开机后大约2-3分钟,cmd.exe自动运行,并占满cpu,结束进程并无异样出现
系统恢复正常,重启依然
外事不通问baidu,从baidu那里搜索了很多关于这方面的问题,很多都是最近才出现的,
起因可能有很多种,譬如打印机共享,木马等等
我用卡巴斯基6.0.1.309最新病毒库在安全模式下杀毒,没有发现问题
用木马克星5.51最新病毒库扫描没有发现木马
一直解决不了,决定下大功夫来搞定这个问题
ps:首先要显示所有文件,包含系统文件
跟踪cmd命令,发现cmd命令运行的是
C:\DOCUME~1\XXX\LOCALS~1\Temp\microsoft.bat,该bat文件内容如下
try
del "C:\DOCUME~1\XXX\LOCALS~1\Temp\asas.exe"
if exist "C:\DOCUME~1\XXX\LOCALS~1\Temp\asas.exe" goto try
del %0
我不懂bat,大意应该是搜索在其中提到的地方检察asas.exe是否存在,如果存在就删除
掉,至此终于明白为什么会cpu100%了,因为asas.exe是木马创建的一个系统隐藏文件,
所以cmd删除不了它,于是进入死循环,一直删一直删不了,其实这应该是木马编者的
一个bug
安全模式下找到microsoft.bat,asas.exe删除,重新启动后2-3分钟cpu再次被cmd占满
真的要发狂了,两三天了这样
跟踪cmd命令,发现每当出现CMD.EXE进程之前都会出现new123.dll进程,搜索c盘发现
是在IE PLUGINS中的一个控件,打开C:\\Program Files\\Internet Explorer\\PLUGINS
发现三个文件都是以new123命名的
到安全模式下删除C:\\Program Files\\Internet Explorer\\PLUGINS中的new123命名的
三个文件,到C:\DOCUME~1\XXX\LOCALS~1\Temp\删除microsoft.bat,asas.exe文件,
并且再搜索一下注册表关于new123的信息全部删除后
重新启动,症状解决。
总结:这个木马确实比较高明,卡巴斯基最新版,木马克星最新版都不能发现,
在进程管理器也根本看不到,他不加载单独的进程,而是通过explorer.exe调入
new123.sys,每隔10分钟自动检查microsoft.bat和asas.exe文件是否存在,
如不存在则重新释放文件,所以即使删除了这两个文件,也会再次出现。
作者本意应该是在盗取有用信息后,试图通过microsoft.bat删除asas.exe,
然后隔几分钟再生成asas.exe再盗取信息,然后又删除又生成……
不想木马创建的asas.exe是系统隐藏文件,删除不掉,导致cpu100%,这也是作者的一个
小失误把,庆幸……