如何处理那些杀软都清除不了的病毒

作为一名运维工程师，即使不是专业的病毒分析工程师，也可以通过系统运维的经验来处理复杂的病毒问题。以下是详细的处理方法：

感染现象描述：

1、被感染的计算机向大量远程IP的445端口发送请求，显示出类似蠕虫的特征。

2、使用各种杀毒软件（如McAfee、卡巴斯基、360、火绒、腾讯管家等）进行查杀均无效。虽然可以识别出在C:\Windows\NerworkDistribution中发现异常文件，但即使删除NerworkDistribution后，每次重启又会再次生成，无法完全清除病毒。

由于杀毒软件无法清除病毒，只能通过手动方式进行处理。我个人偏好使用火绒，因为其界面简洁且功能强大，自带的火绒剑是安全分析的利器。安装火绒后，进行以下分析和排查过程。

事件分析过程：

A、网络链接

通过对外发包现象，找到对外发送请求的进程ID：4960。

B、进程分析

进一步通过进程ID找到相关联的进程，父进程为1464。

找到进程ID为1464的服务项，逐一排查，发现服务项RemoteUPnPService存在异常。

C、删除服务

钉钉 AI 助理

钉钉AI助理汇集了钉钉AI产品能力，帮助企业迈入智能新时代。

21

查看详情

选择可疑服务项，右键属性，停止服务，并将启动类型设为禁止。

停止并禁用服务后，再清除NerworkDistribution目录，然后重启计算机。异常请求和目录的现象消失。

在排查了几台计算机后，发现现象一致，只是服务项的名称有所变化。

如何清除病毒呢？

停止并禁用可疑的服务项。服务项的名称可能会变化，但描述是不变的，可以根据描述快速找到可疑服务项。可疑服务项描述：Enables a common interface and object model for the Remote UPnP Service to access。

删除服务项：Sc delete RemoteUPnPService

删除C:\Windows\NerworkDistribution目录。

重启计算机。

使用杀毒软件再次进行全盘查杀。

到微软官方网站下载对应操作系统补丁，下载链接：https://www.php.cn/link/24699bced4aeb7cf8d33b0319c4a5c98

后话：

在查询了大量资料后，找到了一篇2018年2月有关该病毒的报告：

根据文章提示，这个病毒的构造非常复杂，主控模块作为服务“Hyper-VAccess Protection Agent Service”的ServiceDll存在。但与目前处理的情况有所不同，该病毒疑似已经升级。

以上就是如何处理那些杀软都清除不了的病毒的详细内容，更多请关注php中文网其它相关文章！