耗尽cpu资源的explored病毒清除法Windows安全
“翻斗花园胡土豆”通过精心收集,向本站投稿了5篇耗尽cpu资源的explored病毒清除法Windows安全,下面是小编为大家整理后的耗尽cpu资源的explored病毒清除法Windows安全,供大家参考借鉴,希望可以帮助您。
篇1:耗尽cpu资源的explored病毒清除法Windows安全
昨天单位这好几台机器病毒大爆发,因为都不是专家高手,折腾了很久才清理掉,过程中有些体会,觉得可以写下来,跟大家作一番交流,
首先是病毒的发现。昨天出现了两个症状。
一、在局域网上出现广播包(arp)暴增,甚至把出口堵死。
二、机器cpu资源耗尽。
用任务管理器可以看到可疑的进程explored.exe和services.exe一起占用cpu近100%(后来才知道,这是因为该病毒是通过服务启动的),该进程无法停止,注册表键值:
hkey_local_machinesoftwaremicrosoftwindowscurrentversionrun
这里有该项存在,即使将该项删除,重启后仍如原样。这个文件是存在在windows的system32目录下,未中毒机器没有该文件。因此可基本确认该进程是病毒。
然后是病毒的查杀。这过程中出现两个问题,一是瑞星开始无法升级,这是因为病毒本身把出口堵塞,tcp流无法正常传输。
我们尝试了一下,发现可以用防火墙(例如天网)将病毒程序隔离,然后再连网进行升级。第二个问题是瑞星查毒过程缓慢(查毒前已经将网卡先禁用了),这是因为病毒程序explored占用cpu太狠,在无法设置删除该进程的情况下,可以用任务管理器提高瑞星进程的优先级(比如实时),这样瑞星从病毒手中抢过cpu资源来正常地运行。
不过,这次瑞星只查杀了伪装成svchost.exe的蠕虫病毒,explored仍然存在,
我们无可奈何下只好采用很笨的方法删除explored,就是进入安全模式,到windows的system32目录下直接把该文件删除掉。顺便也把注册表中启动运行那项也删掉了。
重启后,提示有服务出错,到管理工具下的“服务”一看,才终于发现了该病毒的真实面目:原来“服务”里面有一栏“windows login”,属性显示服务名称是“mpr”,可执行文件路径正是“c:winntsystem32explored.exe -services”。
这就说明了为什么进程中止不了,删掉注册表中系统启动项也没用。也就是说,当初应该到服务里将该服务停止,而不是在任务管理器试图将其删除。
最后就病毒查杀的心得作一点小结:上述病毒发作都有一定迹象,例如cpu占满,网络带宽占满(可以通过网络连接状态看,如果后台没有运行什么进程,网络接口上收/发包数激增,就很可能是中毒或是连接的网络上有机器中毒),因为平时要保持警惕,发现异常就赶紧查毒。
最好是用查毒软件,用任务管理器有时被骗,现在的病毒起名往往跟系统程序相似甚至相同,例如explored, smsss(smss是系统程序),svchost等等。最好知道真正的系统程序所在目录,例如系统svchost.exe应该在system32下,而病毒可能藏在system32drivers下。
病毒的自启动可能通过很多途径:注册表,ini文件,甚至――象explored这样――通过服务启动。
与其中了毒再查再杀,不如切实做好防护措施――补丁,病毒保护,防火墙,一个都不能少啊!
