我的服务器中病毒了，怎么办

你现在是不是只能远程登录？
你可以用冰刃之类的工具先排除一些危险进程，之后查看启动项，如果病毒删掉后又出现就可能是有系统文件被感染，也有可能用自动运行感染了盘符。
最好再看看网站目录有没有webshell，赶快删掉~~
最好看看服务器有没有系统漏洞，再看看网站程序有没有注入漏洞什么的……
还有，丢包的问题……可能是被arp嗅探了（比如中了arp病毒）
没什么了，有问题还可以发消息给我

病毒清除不掉的原因主要有: 1病毒正在运行。2病毒隐藏在系统还原的文件夹“_restore”中。 那么，我们该怎么样来处理呢？下面是笔者为大家列出的几条建议： 1在Windows中中止病毒进程。对于WindowsXp/2000，可以使用任务管理器(Ctrl+Alt+Del三键齐按)来查看当前所有的进程，而对于Windows98/Me，则可以使用“黑客入门工具箱”或ATM来查看进程。确定哪个是来历不明的就停止掉或者看哪个不顺眼就停止哪个，该过程俗称“杀进程”。 不要怕出错，因为不会对电脑造成任何损坏，最多就是死机。注意，杀进程的 *** 作有时得进行两次才成功。有的病毒有两个进程，互相保护，杀掉一个则会被另一个发现并恢复。此时应先把该病毒在注册表中的启动项去掉，然后用突然断电的方式重启电脑，再杀毒。 2在Windows中使用专杀工具杀毒。得使用最新的杀毒版本。 3禁用系统还原。在WindowsMe中禁用方法是∶鼠标右键点击“我的电脑”-属性-性能-文件系统-疑难解答-禁止系统还原。在WindowsXP中禁用方法是∶控制面板-系统-系统属性-系统还原-在所有驱动器上关闭系统还原。然后用软盘或U盘启动电脑，在dos下删除_RESTORE文件夹。 4在Dos下杀毒不存在杀不掉的问题。实际上用金山毒霸在DOS下杀毒还可以更简单，用普通软盘启动盘或U盘启动盘启动电脑后，先换到C盘，然后进入金山毒霸的目录(命令:cd kav或cd kav5，与版本有关)，然后输入KAVDX，回车就开始杀毒了。 5补充 *** 作。病毒杀掉后还应该修复注册表。 光辉互联主要经营有服务器托管、租用，虚拟主机，域名注册，网站建设等。我们会以优质的服务、最低的价格全方位满足你互联网工作的需要。有需要的朋友一定要找我啊！还有更多优惠尽在光辉互联！

各种杀毒软件对病毒的判断标准不一样甚至有些并非是真的病毒也会被查到如果你感觉服务器感染了病毒可以找下你的服务商先重装下系统然后安装一个杀毒软件记得在防火墙上把远程开启 否则很容易造成服务器无法远程的现象另外就是平时加强防范意识在上传数据之前就先在本地杀下毒这样就避免了上传以后病毒在服务器上扩散

计算机病毒 与医学上的“病毒”不同， 计算机病毒 不是天然存在的，是人利用计算机软件和硬件所固有的脆弱性编制的一组指令集或程序代码。它能潜伏在计算机的存储介质(或程序)里，条件满足时即被激活，通过修改其他程序的 方法 将自己的精确拷贝或者可能演化的形式放入其他程序中。从而感染其他程序，对计算机资源进行破坏，所谓的病毒就是人为造成的，对其他用户的危害性很大。

计算机病毒工作原理

病毒依附存储介质软盘、 硬盘等构成传染源。病毒传染的媒介由工作的环境来定。病毒激活是将病毒放在内存， 并设置触发条件，触发的条件是多样化的， 可以是时钟，系统的日期，用户标识符，也可以是系统一次通信等。条件成熟病毒就开始自我复制到传染对象中，进行各种破坏活动等。病毒的传染是病毒性能的一个重要标志。在传染环节中，病毒复制一个自身副本到传染对象中去。

感染策略为了能够复制其自身，病毒必须能够运行代码并能够对内存运行写 *** 作。基于这个原因 计算机病毒工作原理 ，许多病毒都是将自己附着在合法的可执行文件上。如果用户企图运行该可执行文件，那么病毒就有机会运行。病毒可以根据运行时所表现出来的行为分成两类。非常驻型病毒会立即查找 其它 宿主并伺机加以感染，之后再将控制权交给被感染的应用程序。常驻型病毒被运行时并不会查找其它宿主。相反的，一个常驻型病毒会将自己加载内存并将控制权交给宿主。该病毒于背景中运行并伺机感染其它目标。非常驻型病毒非常驻型病毒可以被想成具有搜索模块和复制模块的程序。搜索模块负责查找可被感染的文件，一旦搜索到该文件，搜索模块就会启动复制模块进行感染。

