關(guān)閉常見(jiàn)木馬和未授權(quán)控制軟件的方法
如果計(jì)算機(jī)里存在著木馬病毒和未經(jīng)授權(quán)的遠(yuǎn)程控制軟件，那別人不但能得到你所有的隱私信息和賬號(hào)密碼，更能隨時(shí)奪走計(jì)算機(jī)的控制權(quán)，本文主要講述如何關(guān)閉這兩類(lèi)軟件。

需要說(shuō)明的一點(diǎn)是，本文介紹的各種木馬及未授權(quán)被安裝的遠(yuǎn)程控制軟件均是由于沒(méi)有正確的設(shè)置管理員密碼導(dǎo)致系統(tǒng)被侵入而存在的。因此請(qǐng)先檢查系統(tǒng)中所有賬號(hào)的口令是否設(shè)置的足夠安全。

口令設(shè)置要求：

1.口令應(yīng)該不少于8個(gè)字符；

2.不包含字典里的單詞、不包括姓氏的漢語(yǔ)拼音；

3.同時(shí)包含多種類(lèi)型的字符，比如大寫(xiě)字母(A,B,C,..Z)、小寫(xiě)字母(a,b,c..z)、數(shù)字(0,1,2,…9)、標(biāo)點(diǎn)符號(hào)(@,#,!,$,％,& …)。

注意：下文中提到的相關(guān)路徑根據(jù)您的操作系統(tǒng)版本不同會(huì)有所不同，請(qǐng)根據(jù)自己的系統(tǒng)做相應(yīng)的調(diào)整

Win98系統(tǒng)：c:\Windows、c:\Windows\system
Winnt和Win2000系統(tǒng)：c:\Winnt、c:\Winnt\system32
Winxp系統(tǒng)：c:\Windows、c:\Windows\system32

根據(jù)系統(tǒng)安裝的路徑不同，目錄所在盤(pán)符也可能不同，如系統(tǒng)安裝在D盤(pán)，請(qǐng)將C:\Windows改為D:\Windows依此類(lèi)推。

大部分的木馬程序都可以改變默認(rèn)的服務(wù)端口，我們應(yīng)該根據(jù)具體的情況采取相應(yīng)的措施，一個(gè)完整的檢查和刪除過(guò)程如下例所示：

113端口木馬的清除（僅適用于Windows系統(tǒng)）：這是一個(gè)基于irc聊天室控制的木馬程序。

1.首先使用netstat -an命令確定自己的系統(tǒng)上是否開(kāi)放了113端口；

2.使用fport命令察看出是哪個(gè)程序在監(jiān)聽(tīng)113端口；

例如我們用fport看到如下結(jié)果：

Pid　 ProcessPort　Proto Path
392　 svchost　->　113　 TCP
C:\WinNT\system32\vhos.exe

我們就可以確定在監(jiān)聽(tīng)在113端口的木馬程序是vhos.exe而該程序所在的路徑為c:\Winnt\system32下。

3.確定了木馬程序名（就是監(jiān)聽(tīng)113端口的程序）后，在任務(wù)管理器中查找到該進(jìn)程，并使用管理器結(jié)束該進(jìn)程。

4.在開(kāi)始-運(yùn)行中鍵入regedit運(yùn)行注冊(cè)表管理程序，在注冊(cè)表里查找剛才找到那個(gè)程序，并將相關(guān)的鍵值全部刪掉。

5.到木馬程序所在的目錄下刪除該木馬程序。（通常木馬還會(huì)包括其他一些程序，如rscan.exe、psexec.exe、ipcpass.dic、ipcscan.txt等，根據(jù)木馬程序不同，文件也有所不同，你可以通過(guò)察看程序的生成和修改的時(shí)間來(lái)確定與監(jiān)聽(tīng)113端口的木馬程序有關(guān)的其他程序）。
6.重新啟動(dòng)機(jī)器


