拔掉守护进程 根除顽固木马
网络整理 - 07-27
一、念天地之幽幽,独怆然而‘鼻涕’下相信很多和计算机、网络打交道的朋友都和我有一个同感,那就是网络太方便了,随之而来的第二个感受就是网络太可怕了,经常上网的朋友或多或少被一些可恶的家伙耍过几次,这些人被我们尊称为“灰客”,遇到这些朋友,轻则被开个恶意玩笑,重则。。。嘿嘿!%&@#%@#$
在经历过N次受伤的愤怒、无奈、彷徨后,俺的防御力多少有了些提升,下面就把我的经验说出来与大家共享一下,让我们这些菜鸟一起成长吧!
二、风萧萧兮易水寒,壮士一去兮不复还
有一次在网上和朋友聊天,他给我发了一个文件,说是什么小游戏,一向热爱游戏的我怎么能放过,立即毫无防备地下载运行,可是奇怪的事发生了,一个QQ 登陆窗口弹了出来!我被搞得一头雾水,QQ咋这么智能?连我要再开一个QQ号都感应到了!咦?好像不大对啊,登陆窗口的“隐身登陆”复选项怎么不好使?我心里一惊,该不会是中了木马吧!不管了,先看看在说,我打开进程管理器看了一下,果然多了一个,不,是三个可疑进程!进程名分别为:mbuogdtk.exe、nvrqaj.exe、ucstlw.exe,哈哈,让我找到了,这种问题是难不到我的,于是我开始在进程管理器中逐一关闭三个进程。可是,怎么刚关了的进程又起来了,我晕倒!再关一次,又起来... 看来是遇上难缠的木马了!该怎么办呢?这回网络的强大优势又发挥出来了,上网查了一圈资料后,我了解到这是一个QQ盗号木马,这里可木马之所以无法关闭其进程,是因为它还有一个或多个守护进程,它们之间通过进程互锁,以达到防止进程被关闭的目的。换句话说,就是还有其他进程在监视它,一旦发现这个木马的进程被关闭,守护进程就会再次把它启动。
三、祸兮福之所倚,福兮祸之所伏
俺虽然是菜鸟但也不能这么轻易就投降吧,我决定操起十八般武艺来对付它!用杀毒软件?(俺的机器上装了N多个杀毒软件和防木马软件,瑞星,金山,木马防线,木马克星……),可是我总不能全盘扫描一遍呀,俺这120G的硬盘全扫一遍要多长时间呀?!况且我现在还要上网呢,影响效率不说,要是被这可恶的木马盗走俺的账号密码什么的就麻烦了!
最后我还是决定手工杀除木马,可是怎样才能同时关闭三个进程呢?忽然眼前灵光一闪,对啊,木马防线2005+不是提供了一个进程管理工具嘛,好像支持多进程同时清除,这回看我的吧!
图1:木马防线2005+进程管理工具
立该运行木马防线,点击系统工具栏中的“进程管理”,然后在进程列表中找到这三个可疑进程并选中它们,点击中止进程,哈哈,进程都不见了!然后,我又根据“进程管理”工具中提供的信息找到进程对应的文件位置,一并删除之!终于把木马彻底赶出我的电脑了,木马防线想的还真周到,在进程列表中加入了各个进程所对应的文件路径,方便用户进行查找。为了安全起鉴,过了一会我又打开任务管理器查看了一下,木马进程果然没有再出现,这下总算放心了。晚上我又用杀毒软件和反木马防线彻底扫描了一遍系统,没有再发现木马!
事后俺狠狠地教训了那个网友,还不忘自我吹嘘了一番,他听说我是手工杀除的这个木马,对我佩服的五体投地,嘻嘻!说老实话,要不有木马防线2005+的“进程管理”工具,我也非得用杀毒软件全盘查它一遍不可!因为对进程互锁这一类木马来说要想清除它还真是个麻烦事儿!
四、写在最后
最后,我要在这里提醒各位网友注意,当今是个木马横行的时代,各种木马层出不穷,防不胜防。大家一定要守好自己电脑的头道关卡,不要轻意运行别人发来的文件,同时在系统中安装1~2种反病毒和反木马软件,对从网上下载的文件、邮件中的附件等,一定要先用反病毒和反木马软件进行扫描,确定无毒后再打开。一旦如上文中了进程互锁类木马,有两种解决方案:一种是用反病毒软件和反木马软件彻底扫描系统,另外一种是采用木马防线类的反木马软件所提供的专业工具来终止进程,并手工删除文件!
在这两种方案中,我认为第二种方法更有针对性和准确性,特别是对于未知木马等有害程序,也是一种方便快捷的应急方案!