关 键 字:Windows安全
篇2:查杀耗尽CPU资源的Explored病毒
首先是病毒的发现,昨天出现了两个症状,一是在局域网上出现广播包(ARP)暴增,甚至把出口堵死;二是机器CPU资源耗尽。用任务管理器可以看到可疑的进程explored.exe和services.exe一起占用CPU近100%(后来才知道,这是因为该病毒是通过服务启动的),该进程无法停止,注册表HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun中有该项存在,即使将该项删除,重启后仍如原样。这个文件是存在在WINDOWS的SYSTEM32目录下,未中毒机器没有该文件。因此可基本确认该进程是病毒。
然后是病毒的查杀。这过程中出现两个问题,一是瑞星开始无法升级,这是因为病毒本身把出口堵塞,TCP流无法正常传输。我们尝试了一下,发现可以用防火墙(例如天网)将病毒程序隔离,然后再连网进行升级。第二个问题是瑞星查毒过程缓慢(查毒前已经将网卡先禁用了),这是因为病毒程序explored占用CPU太狠,在无法设置删除该进程的情况下,可以用任务管理器提高瑞星进程的优先级(比如实时),这样瑞星从病毒手中抢过CPU资源来正常地运行。不过,这次瑞星只查杀了伪装成svchost.exe的蠕虫病毒,explored仍然存在。
我们无可奈何下只好采用很笨的方法删除explored,就是进入安全模式,到Windows的System32目录下直接把该文件删除掉,
顺便也把注册表中启动运行那项也删掉了。重启后,提示有服务出错,到管理工具下的“服务”一看,才终于发现了该病毒的真实面目:原来“服务”里面有一栏“WindowsLogin”,属性显示服务名称是“MpR”,可执行文件路径正是“C:WINNTSYSTEM32explored.exe-services”。这就说明了为什么进程中止不了,删掉注册表中系统启动项也没用。也就是说,当初应该到服务里将该服务停止,而不是在任务管理器试图将其删除。
最后就病毒查杀的心得作一点小结:上述病毒发作都有一定迹象,例如CPU占满,网络带宽占满(可以通过网络连接状态看,如果后台没有运行什么进程,网络接口上收/发包数激增,就很可能是中毒或是连接的网络上有机器中毒),因为平时要保持警惕,发现异常就赶紧查毒。最好是用查毒软件,用任务管理器有时被骗,现在的病毒起名往往跟系统程序相似甚至相同,例如explored,smsss(smss是系统程序),svchost等等。最好知道真正的系统程序所在目录,例如系统svchost.exe应该在system32下,而病毒可能藏在system32drivers下。病毒的自启动可能通过很多途径:注册表,INI文件,甚至——象explored这样——通过服务启动。
与其中了毒再查再杀,不如切实做好防护措施——补丁,病毒保护,防火墙,一个都不能少啊!
篇3:查杀耗尽CPU资源的Explored病毒
昨天单位这好几台机器病毒大爆发,因为都不是专家高手,折腾了很久才清理掉,过程中有些体会,觉得可以写下来,跟大家作一番交流,
首先是病毒的发现。昨天出现了两个症状,一是在局域网上出现广播包(ARP)暴增,甚至把出口堵死;二是机器CPU资源耗尽。用任务管理器可以看到可疑的进程explored.exe和services.exe一起占用CPU近100%(后来才知道,这是因为该病毒是通过服务启动的),该进程无法停止,注册表HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun中有该项存在,即使将该项删除,重启后仍如原样。这个文件是存在在WINDOWS的SYSTEM32目录下,未中毒机器没有该文件。因此可基本确认该进程是病毒。
然后是病毒的查杀。这过程中出现两个问题,一是瑞星开始无法升级,这是因为病毒本身把出口堵塞,TCP流无法正常传输。我们尝试了一下,发现可以用防火墙(例如天网)将病毒程序隔离,然后再连网进行升级。第二个问题是瑞星查毒过程缓慢(查毒前已经将网卡先禁用了),这是因为病毒程序explored占用CPU太狠,在无法设置删除该进程的情况下,可以用任务管理器提高瑞星进程的优先级(比如实时),这样瑞星从病毒手中抢过CPU资源来正常地运行,
不过,这次瑞星只查杀了伪装成svchost.exe的蠕虫病毒,explored仍然存在。
我们无可奈何下只好采用很笨的方法删除explored,就是进入安全模式,到Windows的System32目录下直接把该文件删除掉。顺便也把注册表中启动运行那项也删掉了。重启后,提示有服务出错,到管理工具下的“服务”一看,才终于发现了该病毒的真实面目:原来“服务”里面有一栏“Windows Login”,属性显示服务名称是“MpR”,可执行文件路径正是“C:WINNTSYSTEM32explored.exe -services”。这就说明了为什么进程中止不了,删掉注册表中系统启动项也没用。也就是说,当初应该到服务里将该服务停止,而不是在任务管理器试图将其删除。
最后就病毒查杀的心得作一点小结:上述病毒发作都有一定迹象,例如CPU占满,网络带宽占满(可以通过网络连接状态看,如果后台没有运行什么进程,网络接口上收/发包数激增,就很可能是中毒或是连接的网络上有机器中毒),因为平时要保持警惕,发现异常就赶紧查毒。最好是用查毒软件,用任务管理器有时被骗,现在的病毒起名往往跟系统程序相似甚至相同,例如explored, smsss(smss是系统程序),svchost等等。最好知道真正的系统程序所在目录,例如系统svchost.exe应该在system32下,而病毒可能藏在system32drivers下。病毒的自启动可能通过很多途径:注册表,INI文件,甚至DD象explored这样DD通过服务启动。
与其中了毒再查再杀,不如切实做好防护措施DD补丁,病毒保护,防火墙,一个都不能少啊!
