网络和信息化服务
个人终端恶意进程及病毒排查手册
温馨提示:
个人终端勒索病毒目前暂无有效处置手段,在此提醒师生加强个人电脑安全防护及使用互联时的安全意识。
一、 Windows 恶意进程及病毒排查
1.1.检查系统性能:
操作方法:观察计算机在运行日常任务时是否出现明显的卡顿、延迟或运行缓慢等现象。
1.2.检查任务管理器:
操作方法:按下 Ctrl + Shift + Esc 组合键打开任务管理器,切换到“进程”选项卡,查看各进程的 CPU、内存占用情况。
1.3.检查网络连接:
操作方法:观察网络连接图标是否稳定,或者使用网络状态查看器(如资源监视器)来检查网络流量。
命令:打开资源监视器(perfmon /res),查看网络选项卡下的网络连接和流量情况。
1.4.检查系统服务:
操作方法:按下 Win + R 键,输入 services.msc 并回车,打开服务窗口,查看服务的状态、启动类型等。
命令:services.msc
1.5.检查开机启动项:
操作方法:按下 Win + R 键,输入 msconfig 并回车,切换到“启动”选项卡,查看和管理开机启动项。
命令:msconfig
1.6.使用杀毒软件:
操作方法:安装并运行杀毒软件(如 Windows Defender 或其他第三方杀毒软件),选择全盘扫描或自定义扫描选项进行病毒检测。
1.7.检查系统账号安全:
操作方法:按下 Win + R 键,输入 lusrmgr.msc 并回车,打开本地用户和组管理工具,查看用户列表和组设置。
命令:lusrmgr.msc
1.8.检查系统日志:
操作方法:按下 Win + R 键,输入 eventvwr.msc 并回车,打开事件查看器,选择“Windows 日志”下的不同类别(如应用程序、系统、安全等)进行查看。
命令:eventvwr.msc
1.9.更新系统和软件:
操作方法:对于 Windows 系统更新,可以前往“设置”->“更新和安全”->“Windows 更新”进行检查和安装更新。对于软件更新,通常可以在软件自身的设置或帮助菜单中找到更新选项。
二、Linux 恶意进程及病毒排查
2.1.检查网络进程情况:
查看异常网络进程情况(显示连接中的网络进程)
命令:netstat -antlp | grep ESTABLISHED
//查看有无异常网络连接,是否为恶意地址。(通过这个威胁情报库可初步判断矿池地址https://x.threatbook.com/)
2.2.检查 CPU 占用情况:
命令:Top
//恶意进程及病毒往往占用大量 CPU 资源
2.3.检查服务器进程运行情况
命令:ps -aux
//查看恶意进程 PID (一般需要使用管理员账号)
2.4.查询异常进程文件绝对路径
命令:ls -l /proc/pid(替换恶意进程 PID)/exe
//通过上面恶意进程PID 定位程序路径
//删除路径下文件,同时需要排查路径下是否存在sh脚本,有可能存在脚本中写入了定时任务。
2.5.结束恶意程序进程
命令:【1】Kill -9 “进程PID“、【2】Kill“进程名”
2.6.查询是否存在定时任务
命令:crontab -l
2.7.删除可疑定时任务
命令:crontab -r