电脑被远程控制

电脑被远程控制 关闭远程控制电脑 “开始”,“所有程序”“附件”,“通讯”,“远程桌面连接”，接下来 点击里面的“选项”，即可看到如下 的画面: 在“计算机”一栏中填入需要控制机器的IP或者机器名，用户名可以使用对方机器上可以正常登陆的用户名和密码。 在其他几个选项中，点开之后稍做调整，如不调整，按照默认的也可以，接下来点“连接”即可，非常方便。 更保险的方法，拔下您的远程控制线 1年前 - 检举 (远程遥控请求) 如何判断自己的电脑是否被远程控制 虽然不能明确的回答你的问题,不过还是可以说一下我的看法: 1.在远程控制前系统会有提示只要不接就可以了. 2.在我的电脑里面关闭远程控制命令,删除没有用的用户名. 3.没有人在的时候电脑光标乱动. 关闭常见木马和未授权控制软件 www.hacker.cn : 如果计算机里存在着木马病毒和未经授权的远程控制软件，那别人不但能得到你所有的隐私信息和账号密码，更能随时夺走计算机的控制权，本文主要讲述如何关闭这两类软件。 需要说明的一点是，本文介绍的各种木马及未授权被安装的远程控制软件均是由于没有正确的设置管理员密码导致系统被侵入而存在的。因此请先检查系统中所有帐号的口令是否设置的足够安全。 口令设置要求: 1.口令应该不少于8个字符; 2.不包含字典里的单词、不包括姓氏的汉语拼音; 3.同时包含多种类型的字符，比如大写字母(A,B,C,..Z)、小写字母 (a,b,c..z)、数字(0,1,2,„9)、标点符号(@,#,!,$,,,& „)。 注意:下文中提到的相关路径根据您的操作系统版本不同会有所不同，请根据自己的系统做相应的调整 Win98系统:c:\Windows、c:\Windows\system Winnt和Win2000系统:c:\Winnt、c:\Winnt\system32 Winxp系统:c:\Windows、c:\Windows\system32 根据系统安装的路径不同，目录所在盘符也可能不同，如系统安装在D盘，请将C:\Windows改为D:\Windows依此类推。 大部分的木马程序都可以改变默认的服务端口，我们应该根据具体的情况采取相应的措施，一个完整的检查和删除过程如下例所示: 例:113端口木马的清除(仅适用于Windows系统):这是一个基于irc聊天室控制的木马程序。 1.首先使用netstat -an命令确定自己的系统上是否开放了113端口; 2.使用fort命令察看出是哪个程序在监听113端口; 例如我们用fort看到如下结果: Pid ProcessPort Proto Path 113 TCP 392 svchost -> C:\WinNT\system32\vhos.exe 我们就可以确定在监听在113端口的木马程序是vhos.exe而该程序所在的路径为c:\Winnt\system32下。 3.确定了木马程序名(就是监听113端口的程序)后，在任务管理器中查找到该进程，并使用管理器结束该进程。 4.在开始-运行中键入reedit运行注册表管理程序，在注册表里查找刚才找到那个程序，并将相关的键值全部删掉。 5.到木马程序所在的目录下删除该木马程序。(通常木马还会包括其他一些程序，如rscan.exe、psexec.exe、ipcpass.dic、ipcscan.txt等，根据木马程序不同，文件也有所不同，你可以通过察看程序的生成和修改的时间来确定与监听113端口的木马程序有关的其他程序)。 6.重新启动机器 以下列出的端口仅为相关木马程序默认情况下开放的端口，请根据具体情况采取相应的操作: 707端口的关闭: 这个端口开放表示你可能感染了nachi蠕虫病毒，该蠕虫的清除方法如下: 1、停止服务名为WinS Client和Network Connections Sharing的两项服务; 2、删除c:\Winnt\SYSTEM32\WinS\目录下的DLLHOST.EXE和SVCHOST.EXE文件; 3、编辑注册表，删除 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services项中名为RpcTftpd和RpcPatch的两个键值。 