篇4:如何查杀耗CPU资源Explored病毒
昨天单位这好几台机器病毒大爆发,因为都不是专家高手,折腾了很久才清理掉,过程中有些体会,觉得可以写下来,跟大家作一番交流,首先是病毒的发现。昨天出现了两个症状,一是在局域网上出现广播包(ARP)暴增,甚至把出口堵死;二是机器CPU资源耗尽。用任务管理器可以看到可疑的进程explored.exe和services.exe一起占用CPU近100%(后来才知道,这是因为该病毒是通过服务启动的),该进程无法停止,注册表HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun中有该项存在,即使将该项删除,重启后仍如原样。这个文件是存在在WINDOWS的SYSTEM32目录下,未中毒机器没有该文件,
因此可基本确认该进程是病毒。
然后是病毒的查杀。这过程中出现两个问题,一是瑞星开始无法升级,这是因为病毒本身把出口堵塞,TCP流无法正常传输。我们尝试了一下,发现可以用防火墙(例如天网)将病毒程序隔离,然后再连网进行升级。第二个问题是瑞星查毒过程缓慢(查毒前已经将网卡先禁用了),这是因为病毒程序explored占用CPU太狠,在无法设置删除该进程的情况下,可以用任务管理器提高瑞星进程的优先级(比如实时),这样瑞星从病毒手中抢过CPU资源来正常地运行。不过,这次瑞星只查杀了伪装成svchost.exe的蠕虫病毒,explored仍然存在。
我们无可奈何下只好采用很笨的方法删除explored,就是进入安全模式,到Windows的System32目录下直接把该文件删除掉。顺便也把注册表中启动运行那项也删掉了。重启后,提示有服务出错,到管理工具下的服务一看,才终于发现了该病毒的真实面目:原来服务里面有一栏Windows Login,属性显示服务名称是MpR,可执行文件路径正是C:WINNTSYSTEM32explored.exe -services。这就说明了为什么进程中止不了,删掉注册表中系统启动项也没用。也就是说,当初应该到服务里将该服务停止,而不是在任务管理器试图将其删除。
篇5:Windows系统服务器(网站)安全注意事项病毒防范
年未了,网络安全越发显得重要,最近攻击事件是越来越多了,对于站长来说有时简直就是个恶梦,
这里我针对自己做站的一些安全经验,跟大家一起分享,也许我说的你可能觉得太简单,但是我希望可能还有一些朋友正需要这些信息,能帮到一二个也对得起我写这篇文章了。
1、服务器限端口
安装好系统,先限用tcp/ip端口筛选功能,开放你需要的一些端口,其它的都不要开,仅开放80、21(20)、3389(远程管理)。
当然用自带的软件防火墙也可以。
2、打好所有的补丁
这点不解释了
3、装好杀毒软件(可选)
如果你是多人使用的话,建议还是装上的好,以防万一,如果你自己用,而且能保证上传的没有毒的话可以不装。
4、开启自动更新,但人工安装
这样你可以让它后台下载,安装时也可以选择性安装。
5、禁用一些脚本组件,至少也得改个名之类
6、禁用guest用户,更名administrator ,然后把密码设的复杂一些,包含一些特殊符,
7、禁用一些默认的服务,关于这点,网上有很多文章介绍,我就不细说了,需要的朋友网上找一下吧。
8、禁用cmd.exe,禁用net.exe (这样不充许命令装态添加用户了)
9、为web目录单独设权限
10、为每一个站点单独设一个用户,然后绑到web目录下面。
11、有上传功能的网站,把那个上传的目录,在iis里设为不可运行脚本,运行权限为无。
12、针对不需要写操作的那些网站目录,最好将目录写入权去掉,只读即可。
13、为了防止动态脚本被人恶意修改,也可以把脚本文件设为只读+可运行
14、如果装有mssql的话,要删除禁用那些危险的系统存储过程,这个网上有很多,找一下吧。
15、asp网站特别要防止sql注入。 尽可能的加入防注入代码。
16、ftp要管好,不要支持匿名访问,密码不要太简单了,最好改掉默认21端口号
17、如不需要,禁止1433,1434端口
18、经常查查日志,最好养成习惯。
19、尽量不要在服务器上装你不熟的软件
20、尽量不要在服务器上使用ie或其它浏览器上网
21、尽量不要在服务器上使用outlook或是其它邮件客户端
当然,希望大家的网站都能平安!
【耗尽cpu资源的explored病毒清除法Windows安全】相关文章:
文档为doc格式
