火絨企業(yè)版殺毒軟件使用中常見問題處理匯總
病毒問題
使用火絨進(jìn)行查殺后,可能會(huì)發(fā)現(xiàn)以下企業(yè)內(nèi)常見病毒,此節(jié)內(nèi)容主要介紹此類常見病毒的傳播、危害、識(shí)別方式。
1.勒索病毒:
勒索病毒主要通過RDP、釣魚郵件、漏洞攻擊等方式進(jìn)行傳播。勒索病毒成功運(yùn)行后,會(huì)根據(jù)病毒內(nèi)的規(guī)則,加密所有符合條件的文件。因勒索病毒多使用非對(duì)稱加密算法,在沒有獲取到密鑰的情況下無法解密,中毒后損失較大。
此類病毒被火絨查殺時(shí),報(bào)毒名稱為Ransom/病毒名。
需要注意的是以RDP弱口令為主要傳播方式的勒索病毒,黑客在獲取到Windows賬戶的密碼后,通過”遠(yuǎn)程桌面”登錄到企業(yè)內(nèi),在成功登陸后,會(huì)尋找高價(jià)值服務(wù)器(文件服務(wù)器、OA、業(yè)務(wù)服務(wù)器、數(shù)據(jù)庫),加密其中文件進(jìn)行勒索。
火絨企業(yè)版對(duì)該傳播方式有額外的防護(hù)措施,但除了部署安全軟件,您也可以按照我們提供的《部署火絨后的安全加固建議》文檔,對(duì)火絨和Windows進(jìn)行有針對(duì)性的配置,以提高安全性。
2.感染型病毒:
感染型病毒是企業(yè)內(nèi)常見病毒,此類病毒多會(huì)感染可執(zhí)行文件,導(dǎo)致在用戶在使用被感染的軟件時(shí),病毒會(huì)先運(yùn)行,以達(dá)到在系統(tǒng)內(nèi)常駐的目的,并會(huì)通過可移動(dòng)設(shè)備,文件共享等渠道傳播。
此類病毒被火絨查殺時(shí),報(bào)毒名稱為”Virus/病毒名”,例如”Virus/Ramnit”、”Virus/Sality”等。
發(fā)現(xiàn)此類病毒后,需要進(jìn)行全盤查殺,查殺前修改火絨掃描時(shí)機(jī)(監(jiān)控級(jí)別),全盤掃描時(shí)盡量不要運(yùn)行其他程序。
在處理病毒時(shí),如該文件為被感染程序,火絨會(huì)清除文件內(nèi)的病毒代碼,修復(fù)該文件,如文件是病毒本體、被感染導(dǎo)致文件損壞、無法寫入等情況,火絨會(huì)刪除該文件(文件在C:\windows目錄下,如文件無法清除需要?jiǎng)h除,為了保持系統(tǒng)穩(wěn)定,火絨不會(huì)主動(dòng)刪除文件該文件,日志內(nèi)會(huì)顯示處理失敗),如不確認(rèn)是否可以清除,可與我們?nèi)〉寐?lián)系幫您進(jìn)行判定。
3.挖礦病毒:
挖礦病毒已經(jīng)是企業(yè)內(nèi)最常見的病毒之一,此類病毒運(yùn)行時(shí)會(huì)大量占用系統(tǒng)資源,影響企業(yè)內(nèi)的業(yè)務(wù),妨礙員工辦公。挖礦病毒的傳播方式較多,企業(yè)內(nèi)常見的傳播方式有內(nèi)網(wǎng)橫向傳播、軟件安裝包攜帶、黑客入侵投放等。
火絨查殺到此類病毒時(shí),報(bào)毒名稱多為”Trojan/挖礦程序名”,例如”Trojan/CoinMiner”、”Trojan/JS.CoinMiner”。正常情況下,電腦內(nèi)發(fā)現(xiàn)此類病毒只需要用火絨終端掃描查殺即可,在查殺結(jié)束后需要重啟。
因挖礦病毒多會(huì)攜帶其他模塊,例如利用永恒之藍(lán)進(jìn)行傳播的模塊等,所以在查殺挖礦病毒時(shí),除了挖礦組件外,還可能會(huì)查殺到報(bào)毒名為”Exploit/EquationDrug”或”HackTool/EquationDrug”的其他功能模塊。
4.黑客工具:
火絨對(duì)黑客工具的定義為”可以被黑客利用,用來控制用戶計(jì)算機(jī)或發(fā)起網(wǎng)絡(luò)攻擊的工具程序”,包括挖礦工具、端口掃描工具、ARK工具、遠(yuǎn)程控制工具等。
在查殺到此類程序時(shí),火絨的報(bào)毒名稱多為”HackTool/工具名”,例如”HackTool/PowerTool.a”、”HackTool/PortScan.a”等,在企業(yè)環(huán)境內(nèi),發(fā)現(xiàn)此類工具多是遭受攻擊,黑客試圖使用此類工具繼續(xù)對(duì)內(nèi)網(wǎng)進(jìn)行滲透時(shí)被火絨攔截。
