利用科來網絡分析系統診斷流氓軟體VVisit

利用科來網絡分析系統

診斷流氓軟體VVisit

昨天公司網絡非常慢，而同僚們也都是簡單的浏覽網頁，不至于這麼慢的啊。決定用科來網絡分析系統來看一看。具體步驟如下：

1、部署科來網絡分析系統

2、定位故障源

選擇端點視圖，選擇對IP節點流量排名，竟然發現.23的流量竟然占了總量的99%，而此機器是列印機伺服器，現在根本無人使用，此機有問題，需進行針對分析。如圖：

3、分析異常行為

定位到浏覽器節點，發現98%是http流量，如圖：

然後定位到日志視圖，對通路http URL進行分析，如圖：

短短時間竟然有2217條之多，選中一些URL進行通路，發現這些網站雜而無章。的确這台機器是會有遠端使用者登陸的，但也不會去看這麼雜的網站呢。還是确定下吧，檢視任務管理器，的确隻有我這一個使用者啊，而我又絕對沒有打開過這些網站啊，難道中毒了？

4、病毒分析

定位到資料包視圖，檢視資料包内容，如下圖：

記住源端口号，指令行下輸入：netstat –aon 關聯到程序号，然後打開任務管理器，使用此程序号的程序竟然是firefox，火狐？這台機器上肯定沒有火狐啊，咋回事呢。還是先關掉這個程序吧，關掉之後.23的流量明顯減少，可是沒一會發現流量又上來了，咋回事？打開程序一看firefox又出來了，怎麼辦呢，一同僚過來說，在系統資料庫裡删掉試試吧，regedit，然後查找firefox全部删掉。（靠，此前從不敢動regedit,老師說那東西最好不要動，亂動會有問題的。此同僚是做銷售的，這都懂，狂暈）

重新開機，果然流量果然不大，正在慶幸呢，一會一看，壞了，流量又來了，而且firefox又出現了。咋辦？

一高手指點，去網上找個程序檢視器吧。然後下了個ProcessExplorerV11.21漢化版，還挺好用，一眼看到firefox程序，發現它的父程序是個VVisit，這是什麼東東？網上一查原來一流氓軟體。幹掉它，系統資料庫中全部删掉VVisit,重新開機，在硬碟中查找VVisit，全部删掉。（不在系統資料庫中删掉，直接在硬碟中删，是删不掉的）

再檢視科來分析系統，流量已正常，網絡運作正常。OK，結束！

5、總結

不懂就要問，自己搞定不了了，要集合衆人的智慧啊！各位高手如有更好的解決方法，請不要吝啬哦！

自從有了科來網絡分析系統，網絡故障、病毒咱都不怕，哈哈！

<a href="http://down.51cto.com/data/2354746" target="_blank">附件：http://down.51cto.com/data/2354746</a>

本文轉自 此号無效1 51CTO部落格，原文連結:http://blog.51cto.com/test2016/242625