耗盡CPU資源的Explored病毒清除方法是什么

　　電腦病毒看不見(jiàn)，卻無(wú)處不在，有時(shí)防護(hù)措施不夠或者不當(dāng)操作都會(huì)導(dǎo)致病毒入侵。昨天單位這好幾臺(tái)機(jī)器病毒大爆發(fā)，因?yàn)槎疾皇菍＜腋呤郑垓v了很久才清理掉，過(guò)程中有些體會(huì)，覺(jué)得可以寫(xiě)下來(lái)，跟大家作一番交流。

　　方法步驟

　　首先是病毒的發(fā)現(xiàn)。昨天出現(xiàn)了兩個(gè)癥狀。

　　一、在局域網(wǎng)上出現(xiàn)廣播包(ARP)暴增，甚至把出口堵死。

　　二、機(jī)器CPU資源耗盡。

　　用任務(wù)管理器可以看到可疑的進(jìn)程explored.exe和services.exe一起占用CPU近100%(后來(lái)才知道，這是因?yàn)樵摬《臼峭ㄟ^(guò)服務(wù)啟動(dòng)的)，該進(jìn)程無(wú)法停止，注冊(cè)表鍵值：

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

　　這里有該項(xiàng)存在，即使將該項(xiàng)刪除，重啟后仍如原樣。這個(gè)文件是存在在WINDOWS的SYSTEM32目錄下，未中毒機(jī)器沒(méi)有該文件。因此可基本確認(rèn)該進(jìn)程是病毒。

　　然后是病毒的查殺。這過(guò)程中出現(xiàn)兩個(gè)問(wèn)題，一是瑞星開(kāi)始無(wú)法升級(jí)，這是因?yàn)椴《颈旧戆殉隹诙氯?，TCP流無(wú)法正常傳輸。

　　我們嘗試了一下，發(fā)現(xiàn)可以用防火墻(例如天網(wǎng))將病毒程序隔離，然后再連網(wǎng)進(jìn)行升級(jí)。第二個(gè)問(wèn)題是瑞星查毒過(guò)程緩慢(查毒前已經(jīng)將網(wǎng)卡先禁用了)，這是因?yàn)椴《境绦騟xplored占用CPU太狠，在無(wú)法設(shè)置刪除該進(jìn)程的情況下，可以用任務(wù)管理器提高瑞星進(jìn)程的優(yōu)先級(jí)(比如實(shí)時(shí))，這樣瑞星從病毒手中搶過(guò)CPU資源來(lái)正常地運(yùn)行。

　　不過(guò)，這次瑞星只查殺了偽裝成svchost.exe的蠕蟲(chóng)病毒，explored仍然存在。

　　我們無(wú)可奈何下只好采用很笨的方法刪除explored，就是進(jìn)入安全模式，到Windows的System32目錄下直接把該文件刪除掉。順便也把注冊(cè)表中啟動(dòng)運(yùn)行那項(xiàng)也刪掉了。

　　重啟后，提示有服務(wù)出錯(cuò)，到管理工具下的“服務(wù)”一看，才終于發(fā)現(xiàn)了該病毒的真實(shí)面目:原來(lái)“服務(wù)”里面有一欄“Windows Login”，屬性顯示服務(wù)名稱是“MpR”，可執(zhí)行文件路徑正是“C:\WINNT\SYSTEM32\explored.exe -services”。

　　這就說(shuō)明了為什么進(jìn)程中止不了，刪掉注冊(cè)表中系統(tǒng)啟動(dòng)項(xiàng)也沒(méi)用。也就是說(shuō)，當(dāng)初應(yīng)該到服務(wù)里將該服務(wù)停止，而不是在任務(wù)管理器試圖將其刪除。

　　最后就病毒查殺的心得作一點(diǎn)小結(jié):上述病毒發(fā)作都有一定跡象，例如CPU占滿，網(wǎng)絡(luò)帶寬占滿(可以通過(guò)網(wǎng)絡(luò)連接狀態(tài)看，如果后臺(tái)沒(méi)有運(yùn)行什么進(jìn)程，網(wǎng)絡(luò)接口上收/發(fā)包數(shù)激增，就很可能是中毒或是連接的網(wǎng)絡(luò)上有機(jī)器中毒)，因?yàn)槠綍r(shí)要保持警惕，發(fā)現(xiàn)異常就趕緊查毒。

　　最好是用查毒軟件，用任務(wù)管理器有時(shí)被騙，現(xiàn)在的病毒起名往往跟系統(tǒng)程序相似甚至相同，例如explored, smsss(smss是系統(tǒng)程序)，svchost等等。最好知道真正的系統(tǒng)程序所在目錄，例如系統(tǒng)svchost.exe應(yīng)該在system32下，而病毒可能藏在system32\drivers下。

　　病毒的自啟動(dòng)可能通過(guò)很多途徑:注冊(cè)表，INI文件，甚至——象explored這樣——通過(guò)服務(wù)啟動(dòng)。

　　與其中了毒再查再殺，不如切實(shí)做好防護(hù)措施——補(bǔ)丁，病毒保護(hù)，防火墻，一個(gè)都不能少啊!