1999端口的关闭: 这个端口是木马程序BackDoor的默认服务端口，该木马清除方法如下: 1、使用进程管理工具将notpa.exe进程结束; 2、删除c:\Windows\目录下的notpa.exe程序 3、编辑注册表，删除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run项中包含c:\Windows\notpa.exe /o=yes的键值。 2001端口的关闭: 这个端口是木马程序黑洞2001的默认服务端口，该木马清除方法如下: 1、首先使用进程管理软件将进程Windows.exe杀掉; 2、删除c:\Winnt\system32目录下的Windows.exe和S_Server.exe文件; 3、编辑注册表，删除 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServi ces\项中名为Windows的键值; 4、将HKEY_CLASSES_ROOT和HKEY_LOCAL_MACHINE\Software\CLASSES项中的Winvxd项删除; 5、修改HKEY_CLASSES_ROOT\txtfile\shell\open\command项中的 c:\Winnt\system32\S_SERVER.EXE ,1为C:\WinNT\NOTEPAD.EXE ,1; 6、修改HKEY_LOCAL_MACHINE\Software\CLASSES\txtfile\shell\open\command 项中的c:\Winnt\system32\S_SERVER.EXE ,1键值改为 C:\WinNT\NOTEPAD.EXE ,1。 2023端口的关闭: 这个端口是木马程序Ripper的默认服务端口，该木马清除方法如下: 1、使用进程管理工具结束sysrunt.exe进程; 2、删除c:\Windows目录下的sysrunt.exe程序文件; 3、编辑system.ini文件，将shell=explorer.exe sysrunt.exe 改为shell=explorer.exe后保存; 4、重新启动系统。 2583端口的关闭: 这个端口是木马程序Wincrash v2的默认服务端口，该木马清除方法如下: 1、编辑注册表，删除 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\项中的WinManager = "c:\Windows\server.exe"键值; 2、编辑Win.ini文件，将run=c:\Windows\server.exe改为run=后保存退出; 3、重新启动系统后删除C:\Windows\system\ SERVER.EXE。 3389端口的关闭: 首先说明3389端口是Windows的远程管理终端所开的端口，它并不是一个木马程序，请先确定该服务是否是你自己开放的。如果不是必须的，请关闭该服务。 Win2000关闭的方法: 1、Win2000server 开始-->程序-->管理工具-->服务里找到Terminal Services服务项，选中属性选项将启动类型改成手动，并停止该服务。 2、Win2000pro 开始-->设置-->控制面板-->管理工具-->服务里找到Terminal Services 服务项，选中属性选项将启动类型改成手动，并停止该服务。 Winxp关闭的方法: 在我的电脑上点右键选属性-->远程，将里面的远程协助和远程桌面两个选项框里的勾去掉。 4444端口的关闭: 如果发现你的机器开放这个端口，可能表示你感染了msblast蠕虫，清除该蠕虫的方法如下: 1、使用进程管理工具结束msblast.exe的进程; 2、编辑注册表，删除 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run项中的"Windows auto update"="msblast.exe"键值; 3、删除c:\Winnt\system32目录下的msblast.exe文件4899端口的关闭: 首先说明4899端口是一个远程控制软件(remote administrator)服务端监听的端口，他不能算是一个木马程序，但是具有远程控制功能，通常杀毒软件是无法查出它来的，请先确定该服务是否是你自己开放并且是必需的。