如果計算機里存在著木馬病毒和未經授權的遠程控制軟件， 那別人不但能得到你所有的隱私信息和賬號密碼， 更能隨時奪走計算機的控制權， 本文主要講述如何關閉這兩類軟件。

需要說明的一點是， 本文介紹的各種木馬及未授權被安裝的遠程控制軟件均是由于沒有正確的設置管理員密碼導致系統(tǒng)被侵入而存在的。 因此請先檢查系統(tǒng)中所有帳號的口令是否設置的足夠安全。

口令設置要求：

1.口令應該不少于8個字符；

2.不包含字典里的單詞、不包括姓氏的漢語拼音；

3.同時包含多種類型的字符， 比如大寫字母(A， B， C， ..Z)、小寫字母(a， b， c..z)、數字(0， 1， 2， …9)、標點符號(@， #， !， $， ％， & …)。

注意：下文中提到的相關路徑根據您的操作系統(tǒng)版本不同會有所不同， 請根據自己的系統(tǒng)做相應的調整

Win98系統(tǒng)：c:\Windows、c:\Windows\system

Winnt和Win2000系統(tǒng)：c:\Winnt、c:\Winnt\system32

Winxp系統(tǒng)：c:\Windows、c:\Windows\system32

根據系統(tǒng)安裝的路徑不同， 目錄所在盤符也可能不同， 如系統(tǒng)安裝在D盤， 請將C:\Windows改為D:\Windows依此類推。

大部分的木馬程序都可以改變默認的服務端口， 我們應該根據具體的情況采取相應的措施， 一個完整的檢查和刪除過程如下例所示：

113端口木馬的清除（僅適用于Windows系統(tǒng)）：這是一個基于irc聊天室控制的木馬程序。

1.首先使用netstat -an命令確定自己的系統(tǒng)上是否開放了113端口；

2.使用fport命令察看出是哪個程序在監(jiān)聽113端口；

例如我們用fport看到如下結果：

Pid　 ProcessPort　Proto Path

392　 svchost　->　113　 TCP

C:\WinNT\system32\vhos.exe

我們就可以確定在監(jiān)聽在113端口的木馬程序是vhos.exe而該程序所在的路徑為c:\Winnt\system32下。

3.確定了木馬程序名（就是監(jiān)聽113端口的程序）后， 在任務管理器中查找到該進程， 并使用管理器結束該進程。

4.在開始-運行中鍵入regedit運行注冊表管理程序， 在注冊表里查找剛才找到那個程序， 并將相關的鍵值全部刪掉。

5.到木馬程序所在的目錄下刪除該木馬程序。 （通常木馬還會包括其他一些程序， 如rscan.exe、psexec.exe、ipcpass.dic、ipcscan.txt等， 根據木馬程序不同， 文件也有所不同， 你可以通過察看程序的生成和修改的時間來確定與監(jiān)聽113端口的木馬程序有關的其他程序）。

6.重新啟動機器

以下列出的端口僅為相關木馬程序默認情況下開放的端口， 請根據具體情況采取相應的操作：

707端口的關閉：

這個端口開放表示你可能感染了nachi蠕蟲病毒， 該蠕蟲的清除方法如下：

1、停止服務名為WinS Client和Network Connections Sharing的兩項服務；

2、刪除c:\Winnt\SYSTEM32\WinS\目錄下的DLLHOST.EXE和SVCHOST.EXE文件；

3、編輯注冊表， 刪除HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services項中名為RpcTftpd和RpcPatch的兩個鍵值。

1999端口的關閉：

這個端口是木馬程序BackDoor的默認服務端口， 該木馬清除方法如下：

1、使用進程管理工具將notpa.exe進程結束；

2、刪除c:\Windows\目錄下的notpa.exe程序；

3、編輯注冊表， 刪除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run項中包含c:\Windowsotpa.exe /o=yes的鍵值。

2001端口的關閉：

這個端口是木馬程序黑洞2001的默認服務端口， 該木馬清除方法如下：

1、首先使用進程管理軟件將進程Windows.exe殺掉；

2、刪除c:\Winnt\system32目錄下的Windows.exe和S_Server.exe文件；

3、編輯注冊表， 刪除HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\項中名為Windows的鍵值；

4、將HKEY_CLASSES_ROOT和HKEY_LOCAL_MACHINE\Software\CLASSES項中的Winvxd項刪除；

5、修改HKEY_CLASSES_ROOT\txtfile\shell\open\command項中的c:\Winnt\system32\S_SERVER.EXE ％1為C:\WinNT\NOTEPAD.EXE ％1；

6、修改HKEY_LOCAL_MACHINE\Software\CLASSES\txtfile\shell\open\command項中的c:\Winnt\system32\S_SERVER.EXE ％1鍵值改為C:\WinNT\NOTEPAD.EXE ％1。

2023端口的關閉：

這個端口是木馬程序Ripper的默認服務端口， 該木馬清除方法如下：

1、使用進程管理工具結束sysrunt.exe進程；

2、刪除c:\Windows目錄下的sysrunt.exe程序文件；

3、編輯system.ini文件， 將shell=explorer.exe sysrunt.exe 改為shell=explorer.exe后保存；

4、重新啟動系統(tǒng)。

2583端口的關閉：

這個端口是木馬程序Wincrash v2的默認服務端口， 該木馬清除方法如下：

1、編輯注冊表， 刪除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\項中的WinManager = "c:\Windows\server.exe"鍵值；

2、編輯Win.ini文件， 將run=c:\Windows\server.exe改為run=后保存退出；

3、重新啟動系統(tǒng)后刪除C:\Windows\system\ SERVER.EXE。

3389端口的關閉：

首先說明3389端口是Windows的遠程管理終端所開的端口， 它并不是一個木馬程序， 請先確定該服務是否是你自己開放的。 如果不是必須的， 請關閉該服務。

Win2000關閉的方法：

1、Win2000server

開始-->程序-->管理工具-->服務里找到Terminal Services服務項， 選中屬性選項將啟動類型改成手動， 并停止該服務。

2、Win2000pro

開始-->設置-->控制面板-->管理工具-->服務里找到Terminal Services服務項， 選中屬性選項將啟動類型改成手動， 并停止該服務。

Winxp關閉的方法：

在我的電腦上點右鍵選屬性-->遠程， 將里面的遠程協(xié)助和遠程桌面兩個選項框里的勾去掉