昨天单位这好几台机器病毒大爆发,因为都不是专家高手,折腾了很久才清理掉,过程中有些体会,觉得可以写下来,跟大家作一番交流。首先是病毒的发现。昨天出现了两个症状,一是在局域网上出现广播包(ARP)暴增,甚至把出口堵死;二是机器CPU资源耗尽。用任务管理器可以看到可疑的进程explored.exe和services.exe一起占用CPU近100%(后来才知道,这是因为该病毒是通过服务启动的),该进程无法停止,注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中有该项存在,即使将该项删除,重启后仍如原样。这个文件是存在在WINDOWS的SYSTEM32目录下,未中毒机器没有该文件。因此可基本确认该进程是病毒。
然后是病毒的查杀。这过程中出现两个问题,一是瑞星开始无法升级,这是因为病毒本身把出口堵塞,TCP流无法正常传输。我们尝试了一下,发现可以用防火墙(例如天网)将病毒程序隔离,然后再连网进行升级。第二个问题是瑞星查毒过程缓慢(查毒前已经将网卡先禁用了),这是因为病毒程序explored占用CPU太狠,在无法设置删除该进程的情况下,可以用任务管理器提高瑞星进程的优先级(比如实时),这样瑞星从病毒手中抢过CPU资源来正常地运行。不过,这次瑞星只查杀了伪装成svchost.exe的蠕虫病毒,explored仍然存在。
我们无可奈何下只好采用很笨的方法删除explored,就是进入安全模式,到Windows的System32目录下直接把该文件删除掉。顺便也把注册表中启动运行那项也删掉了。重启后,提示有服务出错,到管理工具下的服务一看,才终于发现了该病毒的真实面目:原来服务里面有一栏Windows Login,属性显示服务名称是MpR,可执行文件路径正是C:\WINNT\SYSTEM32\explored.exe -services。这就说明了为什么进程中止不了,删掉注册表中系统启动项也没用。也就是说,当初应该到服务里将该服务停止,而不是在任务管理器试图将其删除。
