觀察:
1、80埠被佔用
2、程序mscd.exe持續佔用CPU 100%資源,該程序位於C:\Windows\Temp\mstx
Q1處理:
以netstat -ano查詢哪個程序佔用80埠
C:\>netstat -ano | findstr 0.0:80
如果有顯示結果,可以知道佔用的PID
再以tasklist | findstr PID查詢是哪個程序(假設查到的結果是1220這個PID)
C:\>tasklist | findstr 1220最後再把佔用的程序關掉並啟用APACHE服務即可
Q2處理:
1、開啟工作管理員,停用該程序(mscd.exe),並送至totoalvirus檢測確定中獎…檢測結果 42/63
2、清除檔案
3、重新開機、再次檢測
4、提交程序至Avira
https://analysis.avira.com/zh-tw/submit
結論:
1、服務主機還是單純跑服務就好,不要用來進行一般操作(上網、下載…)
2、防毒軟體不是萬能的…以本次案例來說,Avira其實有掃到該資料夾另一檔案是有惡意程式,但還在跑的msdc.exe就找不到。
但是,抓回來檔案在另一部PC上立馬就被Immunet擋掉了…
所以,可考慮再加裝Immunet來提高檢測率。
關於Immunet與各家防毒軟體的相容性問題,可參考:
https://zh.wikipedia.org/wiki/Immunet#cite_note-5
至少手邊常用的ESET NOD、Avira都沒問題...
參考資訊:
1、Qoding Style - Windows 如何找到佔用 port 的程式?
http://blog.qoding.us/2011/07/windows-how-to-find-out-which-application-is-using-what-port/
2、ifuun - 揭秘來自中國的數字貨幣「挖礦」軍團 – Bondnet殭屍網路
http://www.ifuun.com/a20175122176953/
沒有留言:
張貼留言