從今年四月起我司電腦發生中毒,電腦防毒McAfee皆已更新至最新,也多次回報McAfee原廠,但發現至今已半年,依然無法根除病毒問題,部分病毒檔案依然無法偵測出並刪除,
手動關閉服務並刪除病毒檔案也刪除了相關機碼,也依然無法解決,病毒會一直不斷增生,
似乎McAfee防毒軟體啓不了作用,除了已知的病毒檔案掃描不出來以外,還可能還有很多不明的病毒檔案,藏在電腦中未被發現。就算重灌作業系統,隔沒幾天一樣會被感染,想尋求各位大大是否遇過相同問題,因經費有限,除了更換防毒軟體之外,能否提供有效對策能協助解決?
服務出現一堆數字為名的服務,移除後依然不斷增生
已知病毒掃描不出來
病毒會一直不斷增生
作業系統:WindowsXPx32、Windows7x32、Windows7x64皆有相同情況
重灌作業系統,隔沒幾天一樣會被感染
那代表你們公司內部資安觀念差的使用者太多了
亂上網下載病毒 或是有釣魚病毒就執行
這樣玩IT進場都會被搞倒
但是系統工程師就是減少問題而存在
遇上這種使用者 就要主動去幫他補上系統漏洞了 該更新的更新 該移除的移除
打開系統防火牆鎖他鎖到底了
給他最低權限無法安裝程式 有任何需求都由IT執行
甚至從防火牆就要擋他上某些網站了 mail也必須不斷地教他不要亂執行不明郵件
很多公司都被垃圾郵件攻陷的
另外公司的預算有沒有花在刀口 錢少沒錢是很正常的
買了一套沒有用的防毒是一場悲劇 但是也不要束手無策
趁著換新電腦時 連系統也一起綁win10進來提升資安標準
這就是手段阿
以前XP時代我看過很多工程師解病毒出神入化 但是病毒就一直進來
錯誤的管控方式會累死自己
不知您描述的是只有一台會這樣,還是全公司的都這樣?
重灌仍然也趕不走的可能有三種情形
一是MBR或VBR病毒,二是透過區網SMB傳染的病毒,三就是你用了來路不明的Ghost一鍵安裝片
方案一:使用 DOS / Win9x / ME 開機片開機,如果會使用WinPE開機更好
開機後在 MS-DOS 模式下執行 fdisk /mbr
重新啟動後再重灌系統即可
方案二:重灌後不聯網觀察一天看會怎樣
方案三:使用官方下載的ios重灌系統
我覺得最恐怖的一句話就是
重灌之後沒多久又感染
那你當然怎麼清都沒用
源頭就不在這台OS
別想只靠防毒檔啊 !
重要的還是先把源頭抓掉再來處理怎麼解毒吧
先給你幾個觀念
1.防毒只是一個名詞,它真正的用處只是防已知的毒,防毒軟體能防的只有大約70~80%的病毒。還有許多不是病毒的應用會生成或是自動下載病毒的超多的。像這一類的你根本防不勝防。
2.不太清楚你所謂的重灌,是否有將其資料也一起移除,還是只是將系統重灌而已。正常來講,如果只是單純的系統重灌並不會殺死病毒的。這個行為只是確保你的系統是乾淨無誤的。但一但又運行到病毒檔,還是會回來的。
3.最後最後再告訴你好了。正統的解毒是需要自行分析運行檔案。只要功力夠,根本不需要用防毒軟體的。我家的伺服器是完全沒安裝任何防毒的。只要安全性組設定正常,就不可能會中毒。再加上伺服器不做任何上網或下載的行為就行了。
不如你先把全公司的電腦裡的檔案分享全關閉,最好網路線拉掉,然後一台一台掃,確定全公司都掃完,連伺服器也掃過了,再連上網吧
斷網 >重灌 >更新系統 Windows update (防火牆要啟用) >換密碼 >連上網路
ps.若PC有加入網域,建議先把Domain admins的群組 User的密碼都更新,因為你也不知道是不是誰的密碼被得知了.
Google了一下你描述的狀況,和這篇提的病毒特徵相似.
https://community.sophos.com/kb/en-us/127218
依現在的狀況,換防毒不是當務之急. 而是要處理源頭了.
如果有Microsoft網域,透過OS漏洞打進來,也許也拿到domain admin權限了.
先清除或重建DC先.
想處理好,錢是省不了了. 建議找MS AD和資安專家進來處理了.
DC部份,請教Ray大應該是首選了.安全部份Ray大應該也有相關伙伴可以協助.
Q 一下Ray大~
這些是Behavioral Threat, 一般的防毒的沒用的
先把全數電腦安裝新世代的endpoint protection
用它來阻止Threat的擴散
比如TRAPS / SANDBLAST
https://www.paloaltonetworks.com/products/secure-the-endpoint/traps
https://www.checkpoint.com/solutions/zero-day-protection/
這些還可以擋住RANSOMWARE
再來配合 卡巴 來一次大掃除就好了