iT邦幫忙

0

McAfee掃了半年都無法清除的病毒

  • 分享至 

  • xImage

從今年四月起我司電腦發生中毒,電腦防毒McAfee皆已更新至最新,也多次回報McAfee原廠,但發現至今已半年,依然無法根除病毒問題,部分病毒檔案依然無法偵測出並刪除,
手動關閉服務並刪除病毒檔案也刪除了相關機碼,也依然無法解決,病毒會一直不斷增生,
似乎McAfee防毒軟體啓不了作用,除了已知的病毒檔案掃描不出來以外,還可能還有很多不明的病毒檔案,藏在電腦中未被發現。就算重灌作業系統,隔沒幾天一樣會被感染,想尋求各位大大是否遇過相同問題,因經費有限,除了更換防毒軟體之外,能否提供有效對策能協助解決?

服務出現一堆數字為名的服務,移除後依然不斷增生
https://ithelp.ithome.com.tw/upload/images/20190925/20116236TGkNGL8xVV.jpg

已知病毒掃描不出來
https://ithelp.ithome.com.tw/upload/images/20190925/201162368AiCTdH97q.jpg

病毒會一直不斷增生
https://ithelp.ithome.com.tw/upload/images/20190925/20116236B5uUTxJJN0.jpg

作業系統:WindowsXPx32、Windows7x32、Windows7x64皆有相同情況

去搜尋kvrt 看看別家防毒怎麼判定的
如果人家也不認為那是病毒,那你要看看是不是你們軟體bug造成
真的掃不到 應該也可以開case送原廠判斷吧?
harrytsai iT邦新手 1 級 ‧ 2019-09-25 16:20:31 檢舉
清除不掉,就換一個牌子的防毒軟體測試,太堅持對你沒有幫助
1. 先用 PE 開機,然後砍掉 奇怪檔案
2. 用 系統登錄編輯器,確認這堆服務的執行檔位置,一個一個砍完他
3. 用系統登錄編輯器砍掉這堆服務
4. 對系統的 REGSRV 這個執行檔先更名甚至砍掉他,在看病毒會不會在建立服務
5. 取消使用者本機 ADMIN 權限,然後用系統管理者去開系統管理工具來排除移除病毒
還有,可以用IOBIT 的 IMF 跟 ASC 掃一下,免費版的也許就能改善你的狀況了
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中
1
hsiang11
iT邦好手 1 級 ‧ 2019-09-25 16:51:03

重灌作業系統,隔沒幾天一樣會被感染

那代表你們公司內部資安觀念差的使用者太多了
亂上網下載病毒 或是有釣魚病毒就執行
這樣玩IT進場都會被搞倒
但是系統工程師就是減少問題而存在

遇上這種使用者 就要主動去幫他補上系統漏洞了 該更新的更新 該移除的移除
打開系統防火牆鎖他鎖到底了
給他最低權限無法安裝程式 有任何需求都由IT執行
甚至從防火牆就要擋他上某些網站了 mail也必須不斷地教他不要亂執行不明郵件
很多公司都被垃圾郵件攻陷的

另外公司的預算有沒有花在刀口 錢少沒錢是很正常的
買了一套沒有用的防毒是一場悲劇 但是也不要束手無策
趁著換新電腦時 連系統也一起綁win10進來提升資安標準
這就是手段阿

以前XP時代我看過很多工程師解病毒出神入化 但是病毒就一直進來
錯誤的管控方式會累死自己

chsinzk iT邦研究生 1 級 ‧ 2019-09-26 09:17:30 檢舉

....難道是工程師一直拿病毒練功

練到出神入化!!!

5
雷伊
iT邦高手 1 級 ‧ 2019-09-25 17:41:55

不知您描述的是只有一台會這樣,還是全公司的都這樣?
重灌仍然也趕不走的可能有三種情形
一是MBR或VBR病毒,二是透過區網SMB傳染的病毒,三就是你用了來路不明的Ghost一鍵安裝片

方案一:使用 DOS / Win9x / ME 開機片開機,如果會使用WinPE開機更好
開機後在 MS-DOS 模式下執行 fdisk /mbr
重新啟動後再重灌系統即可

