今天早上把昨天的照片载入电脑,然后当我打开文件准备浏览时,系统慢得比蜗牛还慢!!查看了任务管理器发现“EXPLORER.EXE”居然占用CPU的98INTERNET EXPLORER 无法打开 %,我的天啦...! 现在快下午六点了,我才把逐渐聪明的机器搞定,效率太低了,不过经过一天的查阅,真的学了不少知识...! 几种解决方法,可供参考,如下: 1. 你结束此进程,这个explorer比系统正常的占用内存少,所以,你在任务管理器中结束占用少的 explorer。 另外查文件,并删除。 手动清除病毒,这是一个伪装病毒,具体名称trojan/vbs.zapchast.b(来自江民2007杀毒报告),不是最新病毒。该病毒会在电脑上生成一个folder.htt文件,不一定是在系统盘里,也就是说重装系统也不一定能管用。 感染病毒的症状是,任务管理器中出现两个EXPLORER.这样的进程,还有一个很明显的表现,就是有有病毒的文件夹里的程序双击后一闪就消失了,有这两种情况说明你铁定中招了,如何判断哪个是病毒,我是把两个进程都关了一次,就知道了,简单有效。也可以看它的内存使用分析下,我的EXPLORER.EXE内存使用是1,内存使用是2982k,所以可以判断小写的确定是病毒。(你可以在新装系统后留意下EXPLORER.EXE的内存使用) 病毒已经确定,首先结束掉这个进程,再在开始菜单-运行-键入msconfig-回车,查看一下你的启动项,禁止随系统启动。然后到C:\Program Files\Internet Explorer目录, shift+delete杀掉它,最后我们打开注册表,你可以手动查位置在: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 也可以点击编辑-查-键入别忘了在字符匹配前打上对号,回车就会到一个名称为ms..(名字我记不清了是以m打头的)数据为C:\Program Files\Internet ,删除掉。 好了任务结束,你可以重新启动下电脑,看看还有没有这个进程。 本人在windows xp适用成功。 2. 病毒,表现是启动项多了两个,一个,另一个忘了名字。开机时自动跳出资源管理器界面下的我的文档,未发现其他症状。刚开始时没在意,后来有次开任务管理器发现有两个explorer,于是怀疑中毒。Vista的任务管理器可以看到进程所在目录,发现另一个explorer是在system32下,伪装成系统文件,把文件夹选项>查看里的隐藏受保护的操作系统文件选项勾掉才能看到。看建立时间是四天前,肯定是病毒无疑。但卡巴扫了一遍没扫出来,于是手动删掉此文件以及对应启动项。但发现开机后依然跳出资源管理器,查注册表HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run及HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下也没有多余的项,无奈去百度,但只发现有症状,没人说解决方法。最后辗转查到可能是因为HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon下的userinit值被修改,一看果然没错,其数据本应是后面多了个,删掉,完工。 3. 进程造成CPU使用率占用100% 在system.ini文件中,在[BOOT]下面有个“shell=文件名”。正确的文件名应该是“”,如果不是“”,而是“shell= 程序名”,那幺后面跟着的那个程序就是“木马”程序,就是说你已经中“木马”了。 在注册表中的情况最复杂,通过regedit命令打开注册表编辑器,在点击至:“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”目录下,查看键值中有没有自己不熟悉的自动启动文件,扩展名为EXE,这里切记:有的“木马”程序生成的文件很像系统自身文件,想通过伪装蒙混过关,如“Acid Battery v1.0木马”,它将注册表“HKEY-LOCAL-MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”下的 Explorer 键值改为Explorer=“C:\”,“木马”程序与真正的Explorer之间只有“i”与“l”的差别。当然在注册表中还有很多地方都可以隐藏“木马”程序,如:“HKEY-CURRENT-USER\Software\Microsoft\Windows\CurrentVersion\Run”、“HKEY-USERS\****\Software\Microsoft\Windows\CurrentVersion\Run”的目录下都有可能,最好的办法就是在“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下到“木马”程序的文件名,再在整个注册表中搜索即可 |
发布评论