病毒Worm Parite的特徵及 svchost.exe處於100% CPU使用率的解決辦法
收到一個很奇特的案件值得紀錄下來
最後發現原來是病毒搞的鬼, 其中也學到了幾個小技巧
客戶的電郵系統報告常常再開機後一段時間出現性能下降現象
檢查系統後發現以下狀況:
1. 系統重新開機後會正常運作一段時間
2. 在某個時間後會變得很慢, 基本上不能操作
3. 工作管理員顯示 svchost.exe 處於100% CPU使用率
4. 嘗試停止svchost.exe不成功
到這裡如果有經驗的人員會想到這是Windows Update出現錯誤引致
這個結論也是網絡上排名頭20位的解決方案
我也跟著進行Windows Update改正辦法
1. 先把Windows Update服務停止
2. 把C:\WINDOWS\SoftwareDistribution 的目錄改變成 C:\WINDOWS\SoftwareDistributionOld
3. 啟用Windows Update
這應該是可以解決問題的, 但在這個案件不管用
所以我要更深入了解問題所在
在問題出現前, 先查看工作管理員, 並把各svchost.exe的PID紀錄下來
在有問題剛發生時, 可以打tasklist /svc
看看那一個svchost.exe連帶的服務產生問題,
很可惜我發現出現問題的svchost.exe竟然連帶著超過10個主要系統服務
這下連停止服務這一招再這裡都沒用了 (但最少知道那些服務沒有受影響)
而當問題進一步擾亂主機的時候, 更加連 tasklist /svc也不會再回應
回報的錯誤是Remote Procedure Call(RPC)服務不回應指令, 這時候主機基本上報廢只能重新開機.
由於客戶電腦有安裝某大廠的防毒軟件, 我首先是排除了病毒因素
可是我嘗試逐一把不太重要的svchost.exe服務關閉也不得要領
很多人會建議使用Combofix, 但Combofix對系統會有很大衝擊
而且很多時間要下線進行清除…所以對於電郵系統不太適合
最後Malwarebytes回報系統出現超過700個病毒檔案
而病毒種類是Worm.Parite, 嘗試了進行重開清除動作, 但問題持續
但最少已經開始掌握了一點線索
翻查微軟的資料 Worm.Parite這個病毒的顯性病徵是C:\Windows\Temp\下會出現大量 3-4字元的 .tmp檔案
而它也會對explorer.exe進行入侵, 重而在每次開機也繼續運作
再來對電腦裡所有可以入侵的 .exe及.scr檔案進行入侵, 繼而在這些.exe運行時癱瘓電腦
最後我選用了由AVG提供的一個專門針對Worm Parite的線下清除程式
此程式開動後會要求重新開機, 在進入Windows前進行全電腦清理動作
建議在執行前先盡量清理沒有用的檔案以減少下線時間
進行清理後系統而受到監察3天而沒有再出現狀況
