解決方法:
如果出現這種情況,很不幸,你99%是中了木馬了。不過不妨繼續驗證一下,假定你的windows安裝盤位于C:,并且需要你在文件查看選項中打開查看(計算機愛好者,學習計算機基礎,電腦入門,請到本站,我站同時提供計算機基礎知識教程,計算機基礎知識試題供大家學習和使用),隱藏文件的選項和顯示所有文件擴展名的選項,則
查看你的c:Program FilesInternet ExplorerPLUGINS目錄,應該會發現有new123.bak和new123.sys兩個文件;
查看你的C:Documents and SettingsAdministratorLocal SettingsTemp目錄,應該會發現有MicroSoft.bat這個文件;你可以用記事本打開MicroSoft.bat文件,發現其中提到一個exe文件(具體名稱會有不同),你也會在該目錄下發現這個exe文件;
如果以上兩步你并未發現相應文件,請將你的文件查看改為不隱藏已知文件后綴,并在系統盤內進行文件搜索,確認是否的確沒有相關的文件。
木馬描述
該木馬主要是因為用戶安裝了嵌入木馬程序的安裝程序所致,這些安裝程序極有可能是你在一些不知名的下載網站上下載的一些應用程序(比如qq的一些版本等)。該木馬利用安裝程序在沒有提醒用戶的情況下在IE的插件中安裝了實為木馬的IE插件。使得一般的殺毒和殺馬程序無法識別。并且當你運行一些需要調用IE的一些程序時自動調用該木馬插件,所以才出現“癥狀描述”中所描述的情況。
該木馬的母體就是new123.sys,屬于Trojan-PSW.Win32.Delf.mc,可能會偷取你的一些應用的帳號和密碼。
木馬清除
該木馬可以很方便的手工清除,過程如下:
打開“任務管理器”,在“進程”中結束cmd.exe的運行,此時CPU占用率會明顯下降;
進入C:Documents and SettingsAdministratorLocal SettingsTemp目錄,刪除MicroSoft.bat這個文件中所提到的exe文件和該bat文件;(這一步不做也沒有問題,但最好清除掉)
進入c:Program FilesInternet ExplorerPLUGINS目錄,刪除new123.bak文件,但此時你無法刪除new123.sys文件,因為系統正在使用,你有兩種方式處理new123.sys文件:
重啟機器并進入安全模式對new123.sys進行刪除;
當前狀態雖無法刪除該文件,但可更改new123.sys的文件名為new123.sysdel,并且重啟機器(無需進入安全模式)后,再把new123.sysdel進行刪除。
處理完后,如果“癥狀描述”中的情況消失,則說明清除成功。
第二種情況:
1:XP系統里并沒有cmd.exe的進程,cmd.exe是XP系統的命令提示符程序,可以執行一些在DOS下執行的應用程序,但是并不會隨系統啟動時運行,這有可能是個木馬或者其他病毒程序,建議查殺
1)、如果安裝文件就在硬盤上,而且系統是從硬盤的安裝目錄裝的,那先將這個安裝目錄改個名字
2)、刪除c:winntsystem32dllcache(沒有這個子文儉)cmd.exe,
3)、然后再刪除system32cmd.exe
4、系統會提示說系統文件丟失要求插入光盤,忽略就行了
禁止運行命令解釋器和批處理文件方法:通過修改注冊表,可以禁止用戶使用命令解釋器(CMD.exe)和運行批處理文件(.bat文件)。新建一個雙字節(REG_DWORD)執行HKEY_CURRENT_USER\Software\Policies\ Microsoft\Windows\System\DisableCMD,修改其值為2,命令解釋器和批處理文件都不能被運行。修改其值為1,則只是禁止命令解釋器的運行。 就是替換掉系統的cmd.exe文件。但是由于此文件受系統保護,所以必須用一種特殊的辦法。
至于那個用來替換cmd.exe的文件,可以隨便找一個運行時候沒有什么提示的東西就行。C:Windowssystem32下面有很多這樣的文件,隨便找一個就行。替換方法是:首先刪除C:WINDOWSsystem32Dllcache下面的cmd.exe,然后盡快將C:WINDOWSsystem32下面的cmd.exe替換成所需的文件。當系統提示要求插入WINDOWS安裝光盤的時候,不要理他,直接單擊“取消”就可以了。
之后當你開始-〉運行-〉cmd的時候,dos窗口自然不會出現了
第三種情況:
如何解決cmd.exe占CPU資源100%問題
造成機器運行很慢,關閉cmd.exe后,CPU使用率恢復正常。但是再次開機的時候,CPU又是100%,cmd.exe 依然占用了絕大部分的CPU。
問題分析:后經上網查找和后來證實,應該是中了一種傳播Viking的QQ尾巴病毒了,這種木馬病毒主要是因為用戶安裝了嵌入木馬程序的安裝程序所致,這些安裝程序極有可能是你在一些不知名的下載網站上下載的一些應用程序(比如qq的一些版本等)。該木馬利用安裝程序在沒有提醒用戶的情況下在IE的插件中安裝了實為木馬的IE插件。使得一般的殺毒和殺馬程序無法識別。并且當你運行一些需要調用IE的一些程序時自動調用該木馬插件,所以才出現“問題癥狀”中所描述的情況。
解決方法:我只能講一下大概的思路了,因為當時沒有記錄和截圖。首先在文件夾查看選項中打開查看隱藏文件的選項、顯示所有文件擴展名和顯示受保護的操作系統文件的選項。
1、從注冊表里刪除病毒添加的ShellExecuteHooks信息:打開注冊表找到[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks],
在實際情況中,圖中應該會出現除{AEB6717E-7E19-11d0-97EE-00C04FD91972}以外的其它可疑鍵值的,依次按步驟2檢查它們;
2、打開到注冊表[HKEY_CLASSES_ROOTCLSID{這里是步驟1中提到的可疑鍵值}下,
然后依次檢查上圖中所示的每一個路徑指向的文件,應該會有個文件是以.sys結尾的系統驅動文件,這個文件應該是隱藏文件,并且它的修改時間應該和該電腦出問題的時間差不多,而且在該文件旁邊還會有和它的修改時間一樣的隱藏文件,可以考慮將它們都刪除了,以觀后效。記得我當時是刪除了三個在C:Program FilesInternet ExplorerConnection Wizard 下的隱藏文件,就OK了。注:如果刪不掉,可以進安全模式刪除。
3、清除C:Documents and Settings你的用戶名Local SettingsTemp目錄下的所有垃圾文件,因為里面含有病毒釋放生成的執行文件,當時我的情況是有兩個病毒釋放的文件:_xiaran.bat和help.exe(這個是隱藏和系統文件)。 nike shoes
4、重新啟動計算機,觀察5分鐘,如果不再出現“問題癥狀”中描述的情況,說明清楚成功了。
本文出自 “哥只是個傳說” 博客,轉載請與作者聯系!
上一條:硬盤維護全攻略
