剧情是这样的

**在吗?windows服务器cpu利用率一直100%**
答曰:在
**帮忙给看看?**
答曰:好
**好像中的是挖矿病毒,病毒杀了,又自动生成**
答曰:远程看一下吧。
**TeamViewer**
ID和密码发过来了。

这里重申一下为什么用TeamViewer,而不是qq;
在一样的网络环境下qq远程就卡的不行,TeamViewer就顺畅的多!

**先附几张中毒的图片:**

windowsCPU利用率100%爆了爆了_第1张图片
windowsCPU利用率100%爆了爆了_第2张图片
windowsCPU利用率100%爆了爆了_第3张图片

开始解决问题

一看桌面有XX杀毒软件,检测扫描了一下竟然没有发现病毒,启动项也没有看到异常。。 **乖乖,病毒竟然对XX杀毒软件 做过免疫了**,不要惊呆,这个太正常了。

正式进入解决问题环节

1. 下载360安全卫士,一定是离线安装包啊,拷贝到服务器上。
2. 安装完,立刻 360 全面体检。
3. ***查杀
4. 启动项优化加速,优化没用的启动项,和你认为的病毒项(当然如果是病毒,会提示出来的;但有的病毒是依赖你的程序启动在启动,所有杀毒期间最好,禁用所有非系统启动项的应用!)
5. 安全卫士里边的系统修复
6. 到功能大全里边安装:防黑加固 和 系统急救箱(如果系统上不了网,单独下载断网系统急救箱上传到windows系统)
7. 修改管理员administrator密码,密码不在于多,关键在于复杂程度!比如:12346789、1qaz2wsx、1234@qwer这些密码早已经出现在了爆破字典里边。
8. 重命名管理员administrator名字为别的名字。
9. 当然也要禁用Guest用户,和其他你不认识的所有用户。
10. 运行防黑加固: 立即检测。一般会检测以下几项等:
        1. 关闭默认的windows系统共享隐藏目录
        2. 检测管理员密码是否复杂程度,容易被破解。会提示你输入密码,这里忽略不用输入。
        3. 会检测远程桌面是否打开?可能会把远程给关闭,一会自己手动开启即可。或者打钩不优化也行。
11. 运行系统急救箱,全盘查杀。

**以上这些步骤都可以同步进行!!**

12. 修改系统默认远程端口号 改成别的端口范围:65535以内(别暂用系统和应用服务的端口号!)。**对了千万别改成一样的数字:如1111** 
        远程端口号修改步骤如下:
        1、打开“开始“→”运行”,输入“regedit”,按下回车键,打开注册表,依次点开:[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp],找到PortNumber 双击,点选“十进制”,可以看到PortNumber的默认值是3389,修改成所希望的端口即可。
        2、打开[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp],找到PortNumber 双击,点选“十进制”,将PortNumber的值(默认是3389)修改成和上一步骤一样的。

         注意:步骤1和步骤2的端口号要一样!!

13. windows防火墙添加 远程端口号  入站策略。
14. 回过头看第1步到第5步,检测完成后,你就点击一键处理就ok了。
            一般情况下:这个时候你就可以打开任务管理器,把cpu 100%的进程 结束掉,因为它的母病毒已经杀掉了,你把它杀掉,就不会生成病毒了。
            到这里,一般的机器的cpu使用率就恢复正常了,但是为了安全起见,也要进行接下来的步骤!

15. 等待系统急救箱查杀完后会提示系统重启;重启后 会再次启动 系统急救箱  在轻微扫描一次,然后再系统重启 ;系统启动会 急救箱会提示问题是否解决。
16. 查看 任务管理器, cpu是否正常了。如不正常继续以上操作即可。
(**注意:有一些***文件是需要网络才会不断的循环生成进程,所以在杀毒的时候,可以把网卡禁用或断网。**)

windows安全提醒

安装**一个**360安全卫士就行了,如果内存足够用,再安装一个360杀毒。
别的杀毒软件就别再安装了,安装多了,它们还打架呢!!!

最后提醒,没有那个金刚钻,千万别裸跑!!!

windows系统安装完后:
        修改复杂密码、修改默认端口、装一个杀毒软件。

解读一下一般***服务器的原理

1. 利用相关软件扫描系统的默认端口号:
        (端口号:当然是可以通过这个端口可以登录系统,然后提权做其他事情的端口。例如:3389、3306、linux的22等)
        那他们是怎么知道你的IP呢?
                其实,每个***者手里又有n个ip地址段文件。这个是防不住的。
2. 扫描到默认端口号,(每个***者都会有n个 账户、密码的字典文件。)
3. 利用账户、密码字典 来循环匹配登录系统。
4. 匹配成功后,就会有自动化的脚本,将已经生成的***文件自动上传到系统的一些敏感的路径下,如:C:\Windows\System32 目录。
而且会设置自自动任务。
5. ***文件拷贝完成后。一般情况下启动A***文件,然后会生成其他的类似系统的文件名的B***文件,去做坏事。
6. 然后一开始启动的A***文件这时候只是不断检测B***文件是否在执行,使用cpu是很小的,几乎看不出来。
7. 而你看到的利用率CPU 100%的文件时B***文件。所以你杀掉B***文件,发现没一会又自动生成 了。
8. 有些病毒甚至会嵌套很多层。
9. 大概就这些了。