在企業(yè)內(nèi)查殺到此類工具,如并非為企業(yè)內(nèi)常用工具或運(yùn)維人員所用工具,需及時(shí)進(jìn)行排查,對(duì)所查殺工具的來源與作用進(jìn)行確認(rèn)。也可直接與火絨安全進(jìn)行聯(lián)系,協(xié)助您進(jìn)行排查。
5.廣告程序:
廣告程序會(huì)通過多種途徑進(jìn)入系統(tǒng),多為未經(jīng)用戶允許便進(jìn)行安裝(捆綁安裝攜帶、軟件自身的廣告組件等)。
運(yùn)行時(shí)多會(huì)通過彈出式廣告、劫持瀏覽器主頁、暗刷等方式盈利,對(duì)用戶日常的電腦使用,辦公等造成影響。此類程序被火絨查殺時(shí),報(bào)毒名稱為”Adware/名稱”,例如”Adware/FakeAV.ks”、”Adware/PuddingZip.g”等?;鸾q在查殺此類程序時(shí),只會(huì)處理該程序的廣告模塊,不會(huì)影響該程序的正常使用,但是會(huì)出現(xiàn)該軟件升級(jí)時(shí),將廣告模塊恢復(fù)的情況,會(huì)導(dǎo)致火絨對(duì)此文件頻繁查殺。出現(xiàn)此類情況時(shí),如該軟件需要繼續(xù)使用,建議您將相關(guān)文件添加到白名單,如此程序并非您主動(dòng)安裝(捆綁),或不需要使用,建議您進(jìn)行卸載。
對(duì)于軟件的彈窗廣告,火絨提供了安全工具”彈窗攔截”,可阻止此類窗口出現(xiàn)。
非病毒問題
1.漏洞掃描:
使用火絨”漏洞修復(fù)”功能,掃描并修復(fù)Windows漏洞時(shí),可能因?yàn)槎喾N原因?qū)е卵a(bǔ)丁下載或安裝失敗,該小節(jié)內(nèi)容為常見的”漏洞修復(fù)”問題與處理辦法。
1、火絨”漏洞修復(fù)”掃描出的補(bǔ)丁數(shù)量,與”Windows Update”提供的補(bǔ)丁數(shù)量不一致
火絨默認(rèn)不推送部分功能性補(bǔ)丁,例如IE跨版本升級(jí)(如IE10升級(jí)到IE11)、.Net跨版本升級(jí)、語言包等,除減少了功能性補(bǔ)丁外,微軟提供的補(bǔ)丁部分存在包含與替代關(guān)系,火絨會(huì)根據(jù)測(cè)試后的情況,調(diào)整規(guī)則庫,在高危漏洞全部安裝的情況下,調(diào)整被替代的補(bǔ)丁推送,所以會(huì)比系統(tǒng)推送的補(bǔ)丁數(shù)量少。
2、補(bǔ)丁”下載失敗”
此問題多為網(wǎng)絡(luò)環(huán)境異常導(dǎo)致,如需要安裝補(bǔ)丁的電腦可以訪問網(wǎng)絡(luò),可以嘗試ping以下地址:
download.windowsupdate.com
download.microsoft.com
如無法ping通,需要排查網(wǎng)絡(luò)是否存在故障,若網(wǎng)絡(luò)環(huán)境無異常依舊下載失敗,可聯(lián)系火絨協(xié)助您排查該問題。
需要修復(fù)漏洞的電腦是內(nèi)網(wǎng),無法于微軟服務(wù)器下載補(bǔ)丁,此時(shí)需要檢查”火絨中心”是否能夠連接戶聯(lián)網(wǎng)。
在火絨中心可以訪問網(wǎng)絡(luò)的情況下,需要修改”火絨中心->漏洞修復(fù)”功能設(shè)置,勾選從中心下載補(bǔ)丁。
火絨中心也部署在內(nèi)網(wǎng)的情況下,需要使用”離線升級(jí)工具”,相關(guān)使用方法可以查看使用文檔。
3、補(bǔ)丁”安裝失敗”
出現(xiàn)補(bǔ)丁”安裝失敗”的情況,多為系統(tǒng)環(huán)境內(nèi),更新相關(guān)環(huán)境、組件、服務(wù)出現(xiàn)異常。
當(dāng)您出現(xiàn)此類問題時(shí),可與我們?nèi)〉寐?lián)系,幫您找到補(bǔ)丁安裝失敗的原因,并提供解決方案。
2.軟件沖突:
a).透明加密軟件
企業(yè)內(nèi)在使用透明加密軟件(防泄密程序)時(shí),常會(huì)遇到宏病毒在掃描時(shí)不報(bào)毒,打開文件時(shí)火絨提示存在宏病毒。
