昨天單位這好幾臺(tái)機(jī)器病毒大爆發(fā)，因?yàn)槎疾皇菍＜腋呤�，折騰了很久才清理掉，過程中有些體會(huì)，覺得可以寫下來，跟大家作一番交流。

　　首先是病毒的發(fā)現(xiàn)。昨天出現(xiàn)了兩個(gè)癥狀，一是在局域網(wǎng)上出現(xiàn)廣播包(ARP)暴增，甚至把出口堵死;二是機(jī)器CPU資源耗盡。用任務(wù)管理器可以看到可疑的進(jìn)程explored.exe和services.exe一起占用CPU近100%(后來才知道，這是因?yàn)樵摬《臼峭ㄟ^服務(wù)啟動(dòng)的)，該進(jìn)程無法停止，注冊(cè)表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中有該項(xiàng)存在，即使將該項(xiàng)刪除，重啟后仍如原樣。這個(gè)文件是存在在WINDOWS的SYSTEM32目錄下，未中毒機(jī)器沒有該文件。因此可基本確認(rèn)該進(jìn)程是病毒。

　　然后是病毒的查殺。這過程中出現(xiàn)兩個(gè)問題，一是瑞星開始無法升級(jí)，這是因?yàn)椴《颈旧戆殉隹诙氯�，TCP流無法正常傳輸。我們嘗試了一下，發(fā)現(xiàn)可以用防火墻(例如天網(wǎng))將病毒程序隔離，然后再連網(wǎng)進(jìn)行升級(jí)。第二個(gè)問題是瑞星查毒過程緩慢(查毒前已經(jīng)將網(wǎng)卡先禁用了)，這是因?yàn)椴《境绦騟xplored占用CPU太狠，在無法設(shè)置刪除該進(jìn)程的情況下，可以用任務(wù)管理器提高瑞星進(jìn)程的優(yōu)先級(jí)(比如實(shí)時(shí))，這樣瑞星從病毒手中搶過CPU資源來正常地運(yùn)行。不過，這次瑞星只查殺了偽裝成svchost.exe的蠕蟲病毒，explored仍然存在。

　　我們無可奈何下只好采用很笨的方法刪除explored，就是進(jìn)入安全模式，到Windows的System32目錄下直接把該文件刪除掉。順便也把注冊(cè)表中啟動(dòng)運(yùn)行那項(xiàng)也刪掉了。重啟后，提示有服務(wù)出錯(cuò)，到管理工具下的“服務(wù)”一看，才終于發(fā)現(xiàn)了該病毒的真實(shí)面目:原來“服務(wù)”里面有一欄“Windows Login”，屬性顯示服務(wù)名稱是“MpR”，可執(zhí)行文件路徑正是“C:\WINNT\SYSTEM32\explored.exe -services”。這就說明了為什么進(jìn)程中止不了，刪掉注冊(cè)表中系統(tǒng)啟動(dòng)項(xiàng)也沒用。也就是說，當(dāng)初應(yīng)該到服務(wù)里將該服務(wù)停止，而不是在任務(wù)管理器試圖將其刪除。

　　??最后就病毒查殺的心得作一點(diǎn)小結(jié):上述病毒發(fā)作都有一定跡象，例如CPU占滿，網(wǎng)絡(luò)帶寬占滿(可以通過網(wǎng)絡(luò)連接狀態(tài)看，如果后臺(tái)沒有運(yùn)行什么進(jìn)程，網(wǎng)絡(luò)接口上收/發(fā)包數(shù)激增，就很可能是中毒或是連接的網(wǎng)絡(luò)上有機(jī)器中毒)，因?yàn)槠綍r(shí)要保持警惕，發(fā)現(xiàn)異常就趕緊查毒。最好是用查毒軟件，用任務(wù)管理器有時(shí)被騙，現(xiàn)在的病毒起名往往跟系統(tǒng)程序相似甚至相同，例如explored, smsss(smss是系統(tǒng)程序)，svchost等等。最好知道真正的系統(tǒng)程序所在目錄，例如系統(tǒng)svchost.exe應(yīng)該在system32下，而病毒可能藏在system32\drivers下。病毒的自啟動(dòng)可能通過很多途徑:注冊(cè)表，INI文件，甚至——象explored這樣——通過服務(wù)啟動(dòng)。

　　與其中了毒再查再殺，不如切實(shí)做好防護(hù)措施——補(bǔ)丁，病毒保護(hù)，防火墻，一個(gè)都不能少啊!