阿鱼终于中毒了!就是当今流行的cmd.exe,症状:CPU占有率达100%,资源管理器里出现CMD.EXE进程。还把阿鱼的各类上网工具的用户名和密码都盗走!用了多种查杀***工具,均未治愈。
本小生人品好,现在还没中过此毒,因此只能远程支招了。以下招数来自网络,经本小生一番搜刮鉴定消化处理,供阿鱼死马当活马医:
——————————————————————药方一:
先试试专杀工具(见附件下载)——
首先要显示所有文件,包含系统文件
跟踪cmd命令,发现cmd命令运行的是
C:\DOCUME~1\XXX\LOCALS~1\Temp\microsoft.bat,该bat文件内容如下
try
del "C:\DOCUME~1\XXX\LOCALS~1\Temp\asas.exe"
if exist "C:\DOCUME~1\XXX\LOCALS~1\Temp\asas.exe" goto try
del %0
我不懂bat,大意应该是搜索在其中提到的地方检察asas.exe是否存在,如果存在就删除
掉,至此终于明白为什么会cpu100%了,因为asas.exe是***创建的一个系统隐藏文件, 所以cmd删除不了它,于是进入死循环,一直删一直删不了,其实这应该是***编者的一个bug。
安全模式下找到microsoft.bat,asas.exe删除,重新启动后2-3分钟cpu再次被cmd占满 跟踪cmd命令,发现每当出现CMD.EXE进程之前都会出现new123.dll进程,搜索c盘发现
是在IE PLUGINS中的一个控件,打开C:\\Program Files\\Internet Explorer\\PLUGINS 发现三个文件都是以new123命名的
到安全模式下删除C:\\Program Files\\Internet Explorer\\PLUGINS中的new123命名的 三个文件,到C:\DOCUME~1\XXX\LOCALS~1\Temp\删除microsoft.bat,asas.exe文件,
并且再搜索一下注册表关于new123的信息全部删除后
重新启动,症状解决。
总结:这个***确实比较高明,卡巴斯基最新版,***克星最新版都不能发现,
在进程管理器也根本看不到,他不加载单独的进程,而是通过explorer.exe调入
new123.sys,每隔10分钟自动检查microsoft.bat和asas.exe文件是否存在,
如不存在则重新释放文件,所以即使删除了这两个文件,也会再次出现。
作者本意应该是在盗取有用信息后,试图通过microsoft.bat删除asas.exe,
然后隔几分钟再生成asas.exe再盗取信息,然后又删除又生成……
不想***创建的asas.exe是系统隐藏文件,删除不掉,导致cpu100%。
先试试专杀工具(见附件下载)——
首先要显示所有文件,包含系统文件
跟踪cmd命令,发现cmd命令运行的是
C:\DOCUME~1\XXX\LOCALS~1\Temp\microsoft.bat,该bat文件内容如下
try
del "C:\DOCUME~1\XXX\LOCALS~1\Temp\asas.exe"
if exist "C:\DOCUME~1\XXX\LOCALS~1\Temp\asas.exe" goto try
del %0
我不懂bat,大意应该是搜索在其中提到的地方检察asas.exe是否存在,如果存在就删除
掉,至此终于明白为什么会cpu100%了,因为asas.exe是***创建的一个系统隐藏文件, 所以cmd删除不了它,于是进入死循环,一直删一直删不了,其实这应该是***编者的一个bug。
安全模式下找到microsoft.bat,asas.exe删除,重新启动后2-3分钟cpu再次被cmd占满 跟踪cmd命令,发现每当出现CMD.EXE进程之前都会出现new123.dll进程,搜索c盘发现
是在IE PLUGINS中的一个控件,打开C:\\Program Files\\Internet Explorer\\PLUGINS 发现三个文件都是以new123命名的
到安全模式下删除C:\\Program Files\\Internet Explorer\\PLUGINS中的new123命名的 三个文件,到C:\DOCUME~1\XXX\LOCALS~1\Temp\删除microsoft.bat,asas.exe文件,
并且再搜索一下注册表关于new123的信息全部删除后
重新启动,症状解决。
总结:这个***确实比较高明,卡巴斯基最新版,***克星最新版都不能发现,
在进程管理器也根本看不到,他不加载单独的进程,而是通过explorer.exe调入
new123.sys,每隔10分钟自动检查microsoft.bat和asas.exe文件是否存在,
如不存在则重新释放文件,所以即使删除了这两个文件,也会再次出现。
作者本意应该是在盗取有用信息后,试图通过microsoft.bat删除asas.exe,
然后隔几分钟再生成asas.exe再盗取信息,然后又删除又生成……
不想***创建的asas.exe是系统隐藏文件,删除不掉,导致cpu100%。
——————————————————————————药方二:
也有群众推荐了一个杀***软件:ewido
ewido (这是目前最有效最强大的反***工具,玩马者的克星)
也有群众推荐了一个杀***软件:ewido
ewido (这是目前最有效最强大的反***工具,玩马者的克星)
这是绿色版,网站里面也有安装版,随你选择
[url]http://www.orsoon.com/Software/catalog184/2727.html[/url]
[url]http://www.orsoon.com/Software/catalog184/2727.html[/url]
注册码: 6617-EBE8-D1FD-FEA2
不过据个别中毒者反映,此杀马软件杀不了……
转载于:https://blog.51cto.com/xiaosheng/13448
扫一扫
8615
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