出現(xiàn)此問題的原因?yàn)?,安裝防泄密軟件后,被保護(hù)的文檔內(nèi)容被加密,只有使用防泄密軟件允許的程序打開(Office Word、WPS等)該文件,或事先使用該軟件解密文件內(nèi)容后,文檔內(nèi)容才可以被其他軟件正常訪問。
當(dāng)您遇到此類問題時(shí),如該防泄密軟件有白名單功能,可先將火絨目錄下的可執(zhí)行程序添加到白名單(HipsDaemon.exe\HipsMain.exe\HipsTray.exe)后,再次掃描查看問題是否解決。
如該防泄密程序沒有白名單功能,或添加白名單后依舊無法正常進(jìn)行掃描,可聯(lián)系防泄密程序廠商與火絨安全,共同解決此問題。
其他問題
1.藍(lán)屏:
火絨使用過程中出現(xiàn)藍(lán)屏問題時(shí),需要提取該電腦上的藍(lán)屏dump并上傳,我們會(huì)幫您分析藍(lán)屏原因
dump文件位置:
%SystemRoot%\Memory.dmp
%SystemRoot%\Minidump*.dmp(根據(jù)日期命名)
如此目錄下沒有發(fā)現(xiàn)相關(guān)文件,可以檢查以下設(shè)置。
打開運(yùn)行,輸入”systempropertIEsadvanced”,打開”高級(jí)系統(tǒng)設(shè)置”。
點(diǎn)擊”高級(jí)->啟動(dòng)和故障恢復(fù)->設(shè)置”,按照?qǐng)D片進(jìn)行設(shè)置。如沒有”自動(dòng)內(nèi)存轉(zhuǎn)儲(chǔ)”選項(xiàng),可根據(jù)需求選擇”核心內(nèi)存轉(zhuǎn)儲(chǔ)(推薦)”、”最小內(nèi)存轉(zhuǎn)儲(chǔ)”、”完全內(nèi)存轉(zhuǎn)儲(chǔ)”。
2.惡意網(wǎng)址攔截:
火絨終端部署后,根據(jù)局域網(wǎng)內(nèi)狀況不同,可能會(huì)出現(xiàn)大量”惡意網(wǎng)址攔截日志”,此小節(jié)列出企業(yè)內(nèi)較常見的被攔截網(wǎng)址,并提供解決方案。
出現(xiàn)以上網(wǎng)址的攔截,是因您電腦中安裝了快壓導(dǎo)致,可根據(jù)您的需求選擇是否繼續(xù)使用或卸載該軟件。
相關(guān)報(bào)告:知名壓縮軟件”快壓”傳播病毒和多款流氓軟件 劫持流量
出現(xiàn)以上網(wǎng)址的攔截,是因您電腦中安裝了布丁系軟件導(dǎo)致。
Clover
東方瀏覽器
東方輸入法
東方頭條
萬能瀏覽器
萬能看圖
萬能五筆
智能云五筆輸入法
智能云輸入法
布丁壓縮
布丁桌面
水果輸入法
可根據(jù)您的需求選擇是否繼續(xù)使用或卸載該軟件,此類軟件在卸載后有殘留服務(wù)訪問以上網(wǎng)址,重新安裝軟件的行為,如您電腦上未發(fā)現(xiàn)此系列軟件但依舊存在”惡意網(wǎng)址攔截”日志,可聯(lián)系我們幫您進(jìn)行排查。
相關(guān)報(bào)告:灰色產(chǎn)業(yè)鏈成病毒傳播最大渠道 流量生意或迎來最后的瘋狂
出現(xiàn)以上網(wǎng)址的攔截,是因您電腦中存在DTStealer木馬導(dǎo)致,除了攔截網(wǎng)址訪問,可能會(huì)同時(shí)出現(xiàn)”隱藏執(zhí)行PowerShell”等攔截日志,關(guān)于此病毒只需使用火絨全盤查殺,重啟即可。
相關(guān)報(bào)告: “驅(qū)動(dòng)人生”利用高危漏洞傳播病毒 12月14日半天感染數(shù)萬臺(tái)電腦
提交問題
如果您遇到以下情況:
a).網(wǎng)絡(luò)內(nèi)發(fā)現(xiàn)可疑文件,想要提供給火絨安全進(jìn)行分析。
b).系統(tǒng)出現(xiàn)異常,但是不方便我們遠(yuǎn)程進(jìn)行協(xié)助。
您可以按照以下方式提交相關(guān)信息,銘冠網(wǎng)安會(huì)根據(jù)您的問題與提供的信息做出相應(yīng)解決方案。
病毒問題
需要您提交以下信息:
1).問題詳情
2).火絨中心日志(包括《病毒防御日志》《系統(tǒng)防御日志》《網(wǎng)絡(luò)防御日志》,時(shí)間為30天)。
3).報(bào)毒終端日志。
4).報(bào)毒終端版本、病毒庫版本。
5).需要火絨安全進(jìn)行分析的樣本、隔離區(qū)內(nèi)提取的樣本。