系统运维 剧情是这样的

**在吗？windows服务器cpu利用率一直100%**
答曰：在
**帮忙给看看？**
答曰：好
**好像中的是挖矿病毒，病毒杀了，又自动生成**
答曰：远程看一下吧。
**TeamViewer**
ID和密码发过来了。

这里重申一下为什么用TeamViewer，而不是qq；
在一样的网络环境下qq远程就卡的不行，TeamViewer就顺畅的多！

**先附几张中毒的图片：**

一看桌面有XX杀毒软件，检测扫描了一下竟然没有发现病毒，启动项也没有看到异常。。 **乖乖，病毒竟然对XX杀毒软件 做过免疫了**，不要惊呆，这个太正常了。

1. 下载360安全卫士，一定是离线安装包啊，拷贝到服务器上。
2. 安装完，立刻 360 全面体检。
3. ***查杀
4. 启动项优化加速，优化没用的启动项，和你认为的病毒项（当然如果是病毒，会提示出来的；但有的病毒是依赖你的程序启动在启动，所有杀毒期间最好，禁用所有非系统启动项的应用！）
5. 安全卫士里边的系统修复
6. 到功能大全里边安装：防黑加固 和 系统急救箱（如果系统上不了网，单独下载断网系统急救箱上传到windows系统）
7. 修改管理员administrator密码，密码不在于多，关键在于复杂程度！比如：12346789、1qaz2wsx、1234@qwer这些密码早已经出现在了爆破字典里边。
8. 重命名管理员administrator名字为别的名字。
9. 当然也要禁用Guest用户，和其他你不认识的所有用户。
10. 运行防黑加固： 立即检测。一般会检测以下几项等：
        1. 关闭默认的windows系统共享隐藏目录
        2. 检测管理员密码是否复杂程度，容易被破解。会提示你输入密码，这里忽略不用输入。
        3. 会检测远程桌面是否打开？可能会把远程给关闭，一会自己手动开启即可。或者打钩不优化也行。
11. 运行系统急救箱，全盘查杀。

**以上这些步骤都可以同步进行！！**

12. 修改系统默认远程端口号 改成别的端口范围：65535以内（别暂用系统和应用服务的端口号！）。**对了千万别改成一样的数字：如1111** 
        远程端口号修改步骤如下：
        1、打开“开始“→”运行”，输入“regedit”，按下回车键，打开注册表，依次点开：[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Terminal Server\\Wds\\rdpwd\\Tds\\tcp]，找到PortNumber 双击，点选“十进制”，可以看到PortNumber的默认值是3389，修改成所希望的端口即可。
        2、打开[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Terminal Server\\WinStations\\RDP-Tcp]，找到PortNumber 双击，点选“十进制”，将PortNumber的值(默认是3389)修改成和上一步骤一样的。

         注意：步骤1和步骤2的端口号要一样！！

13. windows防火墙添加 远程端口号  入站策略。
14. 回过头看第1步到第5步，检测完成后，你就点击一键处理就ok了。
            一般情况下：这个时候你就可以打开任务管理器，把cpu 100%的进程 结束掉，因为它的母病毒已经杀掉了，你把它杀掉，就不会生成病毒了。
            到这里，一般的机器的cpu使用率就恢复正常了，但是为了安全起见，也要进行接下来的步骤！

15. 等待系统急救箱查杀完后会提示系统重启；重启后 会再次启动 系统急救箱  在轻微扫描一次，然后再系统重启 ；系统启动会 急救箱会提示问题是否解决。
16. 查看 任务管理器， cpu是否正常了。如不正常继续以上操作即可。
（**注意：有一些***文件是需要网络才会不断的循环生成进程，所以在杀毒的时候，可以把网卡禁用或断网。**）

安装**一个**360安全卫士就行了，如果内存足够用，再安装一个360杀毒。
别的杀毒软件就别再安装了，安装多了，它们还打架呢！！！

最后提醒，没有那个金刚钻，千万别裸跑！！！

windows系统安装完后：
        修改复杂密码、修改默认端口、装一个杀毒软件。

1. 利用相关软件扫描系统的默认端口号：
        （端口号：当然是可以通过这个端口可以登录系统，然后提权做其他事情的端口。例如：3389、3306、linux的22等）
        那他们是怎么知道你的IP呢？
                其实，每个***者手里又有n个ip地址段文件。这个是防不住的。
2. 扫描到默认端口号，（每个***者都会有n个 账户、密码的字典文件。）
3. 利用账户、密码字典 来循环匹配登录系统。
4. 匹配成功后，就会有自动化的脚本，将已经生成的***文件自动上传到系统的一些敏感的路径下，如：C:\\Windows\\System32 目录。
而且会设置自自动任务。
5. ***文件拷贝完成后。一般情况下启动A***文件，然后会生成其他的类似系统的文件名的B***文件，去做坏事。
6. 然后一开始启动的A***文件这时候只是不断检测B***文件是否在执行，使用cpu是很小的，几乎看不出来。
7. 而你看到的利用率CPU 100%的文件时B***文件。所以你杀掉B***文件，发现没一会又自动生成 了。
8. 有些病毒甚至会嵌套很多层。
9. 大概就这些了。