如果不是请关闭它。 关闭方法 1、请在开始-->运行中输入cmd(98以下为command),然后 cd C:\Winnt\system32(你的系统安装目录)，输入r_server.exe /stop后按回车。 然后在输入reserve /uninstall /silence; 2、到C:\Winnt\system32(系统目录)下删除r_server.exe admdll.dll raddrv.dll三个文件。 5800，5900端口: 首先说明5800，5900端口是远程控制软件VNC的默认服务端口，但是VNC在修改过后会被用在某些蠕虫中。请先确认VNC是否是你自己开放并且是必须的，如果不是请关闭。 关闭的方法: 1、首先使用fort命令确定出监听在5800和5900端口的程序所在位置(通常会是c:\Winnt\fonts\explorer.exe); 2、在任务管理器中杀掉相关的进程(注意有一个是系统本身正常的，请注意～如果错杀可以重新运行c:\Winnt\explorer.exe); 3、删除C:\Winnt\fonts\中的explorer.exe程序; 4、删除注册表 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run项中的Explorer键值; 5、重新启动机器。 6129端口的关闭: 首先说明6129端口是一个远程控制软件(dame ware not utilities)服务端监听得端口，他不是一个木马程序，但是具有远程控制功能，通常的杀毒软件是无法查出它来的。请先确定该服务是否是你自己安装并且是必需的，如果不是请关闭。 关闭方法: 1、选择开始-->设置-->控制面板-->管理工具-->服务 找到Dame Ware Mini Remote Control项点击右键选择属性选项，将启动类型改成禁用后停止该服务; 2、到c:\Winnt\system32(系统目录)下将DWRCS.EXE程序删除; 3、到注册表内将HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ 项中的DWRCS键值删除。 参考资料 把远程协助类服务全部关闭会有什么影响 Remote Access Auto Connection Manager (远程访问自动联机管理员) 微软: 当程序参照到远程 DNS 或 NetBIOS 名称或地址时，建立远程网络的联 机。 补充: 有些 DSL/Cable 提供者，可能需要用此来处理登入程序 依存: Remote Access Connection Manager、Telephony 建议: 手动 Remote Access Connection Manager (远程访问联机管理员) 微软: 建立网络联机。 补充: 网络联机用 依存: Telephony、Internet Connection Firewall (ICF) / Internet Connection Sharing (ICS)、Remote Access Auto Connection Manager 建议: 手动 Remote Desktop Help Session Manager 微软: 管理并控制远程协助。如果此服务停止的话，远程协助将无法使用。停止此服务之前，请先参阅内容对话框中的 [依存性]标签。 补充: 如上说的管理和控制远程协助，如果不使用可以关了 依存: Remote Procedure Call (RPC) 建议: Disable Remote Procedure Call (RPC) (远程过程调用，RPC) 微软: 提供结束点对应程序以及其它 RPC 服务。 补充: 一些装置都依存它，别去动它 依存: 太多了，自己去看看 建议: 自动 Remote Procedure Call (RPC) Locator (远程过程调用定位程序) 微软: 管理 RPC 名称服务数据库。 