怎麼刪乾淨sality病毒

病毒問題

使用火絨進行查殺後，可能會發現以下企業內常見病毒，此節內容主要介紹此類常見病毒的傳播、危害、識別方式。

1.勒索病毒：

勒索病毒主要透過RDP、釣魚郵件、漏洞攻擊等方式進行傳播。勒索病毒成功執行後，會根據病毒內的規則，加密所有符合條件的檔案。因勒索病毒多使用非對稱加密演算法，在沒有獲取到金鑰的情況下無法解密，中毒後損失較大。此類病毒被火絨查殺時，報毒名稱為Ransom/病毒名。需要注意的是以RDP弱口令為主要傳播方式的勒索病毒，駭客在獲取到Windows賬戶的密碼後，透過”遠端桌面”登入到企業內，在成功登陸後，會尋找高價值伺服器（檔案伺服器、OA、業務伺服器、資料庫），加密其中檔案進行勒索。火絨企業版對該傳播方式有額外的防護措施，但除了部署安全軟體，您也可以按照我們提供的《部署火絨後的安全加固建議》文件，對火絨和Windows進行有針對性的配置，以提高安全性。

2.感染型病毒：

感染型病毒是企業內常見病毒，此類病毒多會感染可執行檔案，導致在使用者在使用被感染的軟體時，病毒會先執行，以達到在系統內常駐的目的，並會透過可移動裝置，檔案共享等渠道傳播。此類病毒被火絨查殺時，報毒名稱為”Virus/病毒名”，例如”Virus/Ramnit”、”Virus/Sality”等。發現此類病毒後，需要進行全盤查殺，查殺前修改火絨掃描時機（監控級別），全盤掃描時儘量不要執行其他程式。

在處理病毒時，如該檔案為被感染程式，火絨會清除檔案內的病毒程式碼，修復該檔案，如檔案是病毒本體、被感染導致檔案損壞、無法寫入等情況，火絨會刪除該檔案（檔案在C：\windows目錄下，如檔案無法清除需要刪除，為了保持系統穩定，火絨不會主動刪除檔案該檔案，日誌內會顯示處理失敗），如不確認是否可以清除，可與我們取得聯絡幫您進行判定。

3.挖礦病毒：

挖礦病毒已經是企業內最常見的病毒之一，此類病毒執行時會大量佔用系統資源，影響企業內的業務，妨礙員工辦公。挖礦病毒的傳播方式較多，企業內常見的傳播方式有內網橫向傳播、軟體安裝包攜帶、駭客入侵投放等。火絨查殺到此類病毒時，報毒名稱多為”Trojan/挖礦程式名”，例如”Trojan/CoinMiner”、”Trojan/JS。CoinMiner”。正常情況下，電腦內發現此類病毒只需要用火絨終端掃描查殺即可，在查殺結束後需要重啟。因挖礦病毒多會攜帶其他模組，例如利用永恆之藍進行傳播的模組等，所以在查殺挖礦病毒時，除了挖礦元件外，還可能會查殺到報毒名為”Exploit/EquationDrug”或”HackTool/EquationDrug”的其他功能模組。

4.駭客工具：

火絨對駭客工具的定義為”可以被駭客利用，用來控制使用者計算機或發起網路攻擊的工具程式”，包括挖礦工具、埠掃描工具、ARK工具、遠端控制工具等。在查殺到此類程式時，火絨的報毒名稱多為”HackTool/工具名”，例如”HackTool/PowerTool。a”、”HackTool/PortScan。a”等，在企業環境內，發現此類工具多是遭受攻擊，駭客試圖使用此類工具繼續對內網進行滲透時被火絨攔截。在企業內查殺到此類工具，如並非為企業內常用工具或運維人員所用工具，需及時進行排查，對所查殺工具的來源與作用進行確認。也可直接與火絨安全進行聯絡，協助您進行排查。

5.廣告程式：

廣告程式會透過多種途徑進入系統，多為未經使用者允許便進行安裝（捆綁安裝攜帶、軟體自身的廣告元件等）。執行時多會透過彈出式廣告、劫持瀏覽器主頁、暗刷等方式盈利，對使用者日常的電腦使用，辦公等造成影響。此類程式被火絨查殺時，報毒名稱為”Adware/名稱”，例如”Adware/FakeAV。ks”、”Adware/PuddingZip。g”等。火絨在查殺此類程式時，只會處理該程式的廣告模組，不會影響該程式的正常使用，但是會出現該軟體升級時，將廣告模組恢復的情況，會導致火絨對此檔案頻繁查殺。出現此類情況時，如該軟體需要繼續使用，建議您將相關檔案新增到白名單，如此程式並非您主動安裝（捆綁），或不需要使用，建議您進行解除安裝。對於軟體的彈窗廣告，火絨提供了安全工具”彈窗攔截”，可阻止此類窗口出現。

非病毒問題

1.漏洞掃描：

使用火絨”漏洞修復”功能，掃描並修復Windows漏洞時，可能因為多種原因導致補丁下載或安裝失敗，該小節內容為常見的”漏洞修復”問題與處理辦法。

1、火絨”漏洞修復”掃描出的補丁數量，與”Windows Update”提供的補丁數量不一致

火絨預設不推送部分功能性補丁，例如IE跨版本升級（如IE10升級到IE11）、。Net跨版本升級、語言包等，除減少了功能性補丁外，微軟提供的補丁部分存在包含與替代關係，火絨會根據測試後的情況，調整規則庫，在高危漏洞全部安裝的情況下，調整被替代的補丁推送，所以會比系統推送的補丁數量少。

