[第19期实录]企业病毒防治的常见问题(页 1) - 专家门诊 - 51CTO技术论坛_中国领先的IT技术社区

零距离 发表于 2007-3-27 10:16

[第19期实录]企业病毒防治的常见问题

[quote]
[b]讨论主题区域：[/b]3T"WXaJi:aL[)o
[url=http://www.51cto.com/exp/exp_online/][color=blue][size=6]企业病毒防治的常见问题[/size][/color][/url]

相关专题：[url=http://netsecurity.51cto.com/secu/070323/index.html][color=red]认识“灰鸽子”>>[/color][/url]o.BZ^ymt4J
专家blog：[url=http://litiejun.blog.51cto.com/][color=red]李铁军blog>>[/color][/url]

[color=red][b]参加专家门诊活动中，提问被回复的用户，将获得51cto颁发的纪念勋章一枚！[attach]41721[/attach]
N.h0bA'q:f,VT4T
同时,专家门诊活动近期做出了升级改造,想参与专家门诊活动的用户,请按照需求填写完整的个人信息...[/b][/color]W%SA#q/r;@B
[/quote]7RY4o,JY6}v
[quote]zd}Vae9?Jk
[b]本周专家介绍：[/b] [s8sj s}/x@
[color=Red][b]李铁军[/b][/color]
[attach]41469[/attach]X*v sKG6f7Q6eQ'a
　　金山反病毒专家，擅长计算机病毒清除。 2002年1月起，在金山公司任技术工程师。先后从事过单机版、网络版售前售后技术支持工作。对系统维护，病毒清除有丰富的实践经验。
[/quote]$xE^v `wf
[quote] b[ILT0Hm
专家门诊活动进行当中仅对本站会员开放，如果您还没有成为我们的会员，赶快[url=http://passport.51cto.com/reg.php?reback=http://bbs.51cto.com/logging.php?action=logout][color=red]申请注册51CTO会员>>[/color][/url]
[/quote];f&u-?^3Q
[quote]
[b]活动详细流程：[/b]VdO"E%[M;uE
[b]A：[/b]此次活动时间是3月29日下午14:00-17:00，主题是"企业病毒防治的常见问题"，活动的形式是专家在线解答。
[b]B：[/b]在活动预告贴发布之日起，大家可以根据坐诊话题预先提交平时在工作、学习中遇到的各种疑难杂症，我们的专家将会在活动进行时为大家集中解答。
[b]C：[/b][b][color=red]难倒了专家的技术问题[/color][/b]，论坛给予[color=crimson]100[/color]点无忧币的奖励，同时在活动结束后对所有参与技术提问的用户系统将自动颁发20点无忧币。严禁灌水！
[b]D：[/b]对于在活动时间内来不及解答的技术问题，我们将制作成专题统一发布在[url=http://www.51cto.com/exp/exp_online][color=red]预告页面[/color][/url]。
[b]E：[/b]如何让51CTO的技术专家与网友更高效、更愉快的交流，一直是困扰51CTO兄弟们的问题。我们特别做了一个专家与用户之间互动活动的调查（[url=http://bbs.51cto.com/thread-80834-1-1.html][color=blue]您想跟哪个技术领域的专业技术人士交流？[/color][/url]），此次调查我们发现网友希望与专家之间的交流是多方面的，包括：专家成长为CTO的经历、对各种IT培训的认识、IT技术人员的就业情况、企业对IT技术人员的具体要求、专家每天的主要技术工作………………。
[/quote]
[quote] y?[4QW gg
[url=http://www.51cto.com/exp/exp_online/][color=red]点击浏览往届专家坐诊活动>>[/color][/url]
[/quote]

老死北京 发表于 2007-3-27 17:03

一直不是很清楚单机版杀毒软件和网络版有什么区别，除了统一升级，方便管理之外，还有别的不同吗？v\w'zB^C
JS)sP/t5]
[quote]%hB"U3iZq9U*zj
[color=Red][b]专家回复：[/b][/color]W&M+s2Oh}4?W Qkb
网络版杀毒软件可以简单理解为把单机版杀毒软件集中管理的完整系统，对单机版来说，所有控制权限在于你自己，对网络版来说，管理控制权首先属于网管。q G_}+{N6RE4K
2Y Uod5j%Bbv~0a
网络版的好处是网管一人可以管理整个公司网络反病毒软件的运行状态，你不必让企业所有员工具备处理病毒的技能，网管称职就OK了。
[/quote]

