其實問題很簡單：

(1) 找出是哪支程式，連到大陸去，可以用 cport.exe 這支免費軟體。
找到後，先用 task manager 把執行的程式強制終止，然後把執行檔砍了。

(2) 找出開機是從哪個 registry 自動執行，可以用 startup cpl 這支免費軟體，然後把不必要的開機自動執行的程式移除。

(3) 重開機，重複步驟 (1) (2) 通常一次就乾淨了。

這些其實就是防毒軟體做的事，只是改成手動執行。

另外勸那些動不動就叫人重灌 OS 的朋友，重灌 OS 是為了簡單，但是重灌 OS 後，要下載的更新，有版權的軟體要重灌，免費的軟體要重灌，半天到一天跑不掉。別輕易就重灌。

重灌?

先用TCP VIEWER之類的軟體，查看看是哪一支程式在連。
同時也可以先將SERVER對外連線的PORT關掉，以避免資料外流。

走 Port 80 的是標準 http，但是 Port 1739 就有可能是惡意程式如後門或木馬了...

Because protocol UDP port 1739 was flagged as a virus (colored red) does not mean that a virus is using port 1739, but that a Trojan or Virus has used this port in the past to communicate.

根據我以前一位客戶的案例，也是有連向中國將公司內部的產品設計圖不斷外流，我建議您採取下列步驟逐步分析問題：

1. 確認流出的資料為何，可以透過 DLP 蒐集指定 Port 的相關資訊。例如，以 McAfee Network DLP Monitor 以 Mirror Port 的方式串連上 Swicth，監聽所有的通訊，設定資安政策為 Port 1739 相關藉此觸發資安事件，並保留其他通過流量以免因資安政策不周詳導致措施資安事件

2. 在稽核陪同下省視資料，有很多時候可能會看到資訊部門不該看到的資料，因此務必找稽核陪同

3. 直接向稽核與董事長報告，不是找總經理或你的主管，也有個案為內部人員蓄意所為，小心主管為了不影響自己的職業生涯而採取針對你的行動

4. 保留證據作為呈堂供物，要注意蒐集的資料是否能作為舉證之用，不是每個工具的蒐證都可以被承認

5. 確定要處理此事，才改用阻擋的方式。可以考慮透過 DLP 防止資料外洩，與 IPS 阻擋惡意攻擊來處理，不要用 Firewall 直接檔掉 80 Port，問題的層級不在 Firewall Port 關注的 OSI 層

請小心處理

如果軟體本身是合法的被開發出來，當然不會被當做病毒或木馬而被掃出來，碰過最有名的就是r_server這個遠端遙控服務，是很多駭客喜歡用的，我常常看到...

建議將server上的處理程序跟服務一個一個看，看到怪怪的名稱就上網找找看，我都是用這招，雖然笨一點，基本上還算蠻管用的

看這個症狀應該是中了偽80port反彈式木馬，即使找到是那個程序刪除，重開機後還是會繼續運作，基本上除了重灌似乎沒有更好的辦法，應該將重點放在這次重灌後，使用者的使用習慣改善，才是長遠之計。