　　相關(guān)閱讀：2018網(wǎng)絡(luò)安全事件：

　　一、英特爾處理器曝“Meltdown”和“Spectre漏洞”

　　2018年1月，英特爾處理器中曝“Meltdown”(熔斷)和“Spectre” (幽靈)兩大新型漏洞，包括AMD、ARM、英特爾系統(tǒng)和處理器在內(nèi)，幾乎近20年發(fā)售的所有設(shè)備都受到影響，受影響的設(shè)備包括手機(jī)、電腦、服務(wù)器以及云計(jì)算產(chǎn)品。這些漏洞允許惡意程序從其它程序的內(nèi)存空間中竊取信息，這意味著包括密碼、帳戶信息、加密密鑰乃至其它一切在理論上可存儲(chǔ)于內(nèi)存中的信息均可能因此外泄。

　　二、GitHub 遭遇大規(guī)模 Memcached DDoS 攻擊

　　2018年2月，知名代碼托管網(wǎng)站 GitHub 遭遇史上大規(guī)模 Memcached DDoS 攻擊，流量峰值高達(dá)1.35 Tbps。然而，事情才過(guò)去五天，DDoS攻擊再次刷新紀(jì)錄，美國(guó)一家服務(wù)提供商遭遇DDoS 攻擊的峰值創(chuàng)新高，達(dá)到1.7 Tbps!攻擊者利用暴露在網(wǎng)上的 Memcached 服務(wù)器進(jìn)行攻擊。網(wǎng)絡(luò)安全公司 Cloudflare 的研究人員發(fā)現(xiàn)，截止2018年2月底，中國(guó)有2.5萬(wàn) Memcached 服務(wù)器暴露在網(wǎng)上 。

　　三、蘋(píng)果 iOS iBoot源碼泄露

　　2018年2月，開(kāi)源代碼分享網(wǎng)站 GitHub(軟件項(xiàng)目托管平臺(tái))上有人共享了 iPhone 操作系統(tǒng)的核心組件源碼，泄露的代碼屬于 iOS 安全系統(tǒng)的重要組成部分——iBoot。iBoot 相當(dāng)于是 Windows 電腦的 BIOS 系統(tǒng)。此次 iBoot 源碼泄露可能讓數(shù)以億計(jì)的 iOS 設(shè)備面臨安全威脅。iOS 與 MacOS 系統(tǒng)開(kāi)發(fā)者 Jonathan Levin 表示，這是 iOS 歷史上最嚴(yán)重的一次泄漏事件。

　　四、韓國(guó)平昌冬季奧運(yùn)會(huì)遭遇黑客攻擊

　　2018年2月，韓國(guó)平昌冬季奧運(yùn)會(huì)開(kāi)幕式當(dāng)天遭遇黑客攻擊，此次攻擊造成網(wǎng)絡(luò)中斷，廣播系統(tǒng)(觀眾不能正常觀看直播)和奧運(yùn)會(huì)官網(wǎng)均無(wú)法正常運(yùn)作，許多觀眾無(wú)法打印開(kāi)幕式門(mén)票，最終未能正常入場(chǎng)。

　　五、加密貨幣采礦軟件攻擊致歐洲廢水處理設(shè)施癱瘓

　　2018年2月中旬，工業(yè)網(wǎng)絡(luò)安全企業(yè) Radiflow 公司表示，發(fā)現(xiàn)四臺(tái)接入歐洲廢水處理設(shè)施運(yùn)營(yíng)技術(shù)網(wǎng)絡(luò)的服務(wù)器遭遇加密貨幣采礦惡意軟件的入侵。該惡意軟件直接拖垮了廢水處理設(shè)備中的 HMI 服務(wù)器 CPU，致歐洲廢水處理服務(wù)器癱瘓 。

　　Radiflow 公司稱，此次事故是加密貨幣惡意軟件首次對(duì)關(guān)鍵基礎(chǔ)設(shè)施運(yùn)營(yíng)商的運(yùn)營(yíng)技術(shù)網(wǎng)絡(luò)展開(kāi)攻擊。由于受感染的服務(wù)器為人機(jī)交互(簡(jiǎn)稱HMI)設(shè)備，之所以導(dǎo)致廢水處理系統(tǒng)癱瘓，是因?yàn)檫@種惡意軟件會(huì)嚴(yán)重降低 HMI 的運(yùn)行速度。

Explored病毒清除方法是什么相關(guān)文章：

1.清除word中宏病毒的方法步驟

2.自動(dòng)更改系統(tǒng)時(shí)間的電腦病毒解決方法

3.檢測(cè)計(jì)算機(jī)病毒方法有哪些

4.常見(jiàn)的計(jì)算機(jī)病毒處理方法有哪些

5.CAD病毒查殺方法教程怎么手動(dòng)殺毒