网管清除病毒后的总结

chinaboy

按照正常的情况来看，B公司电脑数量不多，既有硬件防火墙客户端又有防病毒软件，做为网管应该非常轻松!　　A先生有三年的网络管理经验，在未进入B公司做网络管理员之前，熟练的技术为前公司二年多的IT平台提供了有力的支持，从未出现任何大的问题。自进入B公司二个月以来困惑多多，每日疲于奔命似的为B公司的IT系统进行救火式的服务。

　　B公司的计算机网络环境非常不错：一台Netscreen 25防火墙做为边界防火墙，同时用于宽带路由拔号，防火墙四个网络接口一个用于ADSL线路连接，其实三个划分Vlan分别连接三个3COM 10/100兆交换机。整个公司约60台电脑，其中47台为笔记本电脑。服务器四台、网络打印机五台一个Vlan;笔记本为一个Vlan;台式机划分为一个Vlan。

　　使用Mcafee8.5i作为客户端防病毒软件，所有电脑的防病毒软件设置每日更新，每周杀病毒一次。按照正常的情况来看，B公司电脑数量不多，既有硬件防火墙客户端又有防病毒软件，做为网管应该非常轻松!可是，事与愿违，自A先生进入B公司以来，一个字，那就是 “累”!

　　这不，11月底B公司网络再次爆发大面积病毒发作，A先生三天没日没夜加班加点，安装操作系统7台、所有计算机断网杀毒后，终于再次把网络中病毒清除掉，让网络恢复正常。鼓足勇气写下了11月底病毒发作的报告书交给了老板，以下是本次事件的报告书：

　　网络病毒故障分析：

　　1、Mcafee防病毒软件不断跳出报警窗口，提供C:\autorun.inf、D:\autorun.inf、E:\autorun.inf等文件发现病毒。

　　2、Internet Explorer浏览器不断打开http://mysupport.mcafee.com窗口，造成计算机系统运行缓慢。无法使用。

　　3、CTRL+ALT+DEL看任务管理器是灰色，修改注册表后进入任务管理器多现数十个reg.exe进程。

　　4、C盘、D盘、E盘等根目录自动生成隐藏、只说属性的Autorun.inf文件以及SOS.exe文件。

　　通过分析，发现公司此次感染的病毒是一种恶意程序，安全厂商将这种病毒定位为：Trojan-Downloader.Win32.Delf.gen。病毒的变种发布速度很快，此变种能够针对大多数反病毒软件进行了相应的处理，以逃避被查杀。

　　该病毒程序通过在网页文件中插入恶意框架代码，通过多种系统或应用程序漏洞传播木马，还会释放利用系统自动运行功能的autorun.inf文件及相应文件。同时，多种病毒重复感染，能通过网络内部局域迅速传播。

　　病毒名称：Trojan-Downloader.Win32.Delf.gen

　　病毒类型：木马下载者

　　病毒行为：程序运行后，释放文件：%System%\Systom.exe 　 %System%\auToRun.inf

　　并在磁盘各个分区释放文件sos.exe和auToRun.inf，此次病毒大面积感染事件当中，除了以上介绍的主病毒外，还有多种不同病毒一起发作，造成公司多台计算机无法正常使用。

　　病毒故障处理过程：

　　11月22日～11月25日，公司感染病毒的计算机有PC09、PC03、PC28、PC30、PC12、PC11、PC46台，首先在PC09的计算机保护模式、纯DOS系统下查杀病毒后，仍旧不能恢复正常使用，通过注册表修改计算机策略，发现受感染的计算机后台运行有数十个非正常的Reg.exe的进程，无法结束进程。常规通过查杀病毒解决问题的方法不能能实现。

　　备份该PC重要数据，重新安装计算机编号为PC10的操作系统，打开D盘安装驱动时再次感染。尝试安装防病毒软件并升级病毒库，在安装过程中无法正常安装。替换其它防病毒软件提供多个文件感染病毒文件不能清除。

　　只能再次重装系统彻底，并在第一次安装的经验上，在安装系统之前在纯DOS下删除后%System%\Systom.exe、%System%\auToRun.inf以及D盘、E盘等相关的文件。格式化系统盘(处理的7台PC分别是C盘)后，通过：开始-->运行，输入cmd进行DOS命令窗口，使用DIR/A D：/E：/F：等检查是否发现有相关的病毒程序。如有，再次使用命令删除相关文件和文件目录。

　　重复以上系统安装步骤，将感染严重的计算机全部重装系统。并对公司内所有计算机在安全模式下查杀病毒。所有步骤完成后，公司整个网络系统正常。

　　网络崩溃原因分析建议：

　　公司某些计算机用户没有养成良好的计算机使用习惯，随便在公司计算机打开不明的网页，随手插入私人U盘等等。个别计算机感染了病毒后进入公司网络使用，病毒通过网络传播，造成公司大面积的病毒再次感染。已发现有不良使用计算机用户：

　　PC03笔记本：多次找开不明网页，有时明知道网页有病毒或恶意程序仍旧打开，同时要求计算机能够有此防御能力。统计该用户11月已记录重装操作系统次数为三次，分别是：11月2日、11月28日。未登记一次!

　　PC09笔记本：11月重装系统三次，系统安装时间为11月8日、13日、28日。其中二次因为打开不明网站感染病毒、一次因为系统文件丢失无法启动。该电脑使用人多个U盘带有病毒，喜欢用U盘在电脑复制程序、游戏等。

　　PC46台式机：11月重装系统二次，喜欢下载各种软件，常使用QQ、MSN等软件，喜欢在不明网站下载各种小游戏(包含.exe文件)等等。

　　建议：

　　1、 笔记本组内的部分电脑使用者经常上一些不良网站，导致感染多种木马及病毒。建议公司领导能够给予相关责任人一定的行政警告，加强企业网络安全管理。

　　2、 鉴于此次病毒故障处理，对于一些U盘、MP3等个人移动存储设备，都应先查杀病毒后，才能插入公司计算机使用.

　　文章小结：

　　B公司的计算机网络系统硬件措施应该说是非常优秀的：边界既部署有硬件防火墙，内部帐号安全使用域服务器，桌面端也有防病毒软件。但为什么计算机病毒故障、安全问题不断呢?这就需要我们每一个都深思的问题：

　　俗话说“天时，地利，人和”，B公司最大的问题就是在于计算机使用人，造成系统屡屡出现病毒故障，再强的硬件设施，技术更强的网络管理员，如果没有加强计算机使用人的使用规划，在一切面前，那也是脆弱的。