrosoftwindows currentversionrunservices项中名字为diagnostic configuration的键值
6、将c:winnt下的regedit.com改回到regedit.exe
6670、6771端口的关闭：
这些端口是木马程序deepthroat v1.0-3.1默认的服务端口，清除该木马的方法如下：
1、编辑注册表，删除hkey_local_machinesoftwaremicrosoftwindowscurrentversion
run项中的‘system32‘=c:windowssystem32.exe键值（版本1.0）或‘systemtray‘=‘systray.exe‘键值（版本2.0-3.0)键值
3、重新启动机器后删除c:windowssystem32.exe（版本1.0）或c:windowssystemsystray.exe（版本2.0-3.0）
6939 端口的关闭：
这个端口是木马程序indoctrination默认的服务端口，清除该木马的方法如下：
1、编辑注册表，hkey_local_machinesoftwaremicrosoftwindows
currentversionrun
hkey_local_machinesoftwaremicrosoftwindows
currentversionrunservices
hkey_local_machinesoftwaremicrosoftwindows
currentversionrunonce
hkey_local_machinesoftwaremicrosoftwindows
currentversionrunservicesonce
四项中所有包含msgsrv16="msgserv16.exe"的键值
2、重新启动机器后删除c:windowssystem目录下的msgserv16.exe文件
6969端口的关闭：
这个端口是木马程序priority的默认服务端口，清除该木马的方法如下：
1、编辑注册表，删除hkey_local_machinesoftwaremicrosoftwindowscurrentversion
run services项中的"pserver"=c:windowssystempserver.exe键值
2、重新启动系统后删除c:windowssystem目录下的pserver.exe文件
7306端口的关闭：
这个端口是木马程序网络精灵的默认服务端口，该木马删除方法如下：
1、你可以使用fport察看7306端口由哪个程序**，记下程序名称和所在的路径
2、如果程序名为netspy.exe，你可以在命令行方式下到该程序所在目录输入命令netspy.exe/remove来删除木马
3、如果是其他名字的程序，请先在进程中结束该程序的进程，然后到相应目录下删除该程序。4、编辑注册表，将hkey_local_machinesoftwaremicrosoftwindows currentversionrun项和hkey_local_machinesoftwaremicrosoftwindows currentversionrunservices项中与该程序有关的键值删除
7511端口的关闭：
7511是木马程序聪明基因的默认连接端口，该木马删除方法如下：
1、首先使用进程管理工具杀掉mbbmanager.exe这个进程
2、删除c:winnt（系统安装目录）中的mbbmanager.exe和explore32.exe程序文件，删除c:winntsystem32目录下的editor.exe文件
3、编辑注册表，删除注册表hkey_local_machinesoftwaremicrosoftwindowscurrentversion
run项中内容为c:winntmbbmanager.exe键名为mainbroad backmanager的项。4、修改注册表hkey_classes_root xtfileshellopencommand中的c:winntsystem32editor.exe%1改为c:winntnotepad.exe%1
5、修改注册表hkey_local_machinesoftwareclasseshlpfileshellopencommand
项中的c:winntexplore32.exe%1键值改为c:winntwinhlp32.exe%1
7626端口的关闭：
7626是木马冰河的默认开放端口（这个端口可以改变），木马删除方法如下：
1、启动机器到安全模式下，编辑注册表，删除hkey_local_machinesoftwaremicrosoftwindows currentversionrun
项中内容为c:winntsystem32kernel32.exe的键值
2、删除hkey_local_machinesoftwaremicrosoftwindows currentversionrunservices项中内容为c:windowssystem32kernel32.exe的键值
3、修改hkey_classes_root xtfileshellopencommand项下的c:winntsystem32sysexplr.exe%1为c:winnt otepad.exe%1
4、到c:windowssystem32下删除文件kernel32.exe和sysexplr.exe
8011端口的关闭：
8011端口是木马程序way2.4的默认服务端口，该木马删除方法如下：
1、首先使用进程管理工具杀掉msgsvc.exe的进程
2、到c:windowssystem目录下删除msgsvc.exe文件
3、编辑注册表，删除hkey_local_machinesoftwaremicrosoftwindowscurrentversion
run项中内容为c:windowssystemmsgsvc.exe的键值
15=netstat portsx!21=blade runner,doly trojan,fore,ftp trojan,inv**ible ftp,larva,ebex,wincrashla
22=ssh portpfxp
23=tiny telnet server:]nt
25=shtrilitz stealth,terminator,wi**,winspy,kuang2 0.17a-0.30,antigen,email password sender,haebu coceda,kuang2,promail trojan,tapiraswz{\n
31=agent 31,hackers parad**e,masters parad**ew
41=deepthroatauwc\
53=domain port
58=dmsetupz^.(a
63=who** portw
79=firehotckerbi\
80=executor 110=promail trojank r*ek
90=dns porto
101=hostname port!dz`6d
110=pop3 portk3
121=jamme**llahi
137=netbios name service portrb
138=netbios datagram service portci",
139=netbios session service portm
194=irc portbj
406=imsp porti]_v
421=tcp wrappers(l
456=hackers parad**ev%rwk
531=rasmindh
555=ini-killer,phase zero,stealth spy!7f
666=attack ftp,satanz backdoorl9ulo&
911=dark shadowp
999=deepthroat-
1001=silencer,webex+s8k=
1011=doly trojan-v*a
1012=doly trojanh=y}
1024=netspyy)
1045=rasmina'
1090=xtremes
1095=ratp
1097=ratq
1098=rat8,p^#
1099=ratvx_+y
1170=psyber stream serverl
1170=voicep_
1234=ultors trojan=qn]
1243=backdoor-g,subseven*-pd&
1245=voodoo doll|m>^|q
1349=bo dllnm?'0
1492=ftp99cmpydwfu
1600=shivka-burka'dl
1807=spysenderdp6
1080=socks port$
1981=shockr**e(orzr]
1999=backdoor 1.00-1.03b
2001=trojan cowksiq.
2023=ripperhf
2115=bugs:(k5
2140=deep throatqqm:l
2140=the invasor
2565=striker;{p
2583=wincrash$
2801=phineas phucker}\)*
3024=wincrash-
3129=masters parad**eaq/_xn
3150=deep throat,the invasor$udd
3700=portal of doomprd!4092=wincrash2c
4567=file nailj~mr
4590=icqtrojanz4$;5000=bubbel,back door setup,sockets de troie$
5001=back door setup,sockets de troieb(c
5321=firehotcker$|
5400=blade runnerxg&tf
5401=blade runner?{ g
5402=blade runner*
5550=japan trojan-xtcp@agxs0
5555=serveme{ss
5556=bo facil#]6
5557=bo facil.
5569=robo-hackx#>r
5742=wincrash;e[6
6400=the thing&qhc
6666=irc server port~fw
6667=irc chat portoy[0u6
6670=deepthroath@;6711=subseven~
6771=deepthroath6rpcb
6776=backdoor-g,subsevenhd^i
6939=indoctrination=xm}2
6969=gatecrasherzgx
6969=priority"b
7000=remote grab,0
7300=netmonitori5x
7301=netmonitorjk3
7306=netmonitorg
7307=netmonitor
7308=netmonitoru
7626=g_client wi
7789=back door setup,ickiller9\...