登录注册
下拉
注册 忘记密码?
时时彩 性吧活动 性吧门派 社区娱乐 社区应用 最新帖子 精华区 统计排行
新会员: 
标记已读
  • 最近没有站点公告


上一主题下一主题
«12»Pages: 1/2
主题 : 耗尽您CPU资源的Explored病毒清除法
复制链接浏览器收藏打印
jayzhoujielu
级别: Level 2
我的群组
UID: 15185392
精华: 0
发帖: 42
金币: 30 枚
银币: 3164 枚
被顶: 34 次
宣传: 384 点
威望: 0 点
贡献: 0 点
原创: 0 个
活期存款: 0 枚
定期存款: 0 枚
注册时间: 2011-10-25
最后登录: 2011-11-25
楼主  发表于: 2011-10-29
倒序阅读   只看楼主  

耗尽您CPU资源的Explored病毒清除法



管理提醒: 本帖被 ↘红冭狼 从 电脑专区 | Computer Related 移动到本区(2011-11-10)
        耗尽您CPU资源的Explored病毒清除法....
      一、在局域网上出现广播包(ARP)暴增,甚至把出口堵死。

      二、机器CPU资源耗尽。
  用任务管理器可以看到可疑的进程explored.exe和services.exe一起占用CPU近100%(后来才知道,这是因为该病毒是通过服务启动的),该进程无法停止,注册表键值:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Run
  这里有该项存在,即使将该项删除,重启后仍如原样。这个文件是存在在WINDOWS的SYSTEM32目录下,未中毒机器没有该文件。因此可基本确认该进程是病毒。

  然后是病毒的查杀。这过程中出现两个问题,一是杀毒软件开始无法升级,这是因为病毒本身把出口堵塞,TCP流无法正常传输。

  我们尝试了一下,发现可以用防火墙将病毒程序隔离,然后再连网进行升级。第二个问题是杀毒软件查毒过程缓慢(查毒前已经将网卡先禁用了),这是因为病毒程序explored占用CPU太狠,在无法设置删除该进程的情况下,可以用任务管理器提高杀毒软件进程的优先级(比如实时),这样杀毒软件从病毒手中抢过CPU资源来正常地运行。

  不过,这次杀毒软件只查杀了伪装成svchost.exe的蠕虫病毒,explored仍然存在。

  我们无可奈何下只好采用很笨的方法删除explored,就是进入安全模式,到Windows的System32目录下直接把该文件删除掉。顺便也把注册表中启动运行那项也删掉了。

  重启后,提示有服务出错,到管理工具下的“服务”一看,才终于发现了该病毒的真实面目:原来“服务”里面有一栏“Windows Login”,属性显示服务名称是“MpR”,可执行文件路径正是“C:\WINNT\SYSTEM32\explored.exe -services”。

  这就说明了为什么进程中止不了,删掉注册表中系统启动项也没用。也就是说,当初应该到服务里将该服务停止,而不是在任务管理器试图将其删除。

  最后就病毒查杀的心得作一点小结:上述病毒发作都有一定迹象,例如CPU占满,网络带宽占满(可以通过网络连接状态看,如果后台没有运行什么进程,网络接口上收/发包数激增,就很可能是中毒或是连接的网络上有机器中毒),因为平时要保持警惕,发现异常就赶紧查毒。

  最好是用查毒软件,用任务管理器有时被骗,现在的病毒起名往往跟系统程序相似甚至相同,例如explored, smsss(smss是系统程序),svchost等等。最好知道真正的系统程序所在目录,例如系统svchost.exe应该在system32下,而病毒可能藏在system32\drivers下。

  病毒的自启动可能通过很多途径:注册表,INI文件,甚至——象explored这样——通过服务启动。
  与其中了毒再查再杀,不如切实做好防护措施——补丁,病毒保护,防火墙,一个都不能少啊
清空我的评分动态本帖最近评分记录: 共1条评分记录
宅♀侽 金币 +1 2011-10-29 发帖辛苦,红包送上
隐藏评分记录
回复 引用
举报顶端
李广元
级别: Level 4
我的群组

