Windows开机CPU就是100%cmd.exe病毒进程清除方法
2007-05-14 13:01
337 查看
中毒症状:
开机CPU就是100%,查进程,原来是cmd.exe 占用了绝大部分的CPU。关闭cmd.exe后,CPU实用率恢复正常。但是再次开机的时候,CPU又是100%,cmd.exe 依然占用了绝大部分的CPU。
1.装了ewido 查杀木马,查出了几个感染目标,已删除。但是今
天早上开机,CPU又是100%,cmd.exe 依然占用了绝大部分的CPU。
2.再装“木马清除专家2006”,查杀,结果没有发现木马。
3.查system 32 中的 CMD.EXE 大小,结果如下:
CMD.EXE 大小:459 KB (470,016 字节)
占用空间:460 KB (471,040 字节)
应该没有异常。
字串3
解决方法: 字串7
如果出现这种情况,很不幸,你99%是中了木马了。不过不妨继续验证一下,假定你的windows安装盘位于C:/,并且需要你在文件查看选项中打开查看隐藏文件的选项和显示所有文件扩展名的选项,则
查看你的c:/Program Files/Internet Explorer/PLUGINS/目录,应该会发现有new123.bak和new123.sys两个文件;
查看你的C:/Documents and Settings/Administrator/Local Settings/Temp/目录,应该会发现有MicroSoft.bat这个文件;你可以用记事本打开MicroSoft.bat文件,发现其中提到一个exe文件(具体名称会有不同),你也会在该目录下发现这个exe文件;
如果以上两步你并未发现相应文件,请将你的文件查看改为不隐藏已知文件后缀,并在系统盘内进行文件搜索,确认是否的确没有相关的文件。
木马描述
该木马主要是因为用户安装了嵌入木马程序的安装程序所致,这些安装程序极有可能是你在一些不知名的下载网站上下载的一些应用程序(比如qq的一些版本等)。该木马利用安装程序在没有提醒用户的情况下在IE的插件中安装了实为木马的IE插件。使得一般的杀毒和杀马程序无法识别。并且当你运行一些需要调用IE的一些程序时自动调用该木马插件,所以才出现“症状描述”中所描述的情况。 字串3
该木马的母体就是new123.sys,属于Trojan-PSW.Win32.Delf.mc,可能会偷取你的一些应用的帐号和密码。
木马清除
该木马可以很方便的手工清除,过程如下:
打开“任务管理器”,在“进程”中结束cmd.exe的运行,此时CPU占用率会明显下降;
进入C:/Documents and Settings/Administrator/Local Settings/Temp/目录,删除MicroSoft.bat这个文件中所提到的exe文件和该bat文件;(这一步不做也没有问题,但最好清除掉)
进入c:/Program Files/Internet Explorer/PLUGINS/目录,删除new123.bak文件,但此时你无法删除new123.sys文件,因为系统正在使用,你有两种方式处理new123.sys文件:
重启机器并进入安全模式对new123.sys进行删除;
当前状态虽无法删除该文件,但可更改new123.sys的文件名为new123.sysdel,并且重启机器(无需进入安全模式)后,再把new123.sysdel进行删除。
处理完后,如果“症状描述”中的情况消失,则说明清除成功。 字串7
XP系统里并没有cmd.exe的进程,cmd.exe是XP系统的命令提示符程序,可以执行一些在DOS下执行的应用程序,但是并不会随系统启动时运行,这有可能是个木马或者其他病毒程序,建议查杀
1、如果安装文件就在硬盘上,而且系统是从硬盘的安装目录装的,那先将这个安装目录改个名字
2、删除c:/winnt/system32/dllcache/cmd.exe,
3、然后再删除system32/cmd.exe
4、系统会提示说系统文件丢失要求插入光盘,忽略就行了
该文章转载自脚本之家:http://www.jb51.net/html/200704/124/9340.htm
开机CPU就是100%,查进程,原来是cmd.exe 占用了绝大部分的CPU。关闭cmd.exe后,CPU实用率恢复正常。但是再次开机的时候,CPU又是100%,cmd.exe 依然占用了绝大部分的CPU。
1.装了ewido 查杀木马,查出了几个感染目标,已删除。但是今
天早上开机,CPU又是100%,cmd.exe 依然占用了绝大部分的CPU。
2.再装“木马清除专家2006”,查杀,结果没有发现木马。
3.查system 32 中的 CMD.EXE 大小,结果如下:
CMD.EXE 大小:459 KB (470,016 字节)
占用空间:460 KB (471,040 字节)
应该没有异常。
字串3
