windowsCPU利用率100%爆了爆了

劇情是這樣的

**在嗎？windows服務器cpu利用率一直100%**
答曰：在
**幫忙給看看？**
答曰：好
**好像中的是挖礦病毒，病毒殺了，又自動生成**
答曰：遠程看一下吧。
**TeamViewer**
ID和密碼發過來了。

這里重申一下為什么用TeamViewer，而不是qq；
在一樣的網絡環境下qq遠程就卡的不行，TeamViewer就順暢的多！

**先附幾張中毒的圖片：**

開始解決問題

一看桌面有XX殺毒軟件，檢測掃描了一下竟然沒有發現病毒，啟動項也沒有看到異常。。 **乖乖，病毒竟然對XX殺毒軟件 做過免疫了**，不要驚呆，這個太正常了。

正式進入解決問題環節

1. 下載360安全衛士，一定是離線安裝包啊，拷貝到服務器上。
2. 安裝完，立刻 360 全面體檢。
3. ***查殺
4. 啟動項優化加速，優化沒用的啟動項，和你認為的病毒項（當然如果是病毒，會提示出來的；但有的病毒是依賴你的程序啟動在啟動，所有殺毒期間最好，禁用所有非系統啟動項的應用！）
5. 安全衛士里邊的系統修復
6. 到功能大全里邊安裝：防黑加固 和 系統急救箱（如果系統上不了網，單獨下載斷網系統急救箱上傳到windows系統）
7. 修改管理員administrator密碼，密碼不在于多，關鍵在于復雜程度！比如：12346789、1qaz2wsx、1234@qwer這些密碼早已經出現在了爆破字典里邊。
8. 重命名管理員administrator名字為別的名字。
9. 當然也要禁用Guest用戶，和其他你不認識的所有用戶。
10. 運行防黑加固： 立即檢測。一般會檢測以下幾項等：
        1. 關閉默認的windows系統共享隱藏目錄
        2. 檢測管理員密碼是否復雜程度，容易被破解。會提示你輸入密碼，這里忽略不用輸入。
        3. 會檢測遠程桌面是否打開？可能會把遠程給關閉，一會自己手動開啟即可。或者打鉤不優化也行。
11. 運行系統急救箱，全盤查殺。

**以上這些步驟都可以同步進行！！**

12. 修改系統默認遠程端口號 改成別的端口范圍：65535以內（別暫用系統和應用服務的端口號！）。**對了千萬別改成一樣的數字：如1111** 
        遠程端口號修改步驟如下：
        1、打開“開始“→”運行”，輸入“regedit”，按下回車鍵，打開注冊表，依次點開：[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp]，找到PortNumber 雙擊，點選“十進制”，可以看到PortNumber的默認值是3389，修改成所希望的端口即可。
        2、打開[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp]，找到PortNumber 雙擊，點選“十進制”，將PortNumber的值(默認是3389)修改成和上一步驟一樣的。

         注意：步驟1和步驟2的端口號要一樣！！

13. windows防火墻添加 遠程端口號  入站策略。
14. 回過頭看第1步到第5步，檢測完成后，你就點擊一鍵處理就ok了。
            一般情況下：這個時候你就可以打開任務管理器，把cpu 100%的進程 結束掉，因為它的母病毒已經殺掉了，你把它殺掉，就不會生成病毒了。
            到這里，一般的機器的cpu使用率就恢復正常了，但是為了安全起見，也要進行接下來的步驟！

15. 等待系統急救箱查殺完后會提示系統重啟；重啟后 會再次啟動 系統急救箱  在輕微掃描一次，然后再系統重啟 ；系統啟動會 急救箱會提示問題是否解決。
16. 查看 任務管理器， cpu是否正常了。如不正常繼續以上操作即可。
（**注意：有一些***文件是需要網絡才會不斷的循環生成進程，所以在殺毒的時候，可以把網卡禁用或斷網。**）

windows安全提醒

安裝**一個**360安全衛士就行了，如果內存足夠用，再安裝一個360殺毒。
別的殺毒軟件就別再安裝了，安裝多了，它們還打架呢！！！

最后提醒，沒有那個金剛鉆，千萬別裸跑！！！

windows系統安裝完后：
        修改復雜密碼、修改默認端口、裝一個殺毒軟件。

解讀一下一般***服務器的原理

1. 利用相關軟件掃描系統的默認端口號：
        （端口號：當然是可以通過這個端口可以登錄系統，然后提權做其他事情的端口。例如：3389、3306、linux的22等）
        那他們是怎么知道你的IP呢？
                其實，每個***者手里又有n個ip地址段文件。這個是防不住的。
2. 掃描到默認端口號，（每個***者都會有n個 賬戶、密碼的字典文件。）
3. 利用賬戶、密碼字典 來循環匹配登錄系統。
4. 匹配成功后，就會有自動化的腳本，將已經生成的***文件自動上傳到系統的一些敏感的路徑下，如：C:\Windows\System32 目錄。
而且會設置自自動任務。
5. ***文件拷貝完成后。一般情況下啟動A***文件，然后會生成其他的類似系統的文件名的B***文件，去做壞事。
6. 然后一開始啟動的A***文件這時候只是不斷檢測B***文件是否在執行，使用cpu是很小的，幾乎看不出來。
7. 而你看到的利用率CPU 100%的文件時B***文件。所以你殺掉B***文件，發現沒一會又自動生成 了。
8. 有些病毒甚至會嵌套很多層。
9. 大概就這些了。