explorer 占用100%CPU

僵尸网络是指采用一种或多种传播手段，将大量主机感染bot程序（僵尸程序），从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。在Botnet的概念中有这样几个关键词。“bot程序”是robot的缩写，是指实现恶意控制功能的程序代码；“僵尸计算机”就是被植入bot的计算机；“控制服务器（Control Server）”是指控制和通信的中心服务器，在基于IRC（因特网中继聊天）协议进行控制的Botnet中，就是指提供IRC聊天服务的服务器。Botnet首先是一个可控制的网络，这个网络并不是指物理意义上具有拓扑结构的网络，它具有一定的分布性，随着bot程序的不断传播而不断有新位置的僵尸计算机添加到这个网络中来。其次，这个网络是采用了一定的恶意传播手段形成的，例如主动漏洞攻击，邮件病毒等各种病毒与蠕虫的传播手段，都可以用来进行Botnet的传播，从这个意义上讲，恶意程序bot也是一种病毒或蠕虫。最后一点，也是Botnet的最主要的特点，就是可以一对多地执行相同的恶意行为，比如可以同时对某目标网站进行分布式拒绝服务（DDos）攻击，同时发送大量的垃圾邮件等，而正是这种一对多的控制关系，使得攻击者能够以极低的代价高效地控制大量的资源为其服务，这也是Botnet攻击模式近年来受到黑客青睐的根本原因。在执行恶意行为的时候，Botnet充当了一个攻击平台的角色，这也就使得Botnet不同于简单的病毒和蠕虫，也与通常意义的木马有所不同。

阻击波？
services - servicesexe - 进程信息
进程文件： services 或者 servicesexe
进程名称： Windows Service Controller
描述：
servicesexe是微软Windows *** 作系统的一部分。用于管理启动和停止服务。该进程也会处理在计算机启动和关机时运行的服务。这个程序对你系统的正常运行是非常重要的。注意：services也可能是W32RandexR(储存在%systemroot%\system32\目录)和SoberP (储存在%systemroot%\Connection Wizard\Status\目录)木马。该木马允许攻击者访问你的计算机，窃取密码和个人数据。该进程的安全等级是建议立即删除。
1、 在任务管理器里面结束botzorexe进程
2、 运行REGEDIT，打开注册表编辑器，删除病毒在注册表中添加的启动项
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
WINDOWS SYSTEM = botzorexe
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
WINDOWS SYSTEM = botzorexe
3、将病毒在系统目录下创建botzorexe文件删除,大小为22528字节。
专杀工具: �
�
点击浏览该文件
8月15日,金山反病毒应急处理中心截获一个针对微软系统严重漏洞进行主动攻击的病毒，并命名为Zotob(WormZotobA)。金山的反病毒专家说，Zotob病毒利用漏洞主动传播，对于个人电脑的危害非常大，其危害程度与当年的震荡波相似，一旦被攻击，用户的电脑将会出现不断重启、系统不稳定等情况。病毒作者叫嚣杀掉这个病毒的杀毒软件将于24小时内被剿杀！
Zotob利用5天前微软刚刚公布的严重系统漏洞，Windows Plug and Play 服务漏洞 (MS05-039)， 攻击TCP端口445，和冲击波、震荡波方法类似，攻击代码向目标系统的445端口发送漏洞代码，使目标系统造成缓冲区溢出，同时运行病毒代码，进行传播。
病毒攻击目标系统时，可能造成系统不断重启（如图示），与震荡波、冲击波发作的时候类似，只不过在Zotob影响的进程变了，变为系统关键进程“Serviceexe”， Zotob其实是Mytob的最新变种。Mytob是前一阵大肆泛滥的邮件病毒。此次变种，更是加入了5天前才公布漏洞补丁的系统严重漏洞（Windows Plug and Play 服务漏洞 (MS05-039) ）进行主动攻击，使其大大提高了病毒传播的广度。因此，Zotob除了利用漏洞攻击外，还具有邮件传播、自动下载新病毒等等这些与邮件病毒所具有的危害，使中毒用户遭受打击。
病毒运行后，将在系统目录下创建botzorexe文件,大小为22528字节。在注册表中添加下列启动项：
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] WINDOWS SYSTEM = botzorexe
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices] WINDOWS SYSTEM = botzorexe
这样，在Windows启动时，病毒就可以自动执行。
“极速波”病毒通过TCP端口8080连接IRC服务器，接受并执行黑客命令。可导致被感染计算机被黑客完全控制。并在TCP端口33333开启FTP服务，提供病毒文件下载功能。利用微软即插即用服务远程代码执行漏洞（MS05-039）进行传播。如果漏洞利用代码成功运行，将导致远程目标计算机从当前被感染计算机的FTP服务上下载病毒程序。如果漏洞代码没有成功运行，未打补丁的远程计算机可能会出现servicesexe进程崩溃的现象。 ？t咊�
该病毒的危害还在于，病毒会修改%SystemDir%\drivers\etc\hosts文件，屏蔽大量国外反病毒和安全厂商的网址。并对反病毒厂商提出公开挑战：第一个发现的反病毒软件 将在24小时内遭到“剿杀”。（MSG to avs: the first av who detect this worm will be the first killed in the next 24hours!!!）
关于MS05-039:
Microsoft Windows即插即用缓冲区溢出漏洞（MS05-039）
影响系统：
Microsoft Windows XP SP2
Microsoft Windows XP SP1
Microsoft Windows Server 2003 SP1？�
Microsoft Windows Server 2003
Microsoft Windows 2000SP4
Microsoft Windows即插即用（PnP）功能允许 *** 作系统在安装新硬件时能够检测到这些设备。
Microsoft Windows即插即用功能中存在缓冲区溢出漏洞，成功利用这个漏洞的攻击者可以完全控制受影响的系统。
起因是PnP服务处理包含有过多数据的畸形消息的方式。在Windows 2000上，匿名用户可以通过发送特制消息来利用这个漏洞；在Windows XP Service Pack 1上，只有通过认证的用户才能发送恶意消息；在Windows XP Service Pack 2和Windows Server 2003上，攻击者必需本地登陆到系统然后运行特制的应用程序才能利用这个漏洞。
该代码危害极大,可以远程获得计算机的全部权限而该电脑只要连接到INTELNET或者局域网内即可,还可以制作Zotob类似病毒,请勿使用该代码从事非法活动!
注意如果不采取防护措施,即使什么都没有做也会中毒同震荡波一样!
提醒大家升级杀毒软件,及时打好系统补丁
该代码危害极大,可以远程获得计算机的全部权限而该电脑只要连接到INTELNET或者局域网内即可,还可以制作Zotob类似病毒,请勿使用该代码从事非法活动!
注意如果不采取防护措施,即使什么都没有做也会中毒同震荡波一样!