解决方法: 字串7
如果出现这种情况,很不幸,你99%是中了木马了。不过不妨继续验证一下,假定你的windows安装盘位于C:/,并且需要你在文件查看选项中打开查看隐藏文件的选项和显示所有文件扩展名的选项,则
查看你的c:/Program Files/Internet Explorer/PLUGINS/目录,应该会发现有new123.bak和new123.sys两个文件;
查看你的C:/Documents and Settings/Administrator/Local Settings/Temp/目录,应该会发现有MicroSoft.bat这个文件;你可以用记事本打开MicroSoft.bat文件,发现其中提到一个exe文件(具体名称会有不同),你也会在该目录下发现这个exe文件;
如果以上两步你并未发现相应文件,请将你的文件查看改为不隐藏已知文件后缀,并在系统盘内进行文件搜索,确认是否的确没有相关的文件。
木马描述
该木马主要是因为用户安装了嵌入木马程序的安装程序所致,这些安装程序极有可能是你在一些不知名的下载网站上下载的一些应用程序(比如qq的一些版本等)。该木马利用安装程序在没有提醒用户的情况下在IE的插件中安装了实为木马的IE插件。使得一般的杀毒和杀马程序无法识别。并且当你运行一些需要调用IE的一些程序时自动调用该木马插件,所以才出现“症状描述”中所描述的情况。 字串3
该木马的母体就是new123.sys,属于Trojan-PSW.Win32.Delf.mc,可能会偷取你的一些应用的帐号和密码。
木马清除
该木马可以很方便的手工清除,过程如下:
打开“任务管理器”,在“进程”中结束cmd.exe的运行,此时CPU占用率会明显下降;
进入C:/Documents and Settings/Administrator/Local Settings/Temp/目录,删除MicroSoft.bat这个文件中所提到的exe文件和该bat文件;(这一步不做也没有问题,但最好清除掉)
进入c:/Program Files/Internet Explorer/PLUGINS/目录,删除new123.bak文件,但此时你无法删除new123.sys文件,因为系统正在使用,你有两种方式处理new123.sys文件:
重启机器并进入安全模式对new123.sys进行删除;
当前状态虽无法删除该文件,但可更改new123.sys的文件名为new123.sysdel,并且重启机器(无需进入安全模式)后,再把new123.sysdel进行删除。
处理完后,如果“症状描述”中的情况消失,则说明清除成功。 字串7
XP系统里并没有cmd.exe的进程,cmd.exe是XP系统的命令提示符程序,可以执行一些在DOS下执行的应用程序,但是并不会随系统启动时运行,这有可能是个木马或者其他病毒程序,建议查杀
1、如果安装文件就在硬盘上,而且系统是从硬盘的安装目录装的,那先将这个安装目录改个名字
2、删除c:/winnt/system32/dllcache/cmd.exe,
3、然后再删除system32/cmd.exe
4、系统会提示说系统文件丢失要求插入光盘,忽略就行了
该文章转载自脚本之家:http://www.jb51.net/html/200704/124/9340.htm
相关文章推荐
- 开机CPU就是100%cmd.exe病毒进程清除方法
- XP系统 mscorsvw.exe进程 占CPU资源 开机加载网络连接很慢 解决方法
- windows下实现特定进程在指定的逻辑cpu下运行的方法.
- Windows Server 2003中的w3wp.exe进程大量占用cpu资源的各种问题解决方法
- Windows系列开机密码清除方法
- 查看基于Android 系统单个进程内存、CPU使用情况的几种方法
- win7系统修复本地连接提示“windows无法完成修复问题,需要清除DNS缓存”的解决方法
- Windows设置进程在特定CPU上运行
- windows下绑定线程(进程)到指定的CPU核心
- CPU占用100%原因及解决方法
- Linux下计算进程的CPU占用和内存占用的编程方法
- 机器故障重启后inetinfo.exe进程占用CPU资源100%的一种解决办法
- 打印机spoolsv占用100%CPU的解决方法
- doscan.exe进程占用了大量的CPU和内存的解决方法
- cidaemon.exe进程cpu占用率高及关闭cidaemon.exe进程方法
- windows开机自启动程序方法(自启动文件夹/注册表子键)
- windows下编译Matconvnet的方法(CPU和GPU)
- windows更新失败进不了系统解决方法_开机停在 第5阶段(共5个阶段)配置Windows update 失败
- windows解除开机登陆密码的5种方法
- windows命令行下杀死进程的方法