問題是在阿里云服務器上我部署了兩個web應用,系統是windows server 2012 R2,但是過了一段時間服務器就是會非常卡。
然后我登錄服務器看下行程會發現有好多mscl的行程,把CPU都沖到100%了,關掉就順了,但是時不時得會自動跑出來,求問有人知道這個行程是干什么的,為什么會自動出現?
uj5u.com熱心網友回復:
疑似病毒,看一下這個檔案的位置,還有檔案資訊uj5u.com熱心網友回復:
看了 行程名是mscl 描述也是mscl 檔案位置是C://users/local/temp/1/RarSFX1/mscl.exe
找了下服務里面沒有叫mscl的 應該是哪個程式生成的,禁止行程后RarSFX1檔案夾也會洗掉,但是過了一個小時后又出來了
uj5u.com熱心網友回復:
這個目錄是rar自解壓生成的臨時目錄。回憶一下什么時候有這個現象的,然后找找這個時間點附近創建的自解壓程式。uj5u.com熱心網友回復:
首先可以肯定這個程式并非系統原有檔案,長時間占用cpu肯定有問題,基本斷定是病毒或木馬。建議全盤查找,包括注冊表內關鍵字,全部洗掉。uj5u.com熱心網友回復:
我也碰到這個問題了 解決了 怎么解決的啊 樓主uj5u.com熱心網友回復:
是一個mc-serv生成的病毒檔案,風險簡述 高危
安裝windows自啟動項
運行資訊 Windows XP SP3 + PDF11
可疑行為特征
[-]安裝windows自啟動項(1)
[-]file
"C:\\WINDOWS\\win.ini"
行程樹
48a1dc49a7e650f2fda6407eb48aae1cf11c107ef2f7b6b58e3f259536f202d8.exe
檔案釋放
[+]libeay32.dll
[+]zlib1.dll
[+]libwinpthread-1.dll
[+]mscl.exe
[+]ssleay32.dll
[+]libcurl-4.dll
[+]__tmp_rar_sfx_access_check_35958766
行為細節
[-]48a1dc49a7e650f2fda6407eb48aae1cf11c107ef2f7b6b58e3f259536f202d8.exe(當前行程號:1984,父行程號:1060)(1630)
[+]系統函式呼叫
[+]行程函式呼叫
[+]注冊表函式呼叫
[+]檔案函式呼叫
[+]其它函式呼叫
uj5u.com熱心網友回復:
https://x.threatbook.cn/report/scan/48a1dc49a7e650f2fda6407eb48aae1cf11c107ef2f7b6b58e3f259536f202d8-1496837196192轉載請註明出處,本文鏈接:https://www.uj5u.com/caozuo/112709.html