计算机病毒清理五个步骤

 

Solution

识别威胁

1. 识别受感染计算机
2. 隔离受感染计算机
3. 清理受感染计算机
4. 确定感染传播媒介并防止再次发生感染

1.  识别威胁

要对付病毒的爆发，了解威胁是什么及它能够做什么非常重要。 最好是了解计算机上可能存在的 所有威胁，这也非常重要。
可以采用以下方法执行确定过程。

A. 将可疑文件提交到 Symantec 安全响应中心（参见加载点）
B. 使用最新病毒定义进行病毒检测。

对于某些类型的威胁，可通过  http://www.threatexpert.com 执行初步的自动分析。该步骤可快速警示威胁编码要联系的目标站点，以便在防火墙位置阻止它们。 Symantec 支持不提供  http://www.threatexpert.com 的故障排除，该步骤 不能替代将文件提交到 Symantec 安全响应中心的需求。

请勿根据文件名来识别威胁。 许多威胁使用同一文件名，但是具有完全不同的特性及攻击传播媒介。

2.  识别受感染计算机

识别威胁后，识别受感染计算机十分必要。

A. 如果已识别威胁，识别受感染计算机的最简单方法是使用检测威胁的病毒定义更新整个网络，然后运行扫描。 可以通过调度扫描或病毒清除来完成此任务。
B. 还可以使用网络审核来确定哪些计算机未安装防病毒软件及最新定义。
C. 检查防火墙日志，查找在威胁使用的端口上生成大量网络通信的任何计算机，这也可作为检测受感染计算机的一种方法。
D. 检查威胁日志也可以发现源文件来自另一台受感染计算机。

3.  隔离受感染计算机

隔离受感染计算机是非常重要的，它可以防止感染进一步传播，并防止威胁继续从远程影响计算机（通过打开的共享或未修补的漏洞）。

有几种方法可以隔离受感染计算机

A. 一般来说，隔离受感染计算机的最佳方法是将计算机实体从网络中删除。 这涉及到手动移除网络和 Internet 连接。
B. 在某些情况下，将计算机从网络中完全移除是不可行的。 根据感染的情况，某些客户创建了具有非常严格通信的隔离子网。 这样可向其受感染用户提供一些有限的生产力，并可继续允许远程管理。 

警告： 该操作需要有准备地进行，并仅可在已准确确定感染传播媒介并落实适当的预防措施时执行。

4.  清理受感染计算机 - 病毒移除

将计算机从网络中删除并使用最新定义对其进行更新后，应移除病毒并恢复受病毒威胁而进行的更改。 以下是在病毒定义为最新时清理病毒的步骤。

A. 停止病毒进程，或将计算机引导至不会加载这些进程的状态
i. 终止任务 - 某些威胁可能会阻止执行此操作。
ii. 仅以安全模式或带命令提示符的安全模式启动 Windows
iii. 较新版的 Symantec AntiVirus（版本 10）和 Symantec Endpoint Protection 可在执行完全系统扫描的过程中停止进程。

B. 删除病毒文件
i. 完全系统扫描 - 推荐
ii. 通过查找并删除文件手动移除
iii. 检查是否有针对特别威胁变种的移除工具。
C. 恢复对系统设置的更改。 在重新启动计算机前更改注册表非常重要。 许多病毒会更改引导设置，如果未撤消注册表更改，则删除病毒后用户有可能不能登录。
i. 撤消注册表更改
ii. 撤消对下列文件的更改 - 如有必要
1. hosts
2. win.ini
3. sfc.dll - 可能需要用新的副本来进行替换
4. 防病毒和防火墙程序 - 可能需要重新安装。

D. 重新启动计算机并进入普通模式，然后再将其连接回网络。 这是为了确定不会检测到其他病毒并且清理是成功的。

E. 如果检测到 Rootkit 或后门，则重新映像计算机以确保网络安全可能十分必要。

5.  确定感染传播媒介并防止再次发生感染
这最后一步经常被忽视，但它可能是最重要的。 大多数网络范围的感染使用两种方式来传播
A. 已知漏洞

这通常是 OS 漏洞，但也可包括其他漏洞，这些漏洞允许在计算机上远程执行代码。 本文档末尾提供了常见漏洞的索引。

B. 打开的共享

由于病毒经常在启动时加载，因此它们可以使用当前用户凭据运行。 这意味着，任何用户不提供用户名和密码即可访问的共享都易于遭受此类攻击。 这包括 Admin$ 和 IPC$ 共享

C. 为确保以后的网络安全，可能需要将管理员密码更改为新的“强”密码
D. 只有计算机已安装修补程序并进行清理之后，才能将其重新接入生产网络