场景是我朋友在一家公司工作,这家公司有 1200 多台电脑。他们有 2 个域。员工根据他们的职责被分配相同的用户帐户。
- 即操作员、营销员、会计、经理。所有经理都使用“经理”帐户,所有操作员都使用 Operaor 帐户
问题是他们的网络感染了名为“W32.Sality”的病毒。该病毒会访问网络中的共享文件夹并删除受感染的文件,只要用户打开受感染的文件,系统也会被感染。
我的朋友有防病毒软件,但问题是他没有哪些计算机装有防病毒软件的记录。
我只是想知道是否有可能找出哪台计算机删除了该文件,然后我们可以在其中安装防病毒软件。
答案1
我强烈建议您反过来做——找出哪些计算机没有 AV。
我能想到的最简单的方法是连接到每台计算机的 C$ 共享(最好使用脚本),并检查 AV 文件夹是否存在。
答案2
此时,哪台计算机丢弃了该文件完全无关紧要 - 而且您将无法找出这一点,因为 Windows 不会注册它。找出哪个帐户创建了该文件:由于多个人使用同一个帐户,因此您无法找到该用户。
萨利蒂是一种古老的病毒,实际上它现在已经是一个完整的家族,因此不确定你面对的是哪种变体。引用维基百科文章:
“自 2010 年以来,随着恶意软件家族的不断发展,Sality 的某些变体也开始使用 rootkit 功能。由于其不断发展和功能强大,Sality 被认为是迄今为止最复杂、最强大的恶意软件之一。”
还:
“Sality 使用隐身措施在系统中保持持久性;因此,您可能需要启动到受信任的环境才能将其删除。Sality 还可能会更改您的计算机,例如更改 Windows 注册表,这使得下载、安装和/或更新病毒防护变得困难。此外,由于 Sality 的许多变体试图传播到可用的可移动/远程驱动器和网络共享,因此确保恢复过程彻底检测并从任何已知/可能的位置删除恶意软件非常重要。”
目前,假设您网络中的所有计算机都受到感染。
步骤 1:断开并关闭所有计算机。
步骤 2:规划如何清理。
步骤 3:进行清理
第二步是最重要的,如果你的计划不能正常工作,你的网络将受到感染。这也是无法用几句话描述的一步。我建议你找几个人一起开始研究:
https://www.google.com/search?q=clean+up+infected+computer
https://www.google.com/search?q=clean+up+infected+network
对于任何受感染的计算机,主要建议是彻底清除硬盘并重新安装操作系统和/或恢复备份。
强调一下:从你的问题来看,你似乎认为清理一台电脑就可以了。但你做不到。