willpowerlan 发表于 2007-3-27 17:32

哦

huanzxc111 发表于 2007-3-27 20:05

说的是这样的
谢了先

huanzxc111 发表于 2007-3-27 20:06

我啥语言都不会，木办法，也谈不上什么此生难忘鸟，哈哈

gpm1xf 发表于 2007-3-28 08:34

thanks a lot

bedu21000 发表于 2007-3-28 10:48

学习

semirmyway 发表于 2007-3-28 12:22

看看。。。。。

yangfanlengdie 发表于 2007-3-28 13:48

关于病毒处理的问题7_)R4BMr
在不重装系统的前提下
如果凭经验判断出了电脑中了病毒，比如开机系统占用很高?网页打不开等等Dt-y+D2a+xl+fT
杀毒软件又杀不出该病毒，或者不知道其具体位置？8Tzh^"|(ba
请问该怎么办？
谢谢了7E9H$e7Xc}8Y^
UbAv.t N
[quote]
[color=Red][b]专家回复：[/b][/color]J`.I(v@"\7Dc0x
可以借助杀毒软件提供的辅助工具，或者其它第三方工具，判断力要靠经验。
qt(_l!c(nT
比如金山毒霸提供了进程查看，启动项管理，可疑文件扫描功能，这些工具有助于普通用户发现未知威胁。还有更多专业的工具，比如SReng，冰刃等等，熟练掌握这些工具的前提是你对系统要相当了解。这对普通用户来说，有一定难度。lJTL&wa

有明显中毒特征的情况并不多，你可能发现以前能用的程序，莫名其妙报告非法操作。或者，你发现任务管理器，注册表编辑器，还有杀毒软件突然失效。大多数情况下，你不了解自己中了病毒。普通用户还把计算机的任何异常都挂在病毒的头上。普通用户诊断病毒的主要工具还是依赖杀毒软件。
,Hfd.HqH
如果你有相当的经验，推荐用一下前面提到的两个工具，再接合杀毒软件提供的辅助工具，你会发现更多的系统异常。
[/quote]

ansonly 发表于 2007-3-28 14:35

经验多了就会知道了

tianyeww 发表于 2007-3-28 15:53

把会诊的结果用文本的内容表示出来啊

tianyeww 发表于 2007-3-28 16:01

请问一下凭个人经验机器中了病毒，比如系统占用率很高，网页打不开等情形Xh2k/c cd`0T
但是你的杀毒软件也杀不出来:vg.U.d_(I&X&KI
这样你无从知道你所中病毒的由来和名称！
我想咨询一个完整的查杀流程，直至把病毒解决掉！谢谢KxA'g*[ eH*T

[quote]
[color=Red][b]专家回复：[/b][/color]
对于杀毒软件来说，完整的查杀流程一般是这样：wlV*^ bX'k
_0E_9xYr}5Z
检查文件特征是否和病毒库中的特征匹配，如果是，判断为病毒，杀毒引擎试图将程序恢复到染毒前的状态。/[`6NE'a
)n$C.XI-^ l
如果不是，报告为非病毒，不作任何处理。m"kO uZ:|Q[

杀毒软件的运行依赖于对大量病毒的分析结果，专杀工具相当于把手工清除病毒的过程程序化，对部分病毒来说，专杀工具的效果更好，它可以把病毒修改的系统信息完全复原，而做到这一点，对于通用的杀毒软件来说，是比较困难的。)R!N2U/^V U
[/quote]

helon2133 发表于 2007-3-28 17:17

偶也不是很明白这两种的区别..

好家伙 发表于 2007-3-28 21:57

学习中

yangzok 发表于 2007-3-29 08:29

学习下

hdlzg 发表于 2007-3-29 10:04

都有什么具体的防毒防木马办法？一旦中毒应采取什么措施？如何检测查杀？u1P:nA(z7Y?

[quote]/N(w0nNK3E4P+z
[color=Red][b]专家回复：[/b][/color]8g.Y G)ec$Tm,}[f
s3L3T~\M(J
防病毒其实真的很简单，用我在毒霸论坛的签名吧：oi(x$CiD+XD.d
管理员绝对不用弱口令；启用Internet防火墙（网镖、Windows防火墙、天网或其它）；启用Windows自动更新；任何人发来的可执行程序在未确认安全之前，绝不执行。
4t _cf+z7X,G
中毒后的应对措施：尽可能恢复自己的文档和程序，如果有备份，最简单的方法是用备份还原。不过，从我的经验来看，很多人没有备份，也不知道如何还原。为减少损失，首先建议拔掉网线，使用杀毒软件查杀，如果杀毒软件版本太低，可以重启到带网络连接的安全模式升级后杀毒软件后再查杀。除此之外，如果发现中的是木马后门类病毒（Troj、Hack、Backdoor）等，建议立即修改系统保存的相关口令，特别是你的关键数据口令，比如网银、支付宝、QQ、游戏登录口令等，避免损失更大。|+An"E7zQ%B&i
Lu'V5t^X
[/quote]

wendeyi 发表于 2007-3-29 10:13

看看

看看z7]Wxd
学习学习!!!!!!!!!!!!!!!!

