利用科来网络分析系统诊断流氓软件VVisit

利用科来网络分析系统

诊断流氓软件 VVisit

昨天公司网络非常慢，而同事们也都是简单的浏览网页，不至于这么慢的啊。决定用科来网络分析系统来看一看。具体步骤如下：

1、 部署科来网络分析系统

2、 定位故障源

选择端点视图，选择对 IP 节点流量排名，竟然发现 .23 的流量竟然占了总量的 99% ，而此机器是打印机服务器，现在根本无人使用，此机有问题，需进行针对分析。如图：

3、 分析异常行为

定位到浏览器节点，发现 98% 是 http 流量，如图：

然后定位到日志视图，对访问 http URL 进行分析，如图：

短短时间竟然有 2217 条之多，选中一些 URL 进行访问，发现这些网站杂而无章。的确这台机器是会有远程用户登陆的，但也不会去看这么杂的网站呢。还是确定下吧，查看任务管理器，的确只有我这一个用户啊，而我又绝对没有打开过这些网站啊，难道中毒了？

4、 病毒分析

定位到数据包视图，查看数据包内容，如下图：

记住源端口号，命令行下输入： netstat �Caon 关联到进程号，然后打开任务管理器，使用此进程号的进程竟然是 firefox ，火狐？这台机器上肯定没有火狐啊，咋回事呢。还是先关掉这个进程吧，关掉之后 .23 的流量明显减少，可是没一会发现流量又上来了，咋回事？打开进程一看 firefox 又出来了，怎么办呢，一同事过来说，在注册表里删掉试试吧， regedit ，然后查找 firefox 全部删掉。（靠，此前从不敢动 regedit, 老师说那东西最好不要动，乱动会有问题的。此同事是做销售的，这都懂，狂晕）

重启，果然流量果然不大，正在庆幸呢，一会一看，坏了，流量又来了，而且 firefox 又出现了。咋办？

一高手指点，去网上找个进程查看器吧。然后下了个 ProcessExplorerV11.21 汉化版，还挺好用，一眼看到 firefox 进程，发现它的父进程是个 VVisit ，这是什么东东？网上一查原来一流氓软件。干掉它，注册表中全部删掉 VVisit, 重启，在硬盘中查找 VVisit ，全部删掉。（不在注册表中删掉，直接在硬盘中删，是删不掉的）

再查看科来分析系统，流量已正常，网络运行正常。 OK ，结束！

5、 总结

不懂就要问，自己搞定不了了，要集合众人的智慧啊！各位高手如有更好的解决方法，请不要吝啬哦！

自从有了科来网络分析系统，网络故障、病毒咱都不怕，哈哈！