补充: 如上说的，一般计算机上很少用到，可以尝试关了 依存: Workstation 建议: Disable Remote Registry (远程登录服务) 微软:启用远程使用者修改这个计算机上的登录设定。如果这个服务被停止，登录只能由这个计算机上的使用者修改。如果这个服务被停用，任何明确依存于它 的服务将无法启动。 补充: 基于安全性的理由，如果没有特别的需求，建议最好关了它，除非你需要远程协助修改你的登录设定 依存: Remote Procedure Call (RPC) 建议: 已停用 Telnet 微软: 启用一个远程使用者来登入到这台计算机和执行应用程序，以及支持各种 TCP/IP Telnet 客户端，包含以 UNIX 为基本和以 Windows 为基本的计算机。如果服务停止了，远程使用者可能无法存取应用程序。如果服务停用了，任何明确地依存于这项服务的其它服务将会启动失败。 补充: 允许远程使用者用 Telnet 登入本计算机，一般人会误解关了就无法使用BBS，这其实和BBS无关，基于安全性的理由，如果没有特别的需求，建议最好关了 依存: NT LM Security Support Provider、Remote Procedure Call (RPC)、TCP/IP Protocol Driver 建议: 已停用 Terminal Services (终端机服务) 微软: 允许多位使用者互动连接到同一部计算机、桌面的显示器及到远程计算机的应用程序。远程桌面的加强 (包含系统管理员的 RD)、快速切换使用者、远程协助和终端机服务器。 补充: 远程桌面或是远程协助的功能，不需要就关了 依存: Remote Procedure Call (RPC)、Fast User Switching Compatibility、Interactive Logon 建议: 已停用 Default.rdp 远程桌面控制 软件, 远程桌面是Windows XP Professional的一个标准组件，它允许你使用任何基于Windows的客户端从任何位置，通过任何连接来访问Windows XP Professional的计算机。远程桌面可让你可靠地使用远程计算机上的所有的应用程序、文件和网络资源，就如同你本人就坐在远程计算机的面前一样。不仅如 此，本地(办公室)运行的任何应用程序在你使用远程桌面远程(家、会议室、途中)连接后仍可以正常运行。以下笔者先以场景实例的方式为大家阐述一下如何运用远程桌面实现远程控制。 实例1:和客户签合同时，小王才想起了打印好的合同还放在公司的办公室里，不过不要紧，使用客户的计算机，利用远程桌面连接到办么室自己的计算机上，启动自己的WPS 2000并打开合同文档(注意，合同文档为“*.wps”格式，并且客户的计算机上并没有安装WPS应用程序)，单击“打印”，稍后，一份合同就在客户的打印机上打印出来了。 实例2:同事小毛用Microsoft Word写文档忙了一个下午，然而下班时间过了3个小时了，明天要用的发言稿还没写完。但必须有急事回家，甩手关门(注意，出门前没有关闭Word)，回家办完急事后，不紧不慢地拿出了本本，连接到办公室的电脑后，Microsoft Word中没编辑完的发言稿光标还一闪一闪地眨着眼睛，似乎正在期盼着自己的主人。 实例3:朋友们来了要聚会，扫兴的是家中的电脑上没有一首轻音乐，这岂能难倒做网管的小张，使用远程桌面，办公室电脑的桌面瞬间显示在了家庭电脑的屏幕上，打开远程的Windows Media Player(注意，播放的文件也在远程电脑上)，办公室电脑上的轻音乐从家中的音响系统中悠扬地飘了出来。 ?Windows XP中远程桌面实现远程控制(2) 远程桌面是基于“终端服务”技术的(在Server的Windows版本中，这一技术叫做终端服务，提供这一服务的主机叫做终端服务器)。当你从基于Windows的客户机或其他能使用远程桌面(RDP)的终端使用远程桌面时，有许多本地资源(客户机上的资源)可以在远程主机中使用，这些资源包括: ? 本地文件系统。