chan_henry 发表于 2007-3-29 10:51

我只想问一个,局域网里面,任何一台主机ping外网,在一段时间里都会出现掉包的情况(3-5%的概率),用p2p终结者,提示局域网处于sniffer状态..但通过查杀,可以肯定网内,无病毒木马..(用norton小型企业版+天网防火墙个人版)...抓包也没出现异常的状态...请问,还有什么地方需要检测.......才能找到问题..所在]1aXe5Y2[ A9} @a

[quote]
[color=Red][b]专家回复：[/b][/color]
ARP攻击的可能性很大，请参考这里，希望对你有用。
[url]http://litiejun.blog.51cto.com/blog/134711/21837[/url]-q!v;dU(]KK){,}7?
[/quote]

tianyeww 发表于 2007-3-29 10:56

我的资料是完整的啊为何说我看不到专家回复

chegol 发表于 2007-3-29 10:59

学习,不过没看到有专家回答兄弟们所提出的问题

lengxf 发表于 2007-3-29 12:35

等待学习。。。。

lengxf 发表于 2007-3-29 12:38

等待学习。。。。

wm7wm7wm7 发表于 2007-3-29 13:30

广告程序not-a-virus，卡巴杀不掉，如何解决？？？

没长叶子的树 发表于 2007-3-29 13:36

我晕,怎么都到20楼了.咳咳,切入正题:"xH0O A%u
1.有些病毒,杀毒软件能查杀出来,但是提示不能删除,需要重新启动,请问为什么会有这样的情况.#`j ])f w+\G
2.对于上面所说的病毒,在重启了之后病毒依然存在,请问该怎么处理I#NL:f~\RM%OX
3.有些病毒,在启动程序组(msconfig)中找不到,但是对于它的病毒文件确删除不掉,就是删了一会就又自己回来了,那么对于这种情况该怎么处理.

[quote]V/Q#w0Ylhy
[color=Red][b]专家回复：[/b][/color]
1.杀毒时提示重启，这类病毒通常是以驱动、服务的方式加载，或者是病毒注入了正常程序的进程空间，彻底清除需要在重启过程中杀掉病毒文件。
2.的确有你说的，重启后发现病毒还在的情况发生。原因可能是杀毒软件只查到部分病毒文件，还有其它的病毒文件没有查到，这些没查到的文件重新生成了可识别的病毒文件。一般遇到这种情况，就需要提取新的样本供杀毒厂商分析后升级。
3.msconfig能看到的东西非常有限，如果对系统比较了解，可以使用冰刃，也有的rootkit类型的木马，冰刃也不一定能看到，这时可以借用WINPE光盘引导后查看系统驱动、服务和启动项。
删除某些项目自己又重建，原因就在于病毒没有真正清除干净。
[/quote]

cdmatong 发表于 2007-3-29 13:40

想问一下当前那种病毒引擎可以高效快速的对局域网内部机器进行扫描和查杀？尤其是国内的一些杀毒软件。T[wq#RNN
B{ b BdKH
[quote]
[color=Red][b]专家回复：[/b][/color]:I0qy6}^@xzqw
快速高效处理病毒，是杀毒软件引擎一直追求的目标，但对于局域网来说，除了杀毒软件客户端要用高效的病毒处理能力外，还需要网络版具备良好的通信能力，比如，网管一个指令下发，数百台上千台机器杀毒，并且所有的查毒结果要上报给系统中心。网管要随时知道所有机器上杀毒软件的工作状态，这些就与杀毒引擎没什么关系了。 i2j!g$B5M8[p7gr-M
[/quote]

流星☆ 发表于 2007-3-29 13:53

对于防毒方面，到是有个小问题，电脑上安装了最新的杀毒软件，为何，在长时间开机连网的情况下（全天二十四小时不断网），还会中毒呢？这个要如何防呀？是玩游戏时挂机出现的！L [,R ]5ExP

[quote]4j+|6n I0Gf)PA
[color=Red][b]专家回复：[/b][/color]Q&`'j1yU{}K^UU
杀毒软件并不能包治百病，只是能降低你中毒的风险，在机器暴露在互联网时，存在很多风险。建议参考这几条：
管理员绝对不用弱口令；启用Internet防火墙（网镖、Windows防火墙、天网或其它）；启用Windows自动更新；任何人发来的可执行程序在未确认安全之前，绝不执行。'Yn"c8Zl b

