个人终端恶意进程及病毒排查手册

温馨提示：

个人终端勒索病毒目前暂无有效处置手段，在此提醒师生加强个人电脑安全防护及使用互联时的安全意识。

一、 Windows 恶意进程及病毒排查

1.1.检查系统性能：

操作方法：观察计算机在运行日常任务时是否出现明显的卡顿、延迟或运行缓慢等现象。

1.2.检查任务管理器：

操作方法：按下 Ctrl + Shift + Esc 组合键打开任务管理器，切换到“进程”选项卡，查看各进程的 CPU、内存占用情况。

1.3.检查网络连接：

操作方法：观察网络连接图标是否稳定，或者使用网络状态查看器（如资源监视器）来检查网络流量。

命令：打开资源监视器（perfmon /res），查看网络选项卡下的网络连接和流量情况。

1.4.检查系统服务：

操作方法：按下 Win + R 键，输入 services.msc 并回车，打开服务窗口，查看服务的状态、启动类型等。

命令：services.msc

1.5.检查开机启动项：

操作方法：按下 Win + R 键，输入 msconfig 并回车，切换到“启动”选项卡，查看和管理开机启动项。

命令：msconfig

1.6.使用杀毒软件：

操作方法：安装并运行杀毒软件（如 Windows Defender 或其他第三方杀毒软件），选择全盘扫描或自定义扫描选项进行病毒检测。

1.7.检查系统账号安全：

操作方法：按下 Win + R 键，输入 lusrmgr.msc 并回车，打开本地用户和组管理工具，查看用户列表和组设置。

命令：lusrmgr.msc

1.8.检查系统日志：

操作方法：按下 Win + R 键，输入 eventvwr.msc 并回车，打开事件查看器，选择“Windows 日志”下的不同类别（如应用程序、系统、安全等）进行查看。

命令：eventvwr.msc

1.9.更新系统和软件：

操作方法：对于 Windows 系统更新，可以前往“设置”->“更新和安全”->“Windows 更新”进行检查和安装更新。对于软件更新，通常可以在软件自身的设置或帮助菜单中找到更新选项。

二、Linux 恶意进程及病毒排查

2.1.检查网络进程情况：

查看异常网络进程情况（显示连接中的网络进程）

命令：netstat -antlp | grep ESTABLISHED

//查看有无异常网络连接，是否为恶意地址。（通过这个威胁情报库可初步判断矿池地址https://x.threatbook.com/）

2.2.检查 CPU 占用情况：

命令：Top

//恶意进程及病毒往往占用大量 CPU 资源

2.3.检查服务器进程运行情况

命令：ps -aux

//查看恶意进程 PID （一般需要使用管理员账号）

2.4.查询异常进程文件绝对路径

命令：ls -l /proc/pid（替换恶意进程 PID）/exe

//通过上面恶意进程PID 定位程序路径

//删除路径下文件，同时需要排查路径下是否存在sh脚本，有可能存在脚本中写入了定时任务。

2.5.结束恶意程序进程

命令：【1】Kill -9 “进程PID“、【2】Kill“进程名” 

2.6.查询是否存在定时任务

命令：crontab -l

2.7.删除可疑定时任务

命令：crontab -r