序言︰最近看到很多人在問這個問題,所以順手寫了一篇,前提是確認電腦裡面沒有(幾乎)木馬或病毒喔,也就是該有的防毒軟體、防火牆、漏洞修補都有做到,而且你曾殺過木馬。就算是你中木馬、病毒,這篇提到的相關追蹤技巧也可以用到,老實說,中了什麼病毒、木馬的很好解決,教學我之後有空會再寫,但是系統衝突卻很難處理,常常會以為是病毒破壞~
建議︰一開機進入桌面,馬上叫出工作管理員出來監看
筆者電腦作業系統是 XP SP2,從未更新什麼漏洞修補程式,防毒軟體與防火牆都是使用 Kaspersky
最近症狀是一撥接上網不久,svchost.exe 就會耗盡 CPU 效能,此時要做什麼,都會回應很慢,觀察上/下傳狀況是上傳大概每次跳 1K,而下載卻是每次跳 10~20K,不曉得是在下載什麼東西啦,管他~雖然我有 TrueImage 系統映像檔,但還是懶得還原,就等吧~
待 2、3分鐘後,電腦回復正常可以繼續使用,之後就不會有這種問題,猜想應該是背景某個程式一偵測到連線上網,搶先使用網路,但基於某種原因與系統發生衝突,致使 CPU 效能被耗盡
1.先去把沒用的服務關掉吧︰什麼垃圾系統還原、遠端桌面連線、線上更新服務的通通關閉,重開機
2.開始->執行 輸入 cmd 叫出 DOS 視窗
輸入命令 tasklist /svc
看到了吧,svchost 是個共享平台,這麼多個程式要藉由他的幫忙才能執行喔,如果單獨看到工作管理員裡 svchost.exe 衝到100,就跑去 windows/system32 把他砍掉,下場可是會很慘滴。
svchost.exe 本尊只有在 system32 裡面,在其他地方看到的話,不用懷疑把他砍掉吧,有些木馬會偽裝成 svch0st.exe、svhost.exe,或者在 system32 裡新增一個資料夾 wins,然後躲在裡面~
有沒有看到 wuauserv,這不就是微軟自動更新程式嗎,都去設定關閉了,還在後台啟動執行,一些非必要的可以自己去 控制台->系統管理工具->服務 設定關閉,很多在 系統 裡設定關閉的,其實是假關閉,都是騙人的啦~該關閉哪些服務,可以自己去網路上參考人家怎麼說。
3.輸入命令 net stop wuauserv,叫他不要再做一些偷雞摸狗的事了
4.設定防火牆的封包過濾,永久封鎖己知的微軟 RPC 連接埠,包括:
Port 135 (tcp/udp)
Port 137 (udp)
Port 138 (udp)
Port 139 (tcp)
Port 445 (tcp/udp)
Port 593 (tcp)
注意︰這會讓其他區域網路的人,無法看到你分享的資料夾,但是疾風病毒就是從這邊攻擊的,要不要封鎖,看你囉~其實變種疾風還是會繼續想辦法鑽微軟的漏洞,微軟漏洞補不完啦,所以我都沒在升級補漏洞!
5.輸入命令 netstat /an,可以查看 TCP 與 UDP 開啟的連接埠,一般起碼都會像圖中 135、139 連接埠在 Listening (監聽),監聽大多都是不好的,圖中另外一個 1029埠,是 Windows 內建的防火牆 alg.exe,每次開機的連接埠都不太一樣,通常開啟 1024~1032 之間的連接埠。如果看到其他不明連結埠開啟,也是 Listening,表示該程式等著連線出去,這就得留意點了
6.開啟註冊表,到 HKEY_LOCAL_MACHINE﹨SYSTEM﹨CurrentControlSet﹨Services﹨LanmanServer 裡面,新增一個名為 maxworkitems 的 DWORD 值,然後裡面填入 256 ,記憶體超過 512 MB 的填入1024
就降啦~觀察中,寫這篇是先找完資料,然後一邊處理一邊寫網頁,效果如何,再觀察
緊急更新~熱騰騰的~資料剛找到!玩玩看
微軟漏洞修補 <--- 你們補吧
http://www.microsoft.com/taiwan/technet/security/bulletin/ms06-aug.mspx
https://www.microsoft.com/taiwan/technet/security/bulletin/MS06-040.mspx <--- 必補
很閒的可以順便補 41~51
https://www.microsoft.com/taiwan/technet/security/bulletin/MS06-051.mspx
WGA 破解
http://myweb.hinet.net/home15/leotim25/leotim25/wga523..rar
掃描變種疾風 <--- 我沒掃到蝦米 ^^
http://securityresponse1.symantec.com/sarc/sarc-tw.nsf/html/tw-w32.welchia.worm.html
本文的引用網址 http://blog.xuite.net/www.will/blog/7690586/track
留言列表