[/quote]

驳客发表于 2007-3-29 14:00

灰鸽子能否作为远程控制修复工具

远程控制很有用处，但是普通人都不会使用远程桌面之类的东西。能否通过灰鸽子实现远程控制，帮助远程用户杀毒，解决问题。在结束后，又非常好的撤出呢。

[quote]a|8S$AARy
[color=Red][b]专家回复：[/b][/color]0i"h@_/~jC
恐怕用灰鸽子的不是普通人吧，据我所知，普通用户使用QQ远程协助的最多，网管用远程桌面的最多。是杀毒软件都会去杀鸽子，不过，最近一个报道说80%的杀毒软件发现不了灰鸽子。
[/quote]

qinzb 发表于 2007-3-29 14:29

有些病毒的exe文件我已经删除，但是开机重启以后又出来了，这种情况下，应该怎么做？(J a/y.mP
Q}J'c7QEi$hr
[quote]
[color=Red][b]专家回复：[/b][/color]0L%s%X(J:| Z
那就是没杀干净，请参考前面几个问题的解答，谢谢。
[/quote]

xingyi 发表于 2007-3-29 14:38

请问装了企业版的防火墙及杀毒软件后,还需要对WINDOWS进行策略的设置吗?-RuNV6hW+oJ3pZK
:`|'s k4] g7N!I,V
[quote]
[color=Red][b]专家回复：[/b][/color]
企业上了防火墙和杀毒软件，绝不能认为可以放心，技术解决不了管理上的问题。QGL)B;~9SA2z `
如果对AD进行完善的安全策略设置，会大大降低安全风险。只是这样的网管，以及支持部署AD策略的领导太难找。外企用的比较多一些。 voEHe"w
[/quote]

cnhawk386 发表于 2007-3-29 14:45

怎么手工判断哪些软件感染了病毒
不得使用杀毒软件

[quote]
[color=Red][b]专家回复：[/b][/color]+[ d n/ri @ }P8L'O
感染型病毒比较容易判断，如果你用过totalcmd就知道，一段totalcmd的执行文件被修改，打开就会立即关闭，这是个非常有效的信号/? I Xw0T1\Y2W+c.{
木马、蠕虫来说，可以查看服务、启动项，一般都能发现被修改的痕迹，SREng这个工具相当不错，可以用这个辅助分析，这个可是毒霸的程序员开发的。 ^Rk VM3gA5R'^
[/quote]

cnhawk386 发表于 2007-3-29 14:46

有些病毒为什么格式化硬盘后还存在
8s1TZy[u'o9`@
怎么对付这些格式化硬盘后还存在的病毒

[quote]
[color=Red][b]专家回复：[/b][/color]PLuwA}?E
有2个情况;i7y*Q@3w
1,引导区病毒格式化是不能解决的，需要重新分区，不过，这个可能性不大，引导区病毒已经快绝种了。
2,你只是格式化了系统分区，当装完系统后，你习惯性的双击了其它分区的盘符，这时就可能触发病毒了。
[/quote]

cnhawk386 发表于 2007-3-29 14:55

中毒后进不了系统(包括安全模式) 有什么有效的解决办法前提条件是不重装系统
感觉什么恢复控制台都不好使A/Va!o#?o

[quote]*h0F:C(lk/Y
[color=Red][b]专家回复：[/b][/color] @a5[ u9bTRs^kt
故障恢复控制台只对修改服务的木马或蠕虫有效，有的病毒是以rootkit方式加载的，很难找到它，建议用WINPE，常见的深山红叶光盘，是对付这种病毒的好工具，光盘引导系统后，可以分析驱动、服务、注册表，再利害的病毒也能搞定。'D&W`%vRS
[/quote]

七月十一 发表于 2007-3-29 15:16

在安全模式下無法刪除的病毒文件應該如何解決？

[quote]
[color=Red][b]专家回复：[/b][/color]
上面那条可以帮助你，深山红叶我随身带着。
\!Ljo#WW k JR,c
[/quote]