远程桌面可以使本地的驱动器映射在远程主机的资源管理器中(如图1)，这使得本地文件系统可用于终端会话中的远程电脑上，客户机文件系统可以通过远程主机进行访问。 ? 本地打印机。这会将打印作业从远程主机路由到与本地计算机连接的打印机上(如实例1)。客户机登录到远程主机时，就会检测本地打印机，并将合适的打印机驱动程序安装到远程主机上。 ? 本地物理端口及设备。这使得运行在远程主机的应用程序能够访问客户 机上的串行和并行端口，端口重定向可以使这些端口能够在远程主机上访问和操作设备，例如，远程主机的应用程序可使用连接在本地端口上的条形码阅读器或扫描仪。 ? 本地音响系统。你可以运行远程主机上的多媒体播放程序，然后从本地计算机的音箱中欣赏音乐(如实例3)。 ? 本地剪贴板。准确地说，远程主机使用的仍然是自己的剪贴板，只不过在远程桌面中主机剪贴板的内容能与客户机剪贴板保持同步，也就是客户机和远程主机能够共享剪贴板内容，这样，你就可从“远程桌面连接”窗口内的文档中复制或剪切文本和图形，然后将其粘贴到本地计算机上的文档中。 ?Windows XP中远程桌面实现远程控制(3) 远程桌面使用的协议 远程桌面的这些功能是通过远程桌面协议即RDP提供的。RDP是演示协议，能够使基于Windows的终端(WBT)，或其他任何基于Windows的客户机与基于Windows XP Professional的终端进行通信，它的设计目的就是为运行在Windows XP Professional的应用程序提供远程显示和输入功能。RDP能在任何TCP/IP的连接上运行，包括拨号连接、局域网(LAN)、广域网(WAN)、综合数字服务网(ISDN)、DSL或者虚拟专用网(VPN)。 防止电脑被远程控制 ,,设置系统(,，,,,,,,,,,,,)自动升级，及时安装补丁( 怎样消除远程控制(和上面的一样吗) 具体操作如下:默认情况下，Windows有很多端口是开放的，在你上网的时候，网络病毒和黑客可以通过这些端口连上你的电脑。 为了让你的系统变为铜墙铁壁，应该封闭这些端口，主要有:TCP 135、139、445、593、1025 端口和 UDP 135、137、138、445 端口，一些流行病毒的后门端口(如 TCP 2745、3127、6129 端口)，以及远程服务访问端口3389。下面介绍如何在WinXP/2000/2003下关闭这些网络端口: 第一步，点击“开始”菜单/设置/控制面板/管理工具，双击打开“本地安全策略”，选中“IP 安全策略，在本地计算机”，在右边窗格的空白位置右击鼠标，弹出快捷菜单，选择“创建 IP 安全策略”，于是弹出一个向导。在向导中点击 “下一步”按钮，为新的安全策略命名;再按“下一步”，则显示“安全通信请求”画面，在画面上把“激活默认相应规则”左边的钩去掉，点击“完成”按钮就创建了一个新的IP 安全策略。 第二步，右击该IP安全策略，在“属性”对话框中，把“使用添加向导”左边的钩去掉，然后单击“添加”按钮添加新的规则，随后弹出“新规则属性”对话框，在画面上点击“添加”按钮，弹出IP筛选器列表窗口;在列表中，首先把“使用添加向导”左边的钩去掉，然后再点击右边的“添加”按钮添加新的筛选器。绿色,软件,论坛,社区,/}_i'P E9_7J'm/k 第三步，进入“筛选器属性”对话框，首先看到的是寻址，源地址选“任何 IP 地址”，目标地址选“我的 IP 地址”;点击“协议”选项卡，在“选择协议类型”的下拉列表中选择“TCP”，然后在“到此端口”下的文本框中输入“135”，点击“确定”按钮(如左图)，这样就添加了一个屏蔽 TCP 135(RPC)端口的筛选器，它可以防止外界通过135端口连上你的电脑。 点击“确定”后回到筛选器列表的对话框，可以看到已经添加了一条策略，重复以上步骤继续添加 TCP 137、139、445、593 端口和 UDP 135、139、445 端口，为它们建立相应的筛选器。 重复以上步骤添加TCP 1025、2745、3127、6129、3389 端口的屏蔽策略，建立好上述端口的筛选器，最后点击“确定”按钮。 第四步，在“新规则属性”对话框中，选择“新 IP 筛选器列表”，然后点击其左边的圆圈上加一个点，表示已经激活，最后点击“筛选器操作”选项卡。