[求助] CPU效能被病毒綁架?? wscript.exe 一直以近100%的方式佔去電腦資源

timestone
個人積分：14分
文章編號：25996588

14分

樓主

2011-02-20 16:13

最近小紅傘偶而會嗶嗶叫, 但錯誤訊息只是指出有不正常的程式讀寫錯誤, 無法指出何檔案受感染.

今天發現CPU效能一直run在100%, 叫出工作管理員一看,

是wscript.exe被綁架, 一直run在最高點,

強制關閉wscript.exe, 又會立即跑出新的wscript.exe出來run.

有試過 msconfig 關掉任何可疑非microsoft的啟動程式, 沒用.

進入安全模式則正常, 不會跑出wscript.exe, 可見是某個系統程式被感染.

[求助] CPU效能被病毒綁架?? wscript.exe 一直以近100%的方式佔去電腦資源

[求助] CPU效能被病毒綁架?? wscript.exe 一直以近100%的方式佔去電腦資源

google了一下, 相關討論不多, 有的是香港大陸那邊的討論, 而且資訊也舊了,

一說是隨身諜病毒造成, 但下載的解毒程式只會當機無法有效解決.

mobile01也搜尋過了, 沒有wscript.exe被綁架的討論,

不知版上各位大大有無解法?

2011-02-20 16:13 發佈

文章關鍵字 CPU 效能病毒 Wscript.exe 電腦資源方式 100

duncanfans

duncanfans
個人積分：9分
文章編號：25997722

9分

2樓

2011-02-20 17:22

幹嗎這種圖也需要遮嗎就是要看程式是系統還是使用者開啟的
這樣怎麼跟正常的對照

惡魔印記666

惡魔印記666
個人積分：6140分
文章編號：25997723

6140分

3樓

2011-02-20 17:22

timestone wrote:
最近小紅傘偶而會嗶嗶...(恕刪)

這種都是對岸那邊的人放出來的
當然也要用對岸那邊的程式來刪除
360安全衛士不錯用
目前還沒有像金山或是江民或是熊貓搞間諜外掛
用來殺對岸的木馬很好用

不然就是進安全模式下
用防毒軟體掃一次看看
記得這個木馬可以在安全模式下被查殺

要是真的都不行
砍掉重鍊吧(記得拔網路線在安裝新系統)

7654321-

7654321-
個人積分：21分
文章編號：25999604

21分

4樓

2011-02-20 19:23

duncanfans wrote:
幹嗎這種圖也需要p...(恕刪)

這種圖也需要ps???

被害妄想?!

passnext

passnext
個人積分：5分
文章編號：26022498

5分

5樓

2011-02-21 17:35

使用強大的閃電殺毒手掃描看看能不能清掉可疑程式來清毒看看
網址：http://cn.trendmicro.com/cn/mini/cleantool/index.html

希望對你有幫助

葡萄不一樣

葡萄不一樣
個人積分：198分
文章編號：26114269

198分

6樓

2011-02-25 2:29

timestone wrote:
最近小紅傘偶而會嗶嗶...(恕刪)

以下連結出自此網站

安裝某下載遊戲重啟後，桌面快捷方式就雙擊打不開（如顯示windows不能打開此文件：文件ADVANCED SYSTEMCARE.mwwzhskle，這其實已經不是快捷方式了，而是被篡改的腳本文件），IE主頁被支持為kuhao123，同時桌面出現淘寶網、淘寶熱賣、小遊戲等圖標，且偽裝生成IE圖標，還新建大量任務計劃多次運行，360殺毒軟件提示“wscript.exe被惡意利用”。使用各种急救箱、网盾反复修复不能彻底清除。使用各種急救箱、網盾反復修復不能徹底清除。

修复建议如下：修復建議如下：

1、将wscript.exe改名为wscript.bak，修复完成再改回来（除systwm32外，除C:\WINDOWS\systwm32外，C:\WINDOWS\system32\dllcache下还有一个wscript.exe的备份）。 1、將wscript.exe改名為wscript.bak，修復完成再改回來（除systwm32外，除C:\WINDOWS\systwm32外，C:\WINDOWS\system32\dllcache下還有一個wscript.exe的備份）。断网，到系统服务中（右击我的电脑－管理－服务）中止计划任务的服务Task Scheduler运行（最后记得改回来）。斷網，到系統服務中（右擊我的電腦－管理－服務）中止計劃任務的服務Task Scheduler運行（最後記得改回來）。

2、删除以下文件： 2、刪除以下文件：

c:\documents and settings\all users\「开始」菜单\程序\启动\catsrvut.yajazim c:\documents and settings\all users\「開始」菜單\程序\啟動\catsrvut.yajazim

3、使用SREng修复下面各项： 3、使用SREng修復下面各項：

启动项目－－启动文件夹之如下项删除：啟動項目－－啟動文件夾之如下項刪除：
[catsrvut.yaj] <C:\Documents and Settings\All Users\「开始」菜单\程序\启动\catsrvut.yajazim> [catsrvut.yaj] <C:\Documents and Settings\All Users\「開始」菜單\程序\啟動\catsrvut.yajazim>

4、清理任务计划，删除诸如At106这样的任务。 4、清理任務計劃，刪除諸如At106這樣的任務。可先查下任务的属性，看看任务具体引用什么文件，如果非系统文件，须一并删除。可先查下任務的屬性，看看任務具體引用什麼文件，如果非系統文件，須一併刪除。然后关闭（即清空）系统还原，还可以清理临时文件与IE缓存。然後關閉（即清空）系統還原，還可以清理臨時文件與IE緩存。

5、再使用各种修复工具进行IE主页、快捷方式与桌面图标的清理修复工作。 5、再使用各種修復工具進行IE主頁、快捷方式與桌面圖標的清理修復工作。

6、强烈建议安装所有windows安全更新补丁 6、強烈建議安裝所有windows安全更新補丁

另一個也差不多
請自點以下網站

這個wscript是系統的文件，凡是腳本運行都需要調用它，他只是被病毒調用了。

一般情況下，電腦中毒或者中木馬或者病毒之後，木馬病毒都會破壞系統的，一般殺毒軟件是不能解決這些問題的，
腳本病毒這麼查殺

1.百度搜索金山U盤專殺，這個軟件很強悍，不僅僅處理U盤病毒的。
2用金山網盾的一鍵修復可以處理那些vbs，autorun那些東東
最後
建議你安裝專業的殺毒軟件，360太不好使了

再給出手動殺毒方案
第一步：限制wscript.exe進程的運行。 “開始——運行”，輸入gpedit.msc，然後依次打開“計算機配置——Windows設置——安全設置——軟件限制策略”，右鍵，選擇“創建新策略”，選擇“其他規則”，在右側窗格空白處右擊，在菜單中選擇“新建路徑規則”項，瀏覽選擇C:\Windows\System32文件夾下的wscript.exe，將其安全級別設為“不允許”。這樣我們就成功的限制了wscript.exe的運行。第二步：通過任務管理器或者其他的工具，結束進程wscript.exe。第三步：借助工具冰刃，刪除各個盤符下面的.VBS、.vbe、js、autorun等文件。第四步：搜索一下，在系統目錄中是否還有.VBS、.vbe、js等文件存在，如果有，刪除掉。在看看系統的啟動項中有沒有不明的啟動項，如果有，也要刪除掉！第五步：重新啟動電腦，看到各個盤符下面就沒有.VBS等類型的文件了，系統也恢復到正常。

├愛像是什麼┼只能用人生百態去看待┤