快乐至上 发表于 2007-3-29 15:20

请问专家,一般病毒在局域网中是如何传播的,局域网中设置了强口令的pc是不是被感染的几率小的多呢?"A-Z2rLM!B"[6}d}J

[quote]w%rhR q:Q/d
[color=Red][b]专家回复：[/b][/color]8H+W)`mIA7tft
强口令的PC中毒几率一定比弱的低，另外，要注意安全检查，给系统打补丁，把不需要的服务，尽可能禁用，多个服务就多个攻击点。
[/quote]

cnhawk386 发表于 2007-3-29 15:22

专家能否介绍几个高手使用的工具Oy-L.[9Ur2KR

[quote]
[color=Red][b]专家回复：[/b][/color]AGax*Sk~;pm,r
不需要太多，几个小工具用好就行4z5V[&Ew(L
Sreng,IceSword,Autoruns,Tcpview,深山红叶1hVpsZ+kK
系统自带的regedit，msconfig，services.msce,Ev+Yk-[7}
杀流氓的，推荐用金山反间谍2007,能过金山反间谍的流氓极少
[/quote]

城市迷彩 发表于 2007-3-29 15:23

前阵子遇到了一个比较流氓的软件，启动后会有一个"yok.exe"的进程，诺顿会报毒，但杀不掉。杀进程，删文件，删注册表，清理系统服务，能想到的招都用上了，可是每回开机它都会十分固执地出现，而且用了一些反流氓软件也没有效果。想问一下专家，对付这样的软件应该怎么办呢？2v(oj,C0UV yVC
!k u&\:j6U e*YvH
[quote]n/X2FM x2a
[color=Red][b]专家回复：[/b][/color]3F8E&p?:Ifg
这个是流氓软件吧，norton水土不服，处理不了中国流氓的，推荐用金山反间谍，360，都可以试下，反流氓的东东又没冲突，常备无患。KcZ-eC
[/quote]

cnhawk386 发表于 2007-3-29 15:28

打个比方比如 logo_1这个病毒
无论是杀毒软件还是专杀工具还是手工方法
重起后总是又出现了

但是现在又莫名其妙的好了q1Yy4^B$h(VKd/[
{/_)Y}5on$f
怎么对付这种类似的病毒6N)Qr BN?

[quote]
[color=Red][b]专家回复：[/b][/color]
这个是威金病毒吧，去年流行很严重的蠕虫，其实比熊猫的感染量还要大，只不过熊猫头太有名了。
viking会通过系统漏洞传播，攻击弱口令，同时还是感染型，企业要处理这种病毒，首先要彻底修补漏洞，把弱口令加强，关闭所有不需要开放的完全共享，中毒的机器断开网络，每台机器都要杀干净后才能接入网络;z}2v'Ag;J
[/quote]

fromcn 发表于 2007-3-29 15:28

如何有效防止防毒服务器中毒？

[quote]}hZJ2iYY3E#S
[color=Red][b]专家回复：[/b][/color]
你说的防毒服务器，是指网络版系统中心吗？服务器防毒其实比客户机简单，配置好相应服务，打好补丁，禁用不需要的服务，设定好访问权限，配置好IP安全策略，配置防火墙，就很难中毒了。安装服务器版杀毒软件的目的是防止服务器成为病毒的庇护所，服务器应用程序被感染的可能性远比客户机低。$A5s2pPuO`3YH!X){g&M
[/quote]

fromcn 发表于 2007-3-29 15:32

请问：在局域网中，病毒爆发了，引起网络堵塞，如何快速找到中毒的客户机？'_w)K }}yq:Q
ZsWZ%L
[quote]F]9ka.mc E
[color=Red][b]专家回复：[/b][/color]
管理员可以分析流量来源，看是哪些机器发出的数据报，分析报文可以抓出中毒客户机，把中毒客户机断开网络，局域网就畅通了。Zu1nk d:WZu*N
i:z2dP"T*zg
[/quote]

fang780727 发表于 2007-3-29 15:41

请问企业病毒防治，重在预防，那对于局域网中重点从那些方面进行部署防治呢？?-a `2Nh\2xt
?['J ^!n!ro V{ ?
[quote]
[color=Red][b]专家回复：[/b][/color]J-ue-~,c#O
对企业用户来讲，防是综合策略，技术在其中只占3成功力

首先，你需要完整分析网络的弱点，不能指望一个方案就解决全部问题。网络出口最好有防病毒网关，现在流行用UTM，中小企业最适合用这个，路由、防火墙、防毒墙、防垃圾邮件、VPN、防DDoS、入侵检测都有Z#u(OxMK ~#SjKc
然后，对桌面来讲，反病毒软件是必备的amlla'N
上面的方案最适合中小企业部署。对大企业要考虑网络流量负载，UTM可能面临较大的性能瓶颈，分别采购相应的产品
[/quote]

页: [1] 2

51CTO技术论坛_中国领先的IT技术社区's Archiver

[第19期实录]企业病毒防治的常见问题

看看

灰鸽子能否作为远程控制修复工具