网络安全不可忽视，一不小心就让你中招。最近Radmin木马就在网络上疯狂流窜作案。如果大家通过清理注册表启动项的方法去对付它的话，是不能够成功清除的。因为Radmin通过服务项启动，并且极具隐蔽性。大家要是对系统服务不熟悉，还真拿它没有办法。但是再狡猾的狐狸也逃不脱猎人的眼睛。下面我们就来看看来自湖南的扫黑尖兵小舟是如何清除狡猾的Radmin木马的。

情况描述
　　电脑的鼠标指针无故滑动，像是被别人在操作。并且电脑里多了一些软件程序，其中居然还有宽带账号查看器。电脑也有时自动重启或则关闭。月底去电信营业厅缴上网费，发现莫名多出了使用互联星空进行网上消费的账单，可是我并没有通过电信的互联星空购买任何东西呀。
揪出幕后黑手
　　根据这些情况，我第一感觉就是中了灰鸽子木马。谁叫灰鸽子 “臭名远扬”呢？于是马上升级杀毒软件，对系统进行全面扫描。但是在漫长的查杀过程中一无所获。于是我又按照《电脑报》扫黑尖兵所介绍的方法来手工绞杀灰鸽子，但是发现并没有中灰鸽子木马。
　　真不甘心，我难道还搞不定一个小“马”？我不气馁，仔细地排查系统进程，发现了一个可疑进程r_server.exe，发现该进程占用的内存不大，但是电脑在出现我所描述的故障时，便一下子增大了，可见是一个后门程序。马上结束它，并且打开注册表在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run的位置寻找可疑的加载值。
　　但是让我失望的是并没有r_server.exe加载的值，难道它使用什么最新的高技术？一下子我的思路全断了。于是我又打开“命令提示符”输入“netstat –an”来查看计算机的所有连接与端口使用的情况，我查到一个被非法占用的4899端口，并且看到了远程控制我的IP地址。这下露出马脚了。
扫除Radmin害人“马”
　　根据种种迹象，在网上查看，我猜测我中的是Radmin木马。Radmin木马的默认端口就是4899，并且Radmin不同于普通的木马使用run加载值，而且该木马以前被杀毒软件认为是“良民”的，因为它的原始作用是帮助网管进行远程操作的。但是被黑客滥用于非法对别人入侵后，杀毒软件也不得不对它“痛下杀手”了。
　　我打开注册表编辑器，用木马进程名r_server.exe作为关键字进行扫描，很快便搜索到相关的键值，我在无意中的点击中打开了“Display Name”键值的修改项，发现数值数据为“Remote Administrator Service”，这应该就是Radmin启动的服务名称了，因为Display Name的作用是在服务列表中显示的名称。
　　到这里我已经清楚Radmin木马的工作方式了，它并不是通过run键值来加载的，而是通过“服务”来加载的。知道工作方式就好处理了。我打开服务项,依次进入“控制面板→管理工具→服务”，将Remote Administrator Service服务禁用掉，这时我又发现Radmin键值下的Image Path值下有木马程序的目录，通过目录将木马主程序及一些DLL文件删除掉，再将Radmin主键值删除，Radmin就这样被驱除了。

　　从这个事例，我们可以看到入侵者在小舟的电脑上种上木马后，盗取小舟的宽带账号并通过互联星空进行消费，这是相当卑鄙的，同时这也是犯罪！阿良在这里提醒大家，如果没有使用互联星空服务的需求，最好去营业厅关闭网上购物的功能，以防有所损失。
　　Radmin木马采用大家都容易忽视的服务方式启动木马，增加了大家扫黑的困难。不过还是那句话，再狡猾的狐狸也逃不过猎人的眼睛。只要是木马，一般都会占用系统的端口，只要我们发现了被非法占用端口，然后顺藤摸瓜，就能找到清除木马的方法。
　　最后提示大家，关闭不需要的服务不但可以让系统性能提高，也可以在一定程度上增加系统的安全系数。如果大家对系统需要的服务不熟悉，可以借助超级兔子优化软件，在它的启动优化中可以对系统启动的服务进行设置。千万不可自己随意关闭服务，不然有可能导致系统崩溃。