故障现象

一、在局域网上出现广播包(ARP)暴增，甚至把出口堵死。
二、机器CPU资源耗尽。


解决办法

    用任务管理器可以看到可疑的进程explored.exe和services.exe一起占用CPU近100%(这是因为该病毒是通过服务启动的)，该进程无法停止，注册表键值：

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

    这里有该项存在，即使将该项删除，重启后仍如原样。这个文件是存在在WINDOWS的SYSTEM32目录下，未中毒机器没有该文件。因此可基本确认该进程是病毒。

    病毒的查杀,这过程中出现两个问题，一是杀毒软件无法升级，这是因为病毒本身把出口堵塞，TCP流无法正常传输。
    只有进入安全模式，到Windows的System32目录下直接把该文件删除掉。顺便也把注册表中启动运行那项也删掉了。
     重启后，会提示有服务出错，到管理工具下的“服务"，可以发现该病毒的真实面目,“服务”里面有一栏“Windows Login”，属性显示服务名称是“MpR”，可执行文件路径正是“C:\WINNT\SYSTEM32\explored.exe -services”。

    这就是为什么进程中止不了，删掉注册表中系统启动项也没用。也就是说，应该到服务里将该服务停止，而不是在任务管理器试图将其删除。

    小结:上述病毒发作都有一定迹象，例如CPU占满，网络带宽占满(可以通过网络连接状态看，如果后台没有运行什么进程，网络接口上收/发包数激增，就很可能是中毒或是连接的网络上有机器中毒)，平时要保持警惕，发现异常就赶紧查毒。

    最好是用查毒软件，用任务管理器有时会被骗，现在的病毒起名往往跟系统程序相似甚至相同，例如explored, smsss(smss是系统程序)，svchost等等。最好知道真正的系统程序所在目录，例如系统svchost.exe应该在system32下，而病毒可能藏在system32\drivers下。

    病毒的自启动可能通过很多途径:注册表，INI文件，甚至——象explored这样——通过服务启动。