發(fā)布時(shí)間：2007-02-09 
中毒癥狀：　　    
　　開(kāi)機(jī)CPU就是100％，查進(jìn)程，原來(lái)是cmd.exe 占用了絕大部分的CPU。關(guān)閉cmd.exe后，CPU實(shí)用率恢復(fù)正常。但是再次開(kāi)機(jī)的時(shí)候，CPU又是100％，cmd.exe 依然占用了絕大部分的CPU。
　　
　　1.裝了ewido 查殺木馬，查出了幾個(gè)感染目標(biāo)，已刪除。但是今
　　天早上開(kāi)機(jī)，CPU又是100％，cmd.exe 依然占用了絕大部分的CPU。
　　
　　2.再裝“木馬清除專家2006”，查殺，結(jié)果沒(méi)有發(fā)現(xiàn)木馬。
　　
　　3.查system 32 中的 CMD.EXE 大小，結(jié)果如下：
　　CMD.EXE 大?。?59 KB (470,016 字節(jié)) 
　　占用空間：460 KB (471,040 字節(jié)) 
　　
　　應(yīng)該沒(méi)有異常。
字串3 
解決方法： 字串7 
如果出現(xiàn)這種情況，很不幸，你99％是中了木馬了。不過(guò)不妨繼續(xù)驗(yàn)證一下，假定你的windows安裝盤(pán)位于C:\，并且需要你在文件查看選項(xiàng)中打開(kāi)查看隱藏文件的選項(xiàng)和顯示所有文件擴(kuò)展名的選項(xiàng)，則 
查看你的c:\Program Files\Internet Explorer\PLUGINS\目錄，應(yīng)該會(huì)發(fā)現(xiàn)有new123.bak和new123.sys兩個(gè)文件； 
查看你的C:\Documents and Settings\Administrator\Local Settings\Temp\目錄，應(yīng)該會(huì)發(fā)現(xiàn)有MicroSoft.bat這個(gè)文件；你可以用記事本打開(kāi)MicroSoft.bat文件，發(fā)現(xiàn)其中提到一個(gè)exe文件（具體名稱會(huì)有不同），你也會(huì)在該目錄下發(fā)現(xiàn)這個(gè)exe文件； 
如果以上兩步你并未發(fā)現(xiàn)相應(yīng)文件，請(qǐng)將你的文件查看改為不隱藏已知文件后綴，并在系統(tǒng)盤(pán)內(nèi)進(jìn)行文件搜索，確認(rèn)是否的確沒(méi)有相關(guān)的文件。 
木馬描述
該木馬主要是因?yàn)橛脩舭惭b了嵌入木馬程序的安裝程序所致，這些安裝程序極有可能是你在一些不知名的下載網(wǎng)站上下載的一些應(yīng)用程序（比如qq的一些版本等）。該木馬利用安裝程序在沒(méi)有提醒用戶的情況下在IE的插件中安裝了實(shí)為木馬的IE插件。使得一般的殺毒和殺馬程序無(wú)法識(shí)別。并且當(dāng)你運(yùn)行一些需要調(diào)用IE的一些程序時(shí)自動(dòng)調(diào)用該木馬插件，所以才出現(xiàn)“癥狀描述”中所描述的情況。  字串3 
該木馬的母體就是new123.sys，屬于Trojan-PSW.Win32.Delf.mc，可能會(huì)偷取你的一些應(yīng)用的帳號(hào)和密碼。 
木馬清除
該木馬可以很方便的手工清除，過(guò)程如下： 
打開(kāi)“任務(wù)管理器”，在“進(jìn)程”中結(jié)束cmd.exe的運(yùn)行，此時(shí)CPU占用率會(huì)明顯下降； 
進(jìn)入C:\Documents and Settings\Administrator\Local Settings\Temp\目錄，刪除MicroSoft.bat這個(gè)文件中所提到的exe文件和該bat文件；（這一步不做也沒(méi)有問(wèn)題，但最好清除掉） 
進(jìn)入c:\Program Files\Internet Explorer\PLUGINS\目錄，刪除new123.bak文件，但此時(shí)你無(wú)法刪除new123.sys文件，因?yàn)橄到y(tǒng)正在使用，你有兩種方式處理new123.sys文件： 
重啟機(jī)器并進(jìn)入安全模式對(duì)new123.sys進(jìn)行刪除； 
當(dāng)前狀態(tài)雖無(wú)法刪除該文件，但可更改new123.sys的文件名為new123.sysdel，并且重啟機(jī)器（無(wú)需進(jìn)入安全模式）后，再把new123.sysdel進(jìn)行刪除。 
處理完后，如果“癥狀描述”中的情況消失，則說(shuō)明清除成功。 字串7 
XP系統(tǒng)里并沒(méi)有cmd.exe的進(jìn)程，cmd.exe是XP系統(tǒng)的命令提示符程序，可以執(zhí)行一些在DOS下執(zhí)行的應(yīng)用程序，但是并不會(huì)隨系統(tǒng)啟動(dòng)時(shí)運(yùn)行，這有可能是個(gè)木馬或者其他病毒程序，建議查殺 
1、如果安裝文件就在硬盤(pán)上，而且系統(tǒng)是從硬盤(pán)的安裝目錄裝的，那先將這個(gè)安裝目錄改個(gè)名字 
2、刪除c:\winnt\system32\dllcache\cmd.exe， 
3、然后再刪除system32\cmd.exe 
4、系統(tǒng)會(huì)提示說(shuō)系統(tǒng)文件丟失要求插入光盤(pán)，忽略就行了 

最新評(píng)論