以下列出的端口僅為相關(guān)木馬程序默認(rèn)情況下開(kāi)放的端口，請(qǐng)根據(jù)具體情況采取相應(yīng)的操作：

707端口的關(guān)閉：

這個(gè)端口開(kāi)放表示你可能感染了nachi蠕蟲(chóng)病毒，該蠕蟲(chóng)的清除方法如下：

1、停止服務(wù)名為WinS Client和Network Connections Sharing的兩項(xiàng)服務(wù)；
2、刪除c:\Winnt\SYSTEM32\WinS\目錄下的DLLHOST.EXE和SVCHOST.EXE文件；
3、編輯注冊(cè)表，刪除HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services項(xiàng)中名為RpcTftpd和RpcPatch的兩個(gè)鍵值。

1999端口的關(guān)閉：

這個(gè)端口是木馬程序BackDoor的默認(rèn)服務(wù)端口，該木馬清除方法如下：

1、使用進(jìn)程管理工具將notpa.exe進(jìn)程結(jié)束；
2、刪除c:\Windows\目錄下的notpa.exe程序；
3、編輯注冊(cè)表，刪除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run項(xiàng)中包含c:\Windows\notpa.exe /o=yes的鍵值。

2001端口的關(guān)閉：

這個(gè)端口是木馬程序黑洞2001的默認(rèn)服務(wù)端口，該木馬清除方法如下：

1、首先使用進(jìn)程管理軟件將進(jìn)程Windows.exe殺掉；
2、刪除c:\Winnt\system32目錄下的Windows.exe和S_Server.exe文件；
3、編輯注冊(cè)表，刪除HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\項(xiàng)中名為Windows的鍵值；
4、將HKEY_CLASSES_ROOT和HKEY_LOCAL_MACHINE\Software\CLASSES項(xiàng)中的Winvxd項(xiàng)刪除；
5、修改HKEY_CLASSES_ROOT\txtfile\shell\open\command項(xiàng)中的c:\Winnt\system32\S_SERVER.EXE ％1為C:\WinNT\NOTEPAD.EXE ％1；
6、修改HKEY_LOCAL_MACHINE\Software\CLASSES\txtfile\shell\open\command項(xiàng)中的c:\Winnt\system32\S_SERVER.EXE ％1鍵值改為C:\WinNT\NOTEPAD.EXE ％1。

2023端口的關(guān)閉：

這個(gè)端口是木馬程序Ripper的默認(rèn)服務(wù)端口，該木馬清除方法如下：

1、使用進(jìn)程管理工具結(jié)束sysrunt.exe進(jìn)程；
2、刪除c:\Windows目錄下的sysrunt.exe程序文件；
3、編輯system.ini文件，將shell=explorer.exe sysrunt.exe 改為shell=explorer.exe后保存；
4、重新啟動(dòng)系統(tǒng)。

2583端口的關(guān)閉：

這個(gè)端口是木馬程序Wincrash v2的默認(rèn)服務(wù)端口，該木馬清除方法如下：

1、編輯注冊(cè)表，刪除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\項(xiàng)中的WinManager = "c:\Windows\server.exe"鍵值；
2、編輯Win.ini文件，將run=c:\Windows\server.exe改為run=后保存退出；
3、重新啟動(dòng)系統(tǒng)后刪除C:\Windows\system\ SERVER.EXE。

3389端口的關(guān)閉：

首先說(shuō)明3389端口是Windows的遠(yuǎn)程管理終端所開(kāi)的端口，它并不是一個(gè)木馬程序，請(qǐng)先確定該服務(wù)是否是你自己開(kāi)放的。如果不是必須的，請(qǐng)關(guān)閉該服務(wù)。

Win2000關(guān)閉的方法：

1、Win2000server

開(kāi)始-->程序-->管理工具-->服務(wù)里找到Terminal Services服務(wù)項(xiàng)，選中屬性選項(xiàng)將啟動(dòng)類(lèi)型改成手動(dòng)，并停止該服務(wù)。

2、Win2000pro

開(kāi)始-->設(shè)置-->控制面板-->管理工具-->服務(wù)里找到Terminal Services服務(wù)項(xiàng)，選中屬性選項(xiàng)將啟動(dòng)類(lèi)型改成手動(dòng)，并停止該服務(wù)。

Winxp關(guān)閉的方法：

在我的電腦上點(diǎn)右鍵選屬性-->遠(yuǎn)程，將里面的遠(yuǎn)程協(xié)助和遠(yuǎn)程桌面兩個(gè)選項(xiàng)框里的勾去掉。