常驻型病毒常驻型病毒包含复制模块，其角色类似于非常驻型病毒中的复制模块。复制模块在常驻型病毒中不会被搜索模块调用。病毒在被运行时会将复制模块加载内存，并确保当 *** 作系统 运行特定动作时，该复制模块会被调用。例如，复制模块会在 *** 作系统运行其它文件时被调用。在这个例子中，所有可以被运行的文件均会被感染。常驻型病毒有时会被区分成快速感染者和慢速感染者。快速感染者会试图感染尽可能多的文件。例如，一个 计算机病毒工作原理 快速感染者可以感染所有被访问到的文件。这会对杀毒软件造成特别的问题。当运行全系统防护时，杀毒软件需要扫描所有可能会被感染的文件。如果杀毒软件没有察觉到内存中有快速感染者，快速感染者可以借此搭便车，利用杀毒软件扫描文件的同时进行感染。快速感染者依赖其快速感染的能力。但这同时会使得快速感染者容易被侦测到，这是因为其行为会使得系统性能降低，进而增加被杀毒软件侦测到的风险。相反的，慢速感染者被设计成偶而才对目标进行感染，如此一来就可避免被侦测到的机会。例如，有些慢速感染者只有在其它文件被拷贝时才会进行感染。但是慢速感染者此种试图避免被侦测到的作法似乎并不成功。

免杀技术以及新特征免杀是指：对病毒的处理，使之躲过杀毒软件查杀的一种技术。通常病毒刚从病毒作者手中传播出去前，本身就是免杀的，甚至可以说“病毒比杀毒软件还新，所以杀毒软件根本无法识别它是病毒”，但由于传播后部分用户中毒向杀毒软件公司举报的原因，就会引起安全公司的注意并将之特征码收录到自己的病毒库当中，病毒就会被杀毒软件所识别。

病毒作者可以通过对病毒进行再次保护如使用汇编加花指令或者给文档加壳就可以轻易躲过杀毒软件的病毒特征码库而免于被杀毒软件查杀。

美国的Norton Antivirus、McAfee、PC-cillin，俄罗斯的Kaspersky Anti-Virus，斯洛伐克的NOD32等产品在国际上口碑较好，但杀毒、查壳能力都有限，目前病毒库总数量也都仅在数十万个左右。

自我更新性是近年来病毒的又一新特征。病毒可以借助于网络进行变种更新，得到最新的免杀版本的病毒并继续在用户感染的计算机上运行，比如熊猫烧香病毒的作者就创建了“病毒升级服务器”，在最勤时一天要对病毒升级8次，比有些杀毒软件病毒库的更新速度还快，所以就造成了杀毒软件无法识别病毒。

除了自身免杀自我更新之外，很多病毒还具有了对抗它的“天敌”杀毒软件和防火墙产品反病毒软件的全新特征，只要病毒运行后，病毒会自动破坏中毒者计算机上安装的杀毒软件和防火墙产品，如病毒自身驱动级Rootkit保护强制检测并退出杀毒软件进程，可以过主流杀毒软件“主动防御”和穿透软、硬件还原的机器狗，自动修改系统时间导致一些杀毒软件厂商的正版认证作废以致杀毒软件作废，从而病毒生存能力更加强大。

免杀技术的泛滥使得同一种原型病毒理论上可以派生出近乎无穷无尽的变种，给依赖于特征码技术检测的杀毒软件带来很大困扰。近年来，国际反病毒行业普遍开展了各种前瞻性技术研究，试图扭转过分依赖特征码所产生的不利局面。目前比较有代表性产品的是基于虚拟机技术的启发式扫描软件，代表厂商NOD32，DrWeb，和基于行为分析技术的主动防御软件，代表厂商中国的微点主动防御软件等。

防御没有做到位，安全意识薄弱。1，要打全系统漏洞补丁和第三方软件漏洞补丁，最好用360和金山清理专家打补丁，360安全卫士+金山清理专家打补丁，比较人性化，有些不该打的补丁它从不检测。该打的补丁它一个也不放过。2、要安装杀毒软件和防火墙，要经常更新病毒库。3、用第三方浏览器上网，如世界之窗，MYIE,火狐，IE漏洞太多。4，QQ聊天不打开陌生人发的网站，不要乱进QQ空间，因为可能有木马。不去陌生站点或小站点下载软件，听歌曲，看。5、不浏览不良网站的和6U盘、MP3,手机内存卡的使用即：U盘病毒的传播。7上网中网页木马，恶意软件，广告插件等。
防御方法：每天至少用360+金山清理专家+恶意软件清理助手+windows
清理助手+卡卡助手等安全工具清理系统垃圾。很多都是绿色软件，没有冲突，占用内存小，查杀效果很好升级到最新版本，最新查杀引擎，最新病毒库，然后到安全模式中查杀。

首先你要做的就是排除局域网里是否有病毒，如果局域网有病毒，查网线肯定会传染

sql安装文件里是不是有病毒，以前我安装过一个sql，无限中毒，只要一联网，立刻就有中毒迹象，排除了第一项，换个sql试试

服务器的话最好不要联网，除非是广域网服务器，局域网服务器就不要连接外网了，防火墙和杀软都安装好。

根据你说的自动开启远程桌面了，我初步判断是你sql有毒，之前我sql中毒就是这样，不过还自动创建账户等等。

纯手工。

---