發(fā)布時間：2007-02-09 
中毒癥狀：　　    
　　開機CPU就是100％，查進程，原來是cmd.exe 占用了絕大部分的CPU。關(guān)閉cmd.exe后，CPU實用率恢復正常。但是再次開機的時候，CPU又是100％，cmd.exe 依然占用了絕大部分的CPU。
　　
　　1.裝了ewido 查殺木馬，查出了幾個感染目標，已刪除。但是今
　　天早上開機，CPU又是100％，cmd.exe 依然占用了絕大部分的CPU。
　　
　　2.再裝“木馬清除專家2006”，查殺，結(jié)果沒有發(fā)現(xiàn)木馬。
　　
　　3.查system 32 中的 CMD.EXE 大小，結(jié)果如下：
　　CMD.EXE 大?。?59 KB (470,016 字節(jié)) 
　　占用空間：460 KB (471,040 字節(jié)) 
　　
　　應該沒有異常。
字串3 
解決方法： 字串7 
如果出現(xiàn)這種情況，很不幸，你99％是中了木馬了。不過不妨繼續(xù)驗證一下，假定你的windows安裝盤位于C:\，并且需要你在文件查看選項中打開查看隱藏文件的選項和顯示所有文件擴展名的選項，則 
查看你的c:\Program Files\Internet Explorer\PLUGINS\目錄，應該會發(fā)現(xiàn)有new123.bak和new123.sys兩個文件； 
查看你的C:\Documents and Settings\Administrator\Local Settings\Temp\目錄，應該會發(fā)現(xiàn)有MicroSoft.bat這個文件；你可以用記事本打開MicroSoft.bat文件，發(fā)現(xiàn)其中提到一個exe文件（具體名稱會有不同），你也會在該目錄下發(fā)現(xiàn)這個exe文件； 
如果以上兩步你并未發(fā)現(xiàn)相應文件，請將你的文件查看改為不隱藏已知文件后綴，并在系統(tǒng)盤內(nèi)進行文件搜索，確認是否的確沒有相關(guān)的文件。 
木馬描述
該木馬主要是因為用戶安裝了嵌入木馬程序的安裝程序所致，這些安裝程序極有可能是你在一些不知名的下載網(wǎng)站上下載的一些應用程序（比如qq的一些版本等）。該木馬利用安裝程序在沒有提醒用戶的情況下在IE的插件中安裝了實為木馬的IE插件。使得一般的殺毒和殺馬程序無法識別。并且當你運行一些需要調(diào)用IE的一些程序時自動調(diào)用該木馬插件，所以才出現(xiàn)“癥狀描述”中所描述的情況。  字串3 
該木馬的母體就是new123.sys，屬于Trojan-PSW.Win32.Delf.mc，可能會偷取你的一些應用的帳號和密碼。 
木馬清除
該木馬可以很方便的手工清除，過程如下： 
打開“任務管理器”，在“進程”中結(jié)束cmd.exe的運行，此時CPU占用率會明顯下降； 
進入C:\Documents and Settings\Administrator\Local Settings\Temp\目錄，刪除MicroSoft.bat這個文件中所提到的exe文件和該bat文件；（這一步不做也沒有問題，但最好清除掉） 
進入c:\Program Files\Internet Explorer\PLUGINS\目錄，刪除new123.bak文件，但此時你無法刪除new123.sys文件，因為系統(tǒng)正在使用，你有兩種方式處理new123.sys文件： 
重啟機器并進入安全模式對new123.sys進行刪除； 
當前狀態(tài)雖無法刪除該文件，但可更改new123.sys的文件名為new123.sysdel，并且重啟機器（無需進入安全模式）后，再把new123.sysdel進行刪除。 
處理完后，如果“癥狀描述”中的情況消失，則說明清除成功。 字串7 
XP系統(tǒng)里并沒有cmd.exe的進程，cmd.exe是XP系統(tǒng)的命令提示符程序，可以執(zhí)行一些在DOS下執(zhí)行的應用程序，但是并不會隨系統(tǒng)啟動時運行，這有可能是個木馬或者其他病毒程序，建議查殺 
1、如果安裝文件就在硬盤上，而且系統(tǒng)是從硬盤的安裝目錄裝的，那先將這個安裝目錄改個名字 
2、刪除c:\winnt\system32\dllcache\cmd.exe， 
3、然后再刪除system32\cmd.exe 
4、系統(tǒng)會提示說系統(tǒng)文件丟失要求插入光盤，忽略就行了 

最新評論