从异常系统进程检查企业网络安全

1、在任务管理器下，马上关闭这个进程。有时候，可能利用系统的进程管理器还不能关闭这个进程，需要在安全模式下，才能关闭。所以，我们的第一要务，就是想尽一切可以想的办法，把这个进程先结束掉，如此，我们才可以做其他的工作。

2、在杀毒软件网站上，找这个木马的专杀工具。这个病毒其关联的范围太广，若手工删除的话，太浪费时间，一不小心的话，那边还会剩下漏网之雨。即使熟悉这个木马的人，要把木马清除干净的话，若没有半天的时间估计也搞不定。而且，因为要修改注册表等信息，所以手工修改也会发生错误。我的建议是，从网上寻找一个转杀工具，用来查杀一下就可以了。

3、利用专杀工具杀掉病毒后，要提醒中木马电脑的用户，要及时修改密码。如用户邮箱、QQ等即时通信工具的密码；若在这台电脑上使用过网上银行的话，还要修改这个网上银行的密码。因为这些信息很可能在用户不知情的情况下，就已经被攻击者所获取。所以，不怕一万，就怕万一，要即使修改这些信息，防止被攻击者非法利用。

四、Winlogon进程异常

这个进程是微软操作系统的用户登陆程序，管理用户的登陆与退出。该进程正常运行路径已经为SYSTEM32路径下并且是以SYSTEM系统身份用户运行。

但是，不幸的是，这个进程已经被落雪木马看中。

进程异常现象：

当你打开系统进程查看器查看你的系统进程时，若你发现你的系统中有个大写的WINLOGON进程并且该进程不是以SYSTEM系统用户名身份运行，而是当前帐户身份运行的话，那你就中了这个所谓的落雪病毒。

这个病毒很顽固，而且，也很狡猾，

这个木马是由VB程序语言编写，通过北斗壳技术进行加壳处理。病毒文件名被模拟成正常的系统工具名称，但是，文件扩展名变成了COM，而正常的系统进程是以EXE结尾的。这是落雪木马利用了微软操作系统的一个特性。当有两个文件，如A.EXE与A.COM两个文件。这个两个文件都是可执行文件，而且，文件名相同，只是扩展名不同。此时，我们若在命令行中，输入A运行A程序时，系统会优先执行A.COM程序。这是为什么呢？原来微软操作系统执行COM文件的优先级别要比执行EXE的文件级别高。如此，当用户在命令行中输入A，此时，系统运行的不是系统征程的进程或者程序，而是木马病毒。该病毒在运行时，还会创建一个WINLOGON.EXE进程，所以，我们查看进程管理器的时候，会发现有两个WINLOGON进程。只是一个是大写名字，一个是小写名字。另外运行的用户与路径也有差异。