真实经历 网管清除病毒经验总结（上）

　　B公司的计算机网络环境非常不错：一台Netscreen 25防火墙做为边界防火墙，同时用于宽带路由拔号，防火墙四个网络接口一个用于ADSL线路连接，其实三个划分Vlan分别连接三个3COM 10/100兆交换机。整个公司约60台电脑，其中47台为笔记本电脑。服务器四台、网络打印机五台一个Vlan;笔记本为一个Vlan;台式机划分为一个Vlan。

　　使用Mcafee8.5i作为客户端防病毒软件，所有电脑的防病毒软件设置每日更新，每周杀病毒一次。按照正常的情况来看，B公司电脑数量不多，既有硬件防火墙客户端又有防病毒软件，做为网管应该非常轻松!可是，事与愿违，自A先生进入B公司以来，一个字，那就是 “累”!

　　这不，11月底B公司网络再次爆发大面积病毒发作，A先生三天没日没夜加班加点，安装操作系统7台、所有计算机断网杀毒后，终于再次把网络中病毒清除掉，让网络恢复正常。鼓足勇气写下了11月底病毒发作的报告书交给了老板，以下是本次事件的报告书：

　　网络病毒故障分析：

　　1、Mcafee防病毒软件不断跳出报警窗口，提供C:\autorun.inf、D:\autorun.inf、E:\autorun.inf等文件发现病毒。

　　2、Internet Explorer浏览器不断打开http://mysupport.mcafee.com窗口，造成计算机系统运行缓慢。无法使用。

　　3、CTRL+ALT+DEL看任务管理器是灰色，修改注册表后进入任务管理器多现数十个reg.exe进程。

　　4、C盘、D盘、E盘等根目录自动生成隐藏、只说属性的Autorun.inf文件以及SOS.exe文件。

　　通过分析，发现公司此次感染的病毒是一种恶意程序，安全厂商将这种病毒定位为：Trojan-Downloader.Win32.Delf.gen。病毒的变种发布速度很快，此变种能够针对大多数反病毒软件进行了相应的处理，以逃避被查杀。

　　该病毒程序通过在网页文件中插入恶意框架代码，通过多种系统或应用程序漏洞传播木马，还会释放利用系统自动运行功能的autorun.inf文件及相应文件。同时，多种病毒重复感染，能通过网络内部局域迅速传播。

　　病毒名称：Trojan-Downloader.Win32.Delf.gen

　　病毒类型：木马下载者

　　病毒行为：程序运行后，释放文件：%System%\Systom.exe 　 %System%\auToRun.inf

　　并在磁盘各个分区释放文件sos.exe和auToRun.inf，此次病毒大面积感染事件当中，除了以上介绍的主病毒外，还有多种不同病毒一起发作，造成公司多台计算机无法正常使用。