今天,开机后就发现很慢,打开IE后发现windows任务管理器里CPU使用100%,在映像名称中发现有NTdhcp.exe和LSASS.exe lsass.exe(注意大小写)。打开瑞星杀毒,发现没有反应。
在系统盘下发现可疑文件。
EXERT.exe
LSASS.exe
个人解决方法如下:
打开文件的隐藏属性。方法如下:
我的电脑-->工具-->文件夹选-->查看-->选择"显示所有文件和文件夹",并把隐藏受保护的操作系统文件(推荐)前的勾去掉,这时会弹出一个警告,选择(是).至此就显示了所有的隐藏文件了.
去除进程里的文件,可以后两种方法,一、调出windows务管理器(Ctrl+Alt+Del),选择进程explorer.exe结束进程。在选择要处理的进程,结束掉他。如果是系统正在运行的。用方发二、选择"任务管理器"。点击菜单"查看(V)"->"选择列(S)...",在弹出的对话框中选择"PID(进程标识符)",并点击"确定"。找到映象名称为"LSASS.exe",并且用户名不是"SYSTEM"的一项,记住其PID号.点击"开始"-》“运行”,输入"CMD",点击"确定"打开命令行控制台。输入"ntsd –c q -p (PID)".
删除这几个文件
C:\Program Files\Common Files\INTEXPLORE.pif
C:\Program Files\Internet Explorer\INTEXPLORE.com
C:\WINDOWS\EXERT.exe
C:\WINDOWS\IO.SYS.BAK
C:\WINDOWS\LSASS.exe
C:\WINDOWS\Debug\DebugProgram.exe
C:\WINDOWS\system32\dxdiag.com
C:\WINDOWS\system32\MSCONFIG.COM
C:\WINDOWS\system32\regedit.com
打开d盘找到这两个文件并删除之,注意它们是隐藏文件,"Autorun.inf"和"command.com"文件.
找到c:\windows(winnt) 查找regedit.exe 改名为regedit.com
打开注册表,选择"开始"-》"运行"-》输入regedit.com
现在我们开始删除注册表里的病毒文件与修复被破坏的文件。
找到如下文件删除:
HKEY_CLASSES_ROOT\WindowFiles
HKEY_CURRENT_USER\Software\VB and VBA Program Settings
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
下面的 Check_Associations项
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\INTEXPLORE.pif
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
里TOP项
现在开始修复注册表。
将HKEY_CLASSES_ROOT\.exe的默认值修改为
"exefile"(原来是windowsfile)
将HKEY_CLASSES_ROOT\Applications\iexplore.exe\shell\open\command
的默认值修改为
"C:\Program Files\Internet Explorer\iexplore.exe" %1"
(原来是intexplore.com)
将HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}
\shell\OpenHomePage\Command 的默认值修改为
"C:\Program Files\Internet Explorer\IEXPLORE.EXE"(原来是INTEXPLORE.com)
将HKEY_CLASSES_ROOT \ftp\shell\open\command
和HKEY_CLASSES_ROOT\htmlfile\shell\opennew\command
的默认值修改为"C:\Program Files\Internet Explorer\iexplore.exe" %1"
(原来的值分别是INTEXPLORE.com和INTEXPLORE.pif)
将HKEY_CLASSES_ROOT \htmlfile\shell\open\command
HKEY_CLASSES_ROOT\HTTP\shell\open\command的默认值修改为
"C:\Program Files\Internet Explorer\iexplore.exe" –nohome”
将HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet
的默认值修改为"IEXPLORE.EXE".(原来是INTEXPLORE.pif) 我没发现这项,先放过去。
重新将Windows目录下的regedit扩展名改回exe,我发现经过上面的修复后c:\winnt下,自动生成了regedit.exe当你改回去的时候,会发现有文件重名提示。由于胆小,把自动生成的regedit.exe文件改名为regedit.123 在把regedit.com改回来,删除掉regedit.123
至此病毒清除成功,注册表修复完毕.
重新启动,*.exe文件正常,但发现打开IE cpu的使用率还是80-90%。
打开windows任务管理器选择进程,发现msime.exe,上网查找msime.exe进程文件,发现是病毒,(这里说一下,我选择的是www.pctutu.com里面有项进程查询.如果自己不知道这进程是干什么的,可以到这里去查查)msime.exe是一个病毒文件,通常出现在system32下,同时还有一个winmer.exe文件。可我没发现winmer.exe不管他。找到这个目录删除掉msime.exe
选择系统配置使用程序,开始-》运行-》msconfig 如果是WIN2K,里面没有这项.选择启动,可以到XP系统里去调用。去除掉NTDHCP.EXE
去除这个病毒是前几个月的事情了,但是发现,每次都无缘无故的就感染上了,后来找到Microsoft官方升级了几个补丁程序,到现在就没在出现过这样的现象。(对于补丁升级,本人不建议常常去升级,由于补丁升级过多会出现系统过慢。鱼和熊掌不能兼得。)
