扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
3、修复注册表。这个病毒在注册表中会生成比较多的垃圾,所以,若是手工清除的话,一方面,不一定能够全部清除干净,另一方面,也可能一不小心,产生一些错误。此时,我们最好利用我们最近备份的注册表备份文件,直接进行恢复。
4、从网上下载专杀工具或者升级我们的杀毒软件,进行全面的查杀。
5、为了安全起见,需要提醒我们的员工,及时更改我们的帐户密码。因为用户 的密码很可能已经泄露出去。如果不及时把密码改过来的话,不法分子可以利用他们已经得到的用户名与密码,进行一些非法的勾当。
以上这两种进程都是盗号木马的工具。对于这些盗号木马进程,一般情况下,不会对系统运行造成什么影响。所以,相对来说,比较隐蔽。但是,其危害性,确实比 其他病毒大的多。有些病毒只是恶作剧的性质,最多只是让操作系统崩溃或者造成网络拥塞。而企业的文件、帐户信息等不会泄露出去。所以,这些恶作剧的病毒危 害性反而小一点。
所以,为了保障企业网络的安全,最好的办法还是部署企业级别的杀毒系统。如此的话,可以实现在用户不用干预的情况下,对杀毒软件进行及时的升级,防止病毒与木马入侵。
一般来说,任何的网络攻击行为,无论是病毒还是木马,其发生的时候,肯定会在系统中留下一些痕迹。我接着谈谈我们如何从系统进程中查看我们的网络及操作系统是否正在遭受病毒或者木马的侵袭,及对应的解决方法。或许能够给正在遭受网络安全困扰的用户,一些帮助。
三、SMSS进程异常
SMSS进程是会话管理子系统的进程,他主要用来初始化系统变量。正常情况下,他是以系统用户名(system)身份运行,并且运行目录是在 SYSTEM32下面。这个进程是通过系统进程初始化的并且对许多活动的系统变量作出反映。其实这个进程我们平时也经常会感受到。当某个程序发生异常 时,SMSS进程就会让系统停止响应。有时候我们在网上冲浪系统突然提示网页发生错误将关闭,就跟这个进程有关系。这个进程的正常运行,对于系统稳定性来 说,是非常重要的。
但是,这个系统进程也被不法之人利用了。若你在任务管理器中发现以下异常现象,那么就要恭喜你了,你中木马了。
异常现象:
1、不是以系统用户名(system)身份运行的,并且,运行目录不是SYSTEM32下面的,那么就说明这个进程有异常。我们要注意,若是系统的正常的 SMSS进程,一定是以系统用户名运行的,并且,一定是在SYSTEM32目录下运行。否则的话,就不是系统本身的SMSS进程,很可能是木马伪造的进 程。
2、在系统中有同时出现两个或者两个以上SMSS进程,那么你就要注意了,你电脑很可能中了木马。
现在最常见的SMSS进程异常是由WIN32.LADEX.A木马所造成的。这个木马病毒危害很大,他不仅允许攻击者访问你的电脑,而且,还会窃取你的机 密文件与个人密码。这个危害性是很大的。根据官方的建议,若发现这个进程异常的话,要马上删除这个进程,并进行杀毒工作。
这个木马若手工删除的话,非常的麻烦。以前有一电脑中了这个木马,整整花了一天的时间,删除关联文件,修改注册表,才清除干净。一般不建议手工删除这个木马,太麻烦,而且比较专业,要求对这个病毒有比较彻底的认识与了解。若发现这个进程异常时,建议采取如下操作:
1)、在任务管理器下,马上关闭这个进程。有时候,可能利用系统的进程管理器还不能关闭这个进程,需要在安全模式下,才能关闭。所以,我们的第一要务,就是想尽一切可以想的办法,把这个进程先结束掉,如此,我们才可以做其他的工作。
2)、在杀毒软件网站上,找这个木马的专杀工具。这个病毒其关联的范围太广,若手工删除的话,太浪费时间,一不小心的话,那边还会剩下漏网之雨。即使熟悉 这个木马的人,要把木马清除干净的话,若没有半天的时间估计也搞不定。而且,因为要修改注册表等信息,所以手工修改也会发生错误。我的建议是,从网上寻找 一个转杀工具,用来查杀一下就可以了。
3)、利用专杀工具杀掉病毒后,要提醒中木马电脑的用户,要及时修改密码。如用户邮箱、QQ等即时通信工具的密码;若在这台电脑上使用过网上银行的话,还 要修改这个网上银行的密码。因为这些信息很可能在用户不知情的情况下,就已经被攻击者所获取。所以,不怕一万,就怕万一,要即使修改这些信息,防止被攻击 者非法利用。
四、Winlogon进程异常
这个进程是微软操作系统的用户登陆程序,管理用户的登陆与退出。该进程正常运行路径已经为SYSTEM32路径下并且是以SYSTEM系统身份用户运行。
但是,不幸的是,这个进程已经被落雪木马看中。
进程异常现象:
当你打开系统进程查看器查看你的系统进程时,若你发现你的系统中有个大写的WINLOGON进程并且该进程不是以SYSTEM系统用户名身份运行,而是当 前帐户身份运行的话,那你就中了这个所谓的落雪病毒。 这个病毒很顽固,而且,也很狡猾,这个木马是由VB程序语言编写,通过北斗壳技术进行加壳处理。病毒文件名被模拟成正常的系统工具名称,但是,文件扩展名 变成了COM,而正常的系统进程是以EXE结尾的。这是落雪木马利用了微软操作系统的一个特性。当有两个文件,如A.EXE与A.COM两个文件。这个两 个文件都是可执行文件,而且,文件名相同,只是扩展名不同。此时,我们若在命令行中,输入A运行A程序时,系统会优先执行A.COM程序。这是为什么呢? 原来微软操作系统执行COM文件的优先级别要比执行EXE的文件级别高。如此,当用户在命令行中输入A,此时,系统运行的不是系统征程的进程或者程序,而 是木马病毒。该病毒在运行时,还会创建一个WINLOGON.EXE进程,所以,我们查看进程管理器的时候,会发现有两个WINLOGON进程。只是一个 是大写名字,一个是小写名字。另外运行的用户与路径也有差异。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。