先锋提醒大家升级杀毒软件,及时打好系统补丁
厂商补丁：
Microsoft
Microsoft已经为此发布了一个安全公告（MS05-039）以及相应补丁:
MS05-039：Vulnerability in Plug and Play Could Allow Remote Code Execution and Elevation of Privilege (899588)
链接：>僵尸网络病毒，通过连接IRC服务器进行通信从而控制被攻陷的计算机。遇到感染类的僵尸病毒可以这样,先下载360系统急救箱保存到D盘,重启按F8进入带网络连接的安全模式,使用360系统急救箱进行查杀 这样就查杀的比较彻底了,然后启动360杀毒 360安全卫士的木马云查杀功能查杀清除残留就可以了

这是复制哈 不过还挺完全的 我看过了。 这些字打出来麻烦！
僵尸病毒是什么：僵尸网络病毒，通过连接IRC服务器进行通信从而控制被攻陷的计算机。美国互联网软件安全公司NetWitness2010年2月18日表示，这种新型电脑病毒在过去一年半时间内已入侵全球2500家企业和政府机构的75万台电脑，病毒将这些电脑构成了一个庞大而危险的“僵尸网络”，从中窃取大量重要秘密。 这家公司将“僵尸网络”称为“Kneber僵尸网络”。新病毒收集各“僵尸电脑”中的资料，并将之发送给黑客。
怎么解决：　该蠕虫在安全模式下也可以正常运行。但可以通过清除注册表的方式在正 僵尸病毒宣传画
常模式下清除蠕虫。手工清除该蠕虫的相关 *** 作如下： 断开网络 恢复注册表 打开注册表编辑器，在左边的面板中打开并删除以下键值： HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minmal\NetDDEsrv HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\NetDDEsrv HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NetDDEsrv HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Minmal\NetDDEsrv HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Network\NetDDEsrv HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\NetDDEsrv HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minmal\NetDDEsrv HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetDDEsrv HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetDDEsrv 需要重新启动计算机 必须删除蠕虫释放的文件 删除在system下的netddesrvexe文件。（system是系统目录,在win2000下为c:\winnt\system32，在winxp下为 c:\windows\system32） 杀毒 运行杀毒软件，对电脑系统进行全面的病毒查杀； 安装补丁 安装微软MS04-011、MS04-012、MS04-007漏洞补丁。

---