耗尽CPU资源的Explored病毒清除法

  昨天单元这好几台呆板病毒大爆发，因为都不是专家高手，折腾了好久才清理掉，过程中有些体会，以为可以写上去，跟大家作一番交换。
  首先是病毒的发现。昨天出现了两个症状。
  一、在局域网上出现广播包(ARP)暴增，甚至把出口堵死。
  二、呆板CPU资源耗尽。
  用任务管理器可以看到可疑的历程explored.exe和services.exe一起占用CPU近100%(后来才知道，这是因为该病毒是通过服务启动的)，该历程无法制止，注册表键值：
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  这里有该项存在，即使将该项删除，重启后仍如原样。这个文件是存在在WINDOWS的SYSTEM32目次下，未中毒呆板没有该文件。因而可根本确认该历程是病毒。
  然后是病毒的查杀。这过程中出现两个问题，一是瑞星开始无法升级，这是因为病毒本身把出口堵塞，TCP流无法正常传输。
  我们尝试了一下，发现可以用防火墙(比方天网)将病毒步伐隔离，然后再连网进行升级。第二个问题是瑞星查毒过程缓慢(查毒前已经将网卡先禁用了)，这是因为病毒步伐explored占用CPU太狠，在无法设置删除该历程的情况下，可以用任务管理器进步瑞星历程的优先级(好比及时)，如许瑞星从病辣手中抢过CPU资源来正常地运转。
  不外，这次瑞星只查杀了假装成svchost.exe的蠕虫病毒，explored仍旧存在。
  我们迫不得已下只好接纳很笨的方法删除explored，就是进入宁静模式，到Windows的System32目次下间接把该文件删除掉。顺便也把注册表中启动运转那项也删掉了。
  重启后，提示有服务出错，到管理东西下的“服务”一看，才终于发现了该病毒的真实面貌:原来“服务”里面有一栏“Windows Login”，属性显示服务称号是“MpR”，可执行文件途径正是“C:\WINNT\SYSTEM32\explored.exe -services”。
  这就阐明白为什么历程中断不了，删掉注册表中系统启动项也没用。也就是说，现在应该到服务里将该服务制止，而不是在任务管理器试图将其删除。
  最后就病毒查杀的心得作一点小结:上述病毒发作都有一定迹象，比方CPU占满，网络带宽占满(可以通过网络连接状态看，要是后台没有运转什么历程，网络接口上收/发包数激增，就很可能是中毒或是连接的网络上有呆板中毒)，因为平时要连结警惕，发现异常就连忙查毒。
  最好是用查毒软件，用任务管理器偶然受骗，如今的病毒起名每每跟系统步伐相似甚至相同，比方explored, smsss(smss是系统步伐)，svchost等等。最好知道真正的系统步伐所在目次，比方系统svchost.exe应该在system32下，而病毒可能藏在system32\drivers下。
  病毒的自启动可能通过许多途径:注册表，INI文件，甚至——象explored如许——通过服务启动。
  与其中了毒再查再杀，不如切实做好防护步伐——补丁，病毒掩护，防火墙，一个都不能少啊!
 

文章作者: 福州军威计算机技术有限公司
军威网络是福州最专业的电脑维修公司,专业承接福州电脑维修、上门维修、IT外包、企业电脑包年维护、局域网网络布线、网吧承包等相关维修服务。
版权声明：原创作品，允许转载，转载时请务必以超链接形式标明文章原始出处 、作者信息和声明。否则将追究法律责任。

评论加载中... 内容： 评论者： 验证码：