Windows终端安全处置建议

一、金山查杀

使用金山终端安全软件V9，升级至最新版后进行全盘查杀，下载地址：https://www.ijinshan.com/

二、火绒查杀

使用最新版火绒安全软件进行全盘查杀，下载地址：https://www.huorong.cn/

三、专杀工具

如监控仍存在异常外联，可能存在顽固病毒，请使用金山和火绒专杀工具进行查杀。专杀工具查杀完成后可能会直接重启，因此如扫描过程中发现问题请及时留图并反馈结果到ors_pso@，注意提前保存工作文件。

1.金山专杀工具：

http://cu003.www.duba.net/duba/tools/dubatools/usb/sysfixkill.exe

扫描完成后提示“推荐安装金山毒霸”这里点“否”。

扫描完成后请点击“查看日志”，将该log文件一并邮件反馈。

2.火绒专杀工具

https://bbs.huorong.cn/thread-18575-1-1.html

如果在使用专杀的过程中出现打不开的情况，建议修改工具文件名后再进行尝试启动。

四、高级防护规则

在前面几步均未解决威胁的情况下：

1.外联域名

（1）打开火绒安全软件，点击设置按钮->安全设置，进入网络防护->恶意网址拦截。

（2）添加规则->填写外联的域名，点击保存，即可在防护中拦截该域名的请求。

（3）通过安全日志可查看最近日志拦截情况。

2.外联IP

（1）打开火绒安全设置，进入“IP协议控制”。 （不要选择IP黑名单）

（2）“规则名称”可自行起名，“操作”=阻止，“方向”=所有，“远程IP”写自己电脑涉及的IP，所有IP用英文分号间隔且之间不留空格。

（3）在正常上网办公过程中可检查触发该规则火绒记录的日志，如非正版软件建议卸载。

以上两步出现拦截日志的时候注意是否为系统文件，如果是请勿直接删除，可能导致电脑故障。