5.2 抢救被账号入侵的系统

当确定自己的计算机遭受到了入侵时，可以在不重装系统的情况下采用以下方式“抢救”被入侵的系统。

5.2.1 揪出黑客创建的隐藏账号

隐藏账号的危害是不容忽视的，用户可以通过设置组策略使黑客无法登录使用隐藏账号，具体操作步骤如下：

Step 01 打开【本地组策略编辑器】窗口，依次展开【计算机配置】→【Windows设置】→【安全设置】→【本地策略】→【审核策略】选项。

Step 02 双击右侧窗口中的【审核策略更改】选项，打开【审核策略更改 属性】对话框，勾选【成功】复选框，然后单击【确定】按钮保存设置。

Step 03 按照上述方法将【审核登录事件】选项做同样的设置。

Step 04 按照上述方法将【审核进程跟踪】选项做同样的设置。

Step 05 设置完成后，用户可以通过【计算机管理】窗口中的【事件查看器】查看所有登录过系统的账号及登录的时间，如果有可疑的账号，在这里会一目了然，即便黑客删除了登录日志，系统也会自动记录删除日志的账号。

提示： 在确定了黑客的隐藏账号之后，如果无法删除，可以通过【命令提示符】窗口运行“net user [隐藏账号] [新密码]”命令来更改隐藏账号的登录密码，使黑客无法登录该账号。

5.2.2 批量关闭危险端口

众所周知，网络上木马病毒无孔不入，在各种防护手段下，关闭系统中的危险端口是非常重要的，但是对于计算机新手来说，哪些端口是危险的，哪些端口是不危险的，他们并不清楚。下面介绍一些自动关闭危险端口的方法，以帮助用户扫描并关闭危险的端口。

对于初学者来说，一个一个地关闭危险端口太麻烦了，而且也不知道哪些端口应该关闭，哪些端口不应该关闭。不过用户可以使用一个被称为“危险端口关闭小助手”的工具来自动化关闭端口，具体的操作步骤如下：

Step 01 下载并解压缩“危险端口关闭小助手”工具，在其中双击“自动关闭危险端口.bat”批处理文件，可自动打开【命令】窗口，并在其中闪过关闭状态信息。

Step 02 关闭结束后，系统中的危险端口就全部被关闭掉了。当程序停止后，不要关闭命令窗口，这时按任意键，或继续运行“Win服务器过滤策略”，然后进行流行木马服务端口的关闭，全部完成后，系统才做到了真正的安全。

Step 03 使用“危险端口关闭小助手”工具还可以手工修改、自动关闭端口，利用该功能可以把最新的端口添加到关闭的列表中。用记事本打开“自动关闭有害端口.bat”文件，即可在其中看到关闭端口的重要语句“ipseccmd -w REG -p “HFUT_SECU” -r “Block TCP/1058” -f *+0:1058:TCP -n BLOCK -x >nul”，TCP参数用于指定关闭端口使用的协议，135参数是要关闭的端口。

Step 04 参照上述语句，可以手工添加语句将一些新的木马病毒使用的端口加入到关闭列表中。例如，要关闭新木马使用的8080端口，则可以添加语句“ipseccmd -w REG -p “HFUT_SECU” -r “Block TCP/8080” -f *+0:1058:TCP -n BLOCK -x >nul”，添加完成后显示的效果如下图所示。

Step 05 添加完毕后，将该文件保存为.bat文件，重新运行即可关闭新添加的端口。