方案二:重灌後不聯網觀察一天看會怎樣

方案三:使用官方下載的ios重灌系統

全公司的都是一樣的情形,確定剛重灌完是正常,接上網路加入網域後沒多久就中毒,應該是區網感染,但工作需求又不能不接網路。

雷伊 iT邦高手 1 級 ‧ 2019-09-27 13:54:49 檢舉

這病毒是10年前在大陸流行的:隨機數字病毒,透過區網交互傳染,如果是加域後才中毒說明你的網域控制站也感染了,我建議你先查防火牆異常流量走的Port,寫條規則封鎖內對內,再重灌一台試試。如果成功,你必須每一台都重灌,包含追加新的DC。
微軟針對SMB1.0問題,現在Win10安裝完後預設是取消的,我想你的用戶端環境應該還停留在Win7,用戶端標準化也算是重點工作。

1
逢摸必爆MIS
iT邦研究生 3 級 ‧ 2019-09-25 19:08:57

我覺得最恐怖的一句話就是
重灌之後沒多久又感染

那你當然怎麼清都沒用
源頭就不在這台OS
別想只靠防毒檔啊 !
重要的還是先把源頭抓掉再來處理怎麼解毒吧

目前附件圖中已知的病毒檔案,應該都是增生出來的檔案,不論怎麼手動刪除檔案刪除機碼+刪除服務,過沒多久又冒出來,就是抓不到源頭才麻煩...

所以你要開始找
換個重灌光碟看看 除非你確定這很安靜
安裝過程中是否有插了某隨身碟 試著不插看看
方便一點的方法
先安裝系統後讓他不連網 操作系統內建東西一天看有沒有染毒
沒染毒表示OS沒問題
再來插之前安裝系統會插得隨身碟之類的
沒染毒表示隨身碟OK
在你們同一層網路裡面安裝一台連著網路的乾淨系統
玩玩新接龍 連連區網NAS之類的
假如這樣就染毒就表示源頭在區網內的某個設備上

2

先給你幾個觀念

1.防毒只是一個名詞,它真正的用處只是防已知的毒,防毒軟體能防的只有大約70~80%的病毒。還有許多不是病毒的應用會生成或是自動下載病毒的超多的。像這一類的你根本防不勝防。

2.不太清楚你所謂的重灌,是否有將其資料也一起移除,還是只是將系統重灌而已。正常來講,如果只是單純的系統重灌並不會殺死病毒的。這個行為只是確保你的系統是乾淨無誤的。但一但又運行到病毒檔,還是會回來的。

3.最後最後再告訴你好了。正統的解毒是需要自行分析運行檔案。只要功力夠,根本不需要用防毒軟體的。我家的伺服器是完全沒安裝任何防毒的。只要安全性組設定正常,就不可能會中毒。再加上伺服器不做任何上網或下載的行為就行了。

2
japhenchen
iT邦超人 1 級 ‧ 2019-09-26 08:04:23

不如你先把全公司的電腦裡的檔案分享全關閉,最好網路線拉掉,然後一台一台掃,確定全公司都掃完,連伺服器也掃過了,再連上網吧

0
小湯
iT邦好手 1 級 ‧ 2019-09-26 12:24:56

斷網 >重灌 >更新系統 Windows update (防火牆要啟用) >換密碼 >連上網路
ps.若PC有加入網域,建議先把Domain admins的群組 User的密碼都更新,因為你也不知道是不是誰的密碼被得知了.

0
zyman2008
iT邦大師 6 級 ‧ 2019-09-26 13:43:08

Google了一下你描述的狀況,和這篇提的病毒特徵相似.
https://community.sophos.com/kb/en-us/127218

依現在的狀況,換防毒不是當務之急. 而是要處理源頭了.
如果有Microsoft網域,透過OS漏洞打進來,也許也拿到domain admin權限了.
先清除或重建DC先.
想處理好,錢是省不了了. 建議找MS AD和資安專家進來處理了.
DC部份,請教Ray大應該是首選了.安全部份Ray大應該也有相關伙伴可以協助.

Q 一下Ray大~

0
bluegrass
iT邦高手 1 級 ‧ 2019-09-27 09:22:17

這些是Behavioral Threat, 一般的防毒的沒用的

先把全數電腦安裝新世代的endpoint protection

用它來阻止Threat的擴散

比如TRAPS / SANDBLAST

https://www.paloaltonetworks.com/products/secure-the-endpoint/traps

https://www.checkpoint.com/solutions/zero-day-protection/

這些還可以擋住RANSOMWARE

再來配合 卡巴 來一次大掃除就好了

我要發表回答

立即登入回答