2、補丁”下載失敗”

此問題多為網路環境異常導致，如需要安裝補丁的電腦可以訪問網路，可以嘗試ping以下地址：download。windowsupdate。comdownload。microsoft。com如無法ping通，需要排查網路是否存在故障，若網路環境無異常依舊下載失敗，可聯絡火絨協助您排查該問題。需要修復漏洞的電腦是內網，無法於微軟伺服器下載補丁，此時需要檢查”火絨中心”是否能夠連線戶聯網。在火絨中心可以訪問網路的情況下，需要修改”火絨中心->漏洞修復”功能設定，勾選從中心下載補丁。

火絨中心也部署在內網的情況下，需要使用”離線升級工具”，相關使用方法可以檢視使用文件。

3、補丁”安裝失敗”

出現補丁”安裝失敗”的情況，多為系統環境內，更新相關環境、元件、服務出現異常。當您出現此類問題時，可與我們取得聯絡，幫您找到補丁安裝失敗的原因，並提供解決方案。

2.軟體衝突：

a）。透明加密軟體企業內在使用透明加密軟體（防洩密程式）時，常會遇到宏病毒在掃描時不報毒，開啟檔案時火絨提示存在宏病毒。出現此問題的原因為，安裝防洩密軟體後，被保護的文件內容被加密，只有使用防洩密軟體允許的程式開啟（Office Word、WPS等）該檔案，或事先使用該軟體解密檔案內容後，文件內容才可以被其他軟體正常訪問。當您遇到此類問題時，如該防洩密軟體有白名單功能，可先將火絨目錄下的可執行程式新增到白名單（HipsDaemon。exe\HipsMain。exe\HipsTray。exe）後，再次掃描檢視問題是否解決。如該防洩密程式沒有白名單功能，或新增白名單後依舊無法正常進行掃描，可聯絡防洩密程式廠商與火絨安全，共同解決此問題。

其他問題

1.藍色畫面：

火絨使用過程中出現藍色畫面問題時，需要提取該電腦上的藍色畫面dump並上傳，我們會幫您分析藍色畫面原因dump檔案位置：%SystemRoot%\Memory。dmp%SystemRoot%\Minidump*。dmp（根據日期命名）如此目錄下沒有發現相關檔案，可以檢查以下設定。開啟執行，輸入”systempropertIEsadvanced”，開啟”高階系統設定”。

點選”高階->啟動和故障恢復->設定”，按照圖片進行設定。如沒有”自動記憶體轉儲”選項，可根據需求選擇”核心記憶體轉儲（推薦）”、”最小記憶體轉儲”、”完全記憶體轉儲”。

2.惡意網址攔截：

火絨終端部署後，根據區域網內狀況不同，可能會出現大量”惡意網址攔截日誌”，此小節列出企業內較常見的被攔截網址，並提供解決方案。kuaizip。comkpzip。com出現以上網址的攔截，是因您電腦中安裝了快壓導致，可根據您的需求選擇是否繼續使用或解除安裝該軟體。相關報告：知名壓縮軟體”快壓”傳播病毒和多款流氓軟體 劫持流量down。sgshurufa。comdown。znshuru。comdownsrf。eastday。comd。wn51。comdown。shusw。comchlbiz。com出現以上網址的攔截，是因您電腦中安裝了布丁系軟體導致。Clover東方瀏覽器東方輸入法東方頭條萬能瀏覽器萬能看圖萬能五筆智慧雲五筆輸入法智慧雲輸入法布丁壓縮布丁桌面水果輸入法

可根據您的需求選擇是否繼續使用或解除安裝該軟體，此類軟體在解除安裝後有殘留服務訪問以上網址，重新安裝軟體的行為，如您電腦上未發現此係列軟體但依舊存在”惡意網址攔截”日誌，可聯絡我們幫您進行排查。相關報告：灰色產業鏈成病毒傳播最大渠道 流量生意或迎來最後的瘋狂haqo。netbeahh。comabbny。comzer2。comackng。comawcna。comamxy。com出現以上網址的攔截，是因您電腦中存在DTStealer木馬導致，除了攔截網址訪問，可能會同時出現”隱藏執行PowerShell”等攔截日誌，關於此病毒只需使用火絨全盤查殺，重啟即可。相關報告： “驅動人生”利用高危漏洞傳播病毒 12月14日半天感染數萬臺電腦

提交問題

如果您遇到以下情況：a）。網路內發現可疑檔案，想要提供給火絨安全進行分析。b）。系統出現異常，但是不方便我們遠端進行協助。您可以按照以下方式提交相關資訊，銘冠網安會根據您的問題與提供的資訊做出相應解決方案。病毒問題需要您提交以下資訊：1）。問題詳情2）。火絨中心日誌（包括《病毒防禦日誌》《系統防禦日誌》《網路防禦日誌》，時間為30天）。3）。報毒終端日誌。4）。報毒終端版本、病毒庫版本。5）。需要火絨安全進行分析的樣本、隔離區內提取的樣本。