智斗“notepad”
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下面有“notepad.exe qazwsx.hsq”这样一个键值,看来这就是加载木马的地方,删除此键值,重新启动机器后,一切正常。
离开机房还没到一个钟头,有人说机器还有故障,过去一看,那台电脑依然故我,顽强地跳出了拨号连接窗口,notepad.exe又魔鬼般地变回了118KB!“病毒杀不尽,春风吹又生”,看来还有后台老板深藏不露,未能清除,又重新感染了notepad.exe。找来木马清除软件The Cleaner 3.0,查后无异常,又安装了LockDown 2000 7.0,它号称能识别几百种黑客程序。启动其人工扫描特洛伊的功能查找硬盘,同样也未能找到木马。看来只有格式化一条路了。刚刚找出启动盘准备重新分区格式化,正在这时,有电话来说无法访问我们的远程访问服务器,只好暂时先放下手中的活。我局的远程访问服务是由一台安装了拨号网络服务器和FTP服务器软件Serv-U的Windows98微机担任的。发现拨号网络服务器能够连接成功,但Serv-U毫无反应。关闭Serv-U后重开依然如此,我下意识地按“Ctrl+Alt+Del”查看进程,好家伙,“notepad qazwsx.hsq”赫然在内!这台微机也感染了木马病毒!这台微机未建立上网账号,所以未跳出拨号连接窗口,但病毒试图与外界联系时占用了FTP传输所要用的端口,导致外单位虽能拨进却无法进行FTP传输。毫无疑问,病毒是从刚才那台上网微机中传过来的,没想到木马病毒还能通过局域网传播。为了图方便,我把机房中的微机组成了Windows对等网,并把微机的访问权限均设为完全访问。再查看对等网中的其他几台微机,还有两台微机也已经感染病毒。这样看来,很有可能刚才已经清除病毒的微机又从局域网中重新感染了病毒!我重新振奋起来,将这几台微机的notepad.exe和注册表都改了回来,果然远程访问服务又恢复了正常,后来再也没有出过问题。看来病毒是彻底清除干净了,我终于松了一口气。
总结这次与木马斗争的经验,有以下三点,经验一:如果发现你的微机启动时无故出现拨号连接窗口,很可能你已经中了木马。经验二:杀毒软件要经常升级,这样才能对新病毒起到作用。经验三:局域网要严格控制权限,上网的微机最好安装LockDown 2000等防止木马侵入的软件。