在“筛选器操作”选项卡中，把“使用添加向导”左边的钩去掉，点击“添加”按钮，添加“阻止”操作:在“新筛选器操作属性”的“安全措施”选项卡中，选择“阻止”，然后点击“确定”按钮。 第五步、进入“新规则属性”对话框，点击“新筛选器操作”，其左边的圆圈会加了一个点，表示已经激活，点击“关闭”按钮，关闭对话框;最后回到“新IP安全策略属性”对话框，在“新的IP筛选器列表”左边打钩，按“确定”按钮关闭对话框。在“本地安全策略”窗口，用鼠标右击新添加的 IP 安全策略，然后选择“指派”。 于是重新启动后，电脑中上述网络端口就被关闭了，病毒和黑客再也不能连上. BO2K具体可以对电脑进行哪些远程控制, BO2K的服务器端程序一旦被激活，你就成为了BO2K的服务器，从此处于黑客的完全控制之下, BO2K里共有70多条命令，这些命令用来在服务器上搜集数据和控制服务器，包括在BO2K服务器的电脑上增加目录、删除文件、查看系统中各种可能存在的口令、修改注册表，遥控BO2K服务器的多媒体播放、捕捉等功能。两台计算机建立连接后，选个命令，加上参数(如果需要的话)，按 “Send Command”(发送命令)，就在选择的服务器上执行该命令，服务器的回应也会在回应窗口中显示出来。 黑客可随时启动和锁死系统、猎取密码、获得系统信息;可在你的计算机上出现系统信息框提示，改变HTTP文件服务器访问;可查看、删除、创建网络共享驱动盘和程序;修改注册表;通过远程来拷贝、删除、改变文件名;解压文件; 可使用DNS服务改变主机名和IP地址;可启动和停止BO2K服务系统;加载和卸装有关插件。下面就是BO2K的一些主要的远程控制手段: 1.搜索动态IP地址 从BO2K客户机向特定的IP地址发送命令即可对BO2K服务器操作。如果BO2K服务器无静态IP地址，BO2K客户机提供命令:在BO2K客户机的图形界面中使用“Ping...”命令，给对方电脑发个数据包看它能否被访问，看其是否已经“中招”;另外还可以设定目标IP如“202.102.87.*”，通过扫描子网列表来查找和监控那些电脑被安装了BO2K服务器、而IP地址又是动态分配的用户的电脑。 2.系统控制和文件管理 通过相应的命令，BO2K可以轻松获取和显示包括当前用户、CPU、内存、Window版 本、驱动器(硬盘)容量及未使用空间等内容BO2K服务器上的相关系统信息。另外可以将BO2K服务器上的击键情况和执行输入的窗口名下来。 甚至还可以在BO服务器上开一个对话框来与对方进行对话。BO2K还提供诸如对文件进行查找、拷贝、删除等操作的一系列命令，可在BO2K服务器的硬盘目录中查找目标文件，并能任意增加目录和删除文件、查看和拷贝文件、更改目录名、删除目录等。BO2K还可以任意修改BO2K服务器的注册表，锁住BO2K服务器的 电脑，甚至可以控制BO2K服务器的系统重启动。 3.音频及视频控制 通过BO2K客户端可以列出BO2K服务器的视频输入设备。如果存在视频输入设备，既可以将视频和音频信号捕捉成为avi文件，也可以将BO2K服务器屏幕影像捕捉成为位图文件。只要愿意，甚至还可以遥控BO2K服务器的多媒体播放，比如在BO2K服务器上播放一个avi文件等等。 4.网络控制 BO2K提供了网络连接、出口地址、TCP 文件接收、网络使用等命令，可以查看BO2K服务器上所有的域名、网络接口、服务器等内容，并可列出当前共享名、共享驱动器以及共享目录、权限和密码。通过TCP文件传输，还能将BO2K服务器主机连接到一个特定的IP地址和端口并发送特定文件中的内容，或将所接收到的数据保存到特定文件中。 5.进程控制 BO2K可以通过Telnet对话来控制基于文本或DOS的应用程序。可以在BO2K服务器列出当前激活的插件和已存在的插件并加以运行。另外还能在BO2K服务器上运行一个程序。也可以查看当前运行的所有程序并发送命令关闭其中的某个程序。 作为一个功能强悍的黑客程序，BO2K的这些功能颇有些令人不寒而栗:因为如果我们的电脑不慎被BO2K侵入，当我们上网的时候自己的电脑就已经毫无秘密可言了，别说拨号上网的口令和系统加密口令了，就连你的屏幕保护口令黑客也知道的一清二楚。