UID: 5590266
精华: 0
发帖: 45
金币: 323 枚
银币: 180 枚
被顶: 5 次
宣传: 0 点
威望: 0 点
贡献: 90 点
原创: 3 个
活期存款: 0 枚
定期存款: 0 枚
注册时间: 2010-05-09
最后登录: 2012-05-22
1楼  发表于: 2011-10-29
只看该作者  
传说中的沙发
好东西学习了,貌似我真的在我电脑中发现过这种病毒
回复 引用
举报顶端
85113800
级别: Level 1
我的群组
UID: 14810653
精华: 0
发帖: 196
金币: 73 枚
银币: 149 枚
被顶: 146 次
宣传: 0 点
威望: 0 点
贡献: 0 点
原创: 0 个
活期存款: 0 枚
定期存款: 0 枚
注册时间: 2011-09-30
最后登录: 2012-05-23
2楼  发表于: 2011-10-29
只看该作者  
呵呵  碰到这类病毒很怕啊                                      
回复 引用
举报顶端
kingw117
级别: Level 2
我的群组
UID: 14506641
精华: 0
发帖: 508
金币: 252 枚
银币: 327 枚
被顶: 0 次
宣传: 1 点
威望: 0 点
贡献: 0 点
原创: 0 个
活期存款: 0 枚
定期存款: 0 枚
注册时间: 2011-09-11
最后登录: 2012-03-21
3楼  发表于: 2011-10-30
只看该作者  
病毒很难杀啊,我都是做个GHOST,这样也方便
回复 引用
举报顶端
escbreak
级别: Level 1
我的群组
UID: 6806594
精华: 0
发帖: 72
金币: 188 枚
银币: -3 枚
被顶: 49 次
宣传: 0 点
威望: 0 点
贡献: 30 点
原创: 2 个
活期存款: 0 枚
定期存款: 0 枚
注册时间: 2010-07-22
最后登录: 2012-05-24
4楼  发表于: 2011-10-31
只看该作者  
及时给系统打补丁,养成良好的上网习惯,一般没事的。我的机器连杀毒软件都没装。
回复 引用
举报顶端
a3x123
级别: Level 1
我的群组
UID: 4440789
精华: 0
发帖: 138
金币: 92 枚
银币: 43 枚
被顶: 0 次
宣传: 0 点
威望: 0 点
贡献: 0 点
原创: 0 个
活期存款: 0 枚
定期存款: 0 枚
注册时间: 2010-03-20
最后登录: 2012-05-02
5楼  发表于: 2011-11-01
只看该作者  
经常慢的非常,原来是中招了
回复 引用
举报顶端
137851
级别: Level 3
我的群组

UID: 14813902
精华: 0
发帖: 581
金币: 934 枚
银币: 323 枚
被顶: 89 次
宣传: 0 点
威望: 0 点
贡献: 0 点
原创: 0 个
活期存款: 0 枚
定期存款: 0 枚
注册时间: 2011-09-30
最后登录: 2012-05-23
6楼  发表于: 2011-11-03
只看该作者  
我的电脑CUP有时被占用达70%,是不是和这种病毒有关呀,学习了,先按文中的方法查一下喽
,谢谢啦
回复 引用
举报顶端
sad1999
级别: Level 0
我的群组
UID: 4950271
精华: 0
发帖: 33
金币: 0 枚
银币: 10 枚
被顶: 0 次
宣传: 0 点
威望: 0 点
贡献: 0 点
原创: 0 个
活期存款: 0 枚
定期存款: 0 枚
注册时间: 2010-04-13
最后登录: 2012-05-12
7楼  发表于: 2011-11-03
只看该作者  
好复杂,难道我已经跟不上时代,默默流泪
回复 引用
举报顶端
yitu2002
级别: Level 0
我的群组
UID: 13425132
精华: 0
发帖: 53
金币: 0 枚
银币: 9 枚
被顶: 0 次
宣传: 0 点
威望: 0 点
贡献: 0 点
原创: 0 个
活期存款: 0 枚
定期存款: 0 枚
注册时间: 2011-07-22
最后登录: 2012-05-17
8楼  发表于: 2011-11-03
只看该作者  
要及时给系统打补丁,养成良好的上网习惯,经常杀毒,一般没事的。
回复 引用
举报顶端
eddive
级别: Level 0
我的群组
UID: 3836840
精华: 0
发帖: 22
金币: 0 枚
银币: 150 枚
被顶: 0 次
宣传: 0 点
威望: 0 点
贡献: 0 点
原创: 0 个
活期存款: 0 枚
定期存款: 0 枚
注册时间: 2010-02-15
最后登录: 2012-05-20
9楼  发表于: 2011-11-03
只看该作者  
装机结束后直接做个备份,有时候这种病毒是很麻烦的
回复 引用
举报顶端
上一主题下一主题
«12»Pages: 1/2
 性吧春暖花开,春暖花开性吧有你 » 安全专区 | Security
描述
快速回复

批量上传需要先选择文件,再选择上传
按"Ctrl+Enter"直接提交