"cmd。exe病毒(virus)
cmd。exe病毒(virus)进程清理方法
cmd。exe 病毒(virus)是比较头痛的一种占用大量cpu资源的病毒(virus),,不一样的机器还要用不一样的处理方案,
cmd。
exe病毒(virus)进程清理方法
第一种情形:
开机CPU就是100%,查进程,原来是cmd。exe 占用了绝大部分的CPU。关掉cmd。exe后,CPU实用率复原正常。可是再次开机的时候,CPU又是100%,cmd。
exe 依然占用了绝大部分的CPU。
1。装了ewido 清理木马,查出了几个感染目标,已删掉。可是今
天早上开机,CPU又是100%,cmd。exe 依然占用了绝大部分的CPU。
2。
再装“木马清理专家2006”,清理,结果木有发现木马。
3。查system 32 中的 CMD。EXE 大小,结果如下:
CMD。EXE 大小:459 KB (470,016 字节)
占用空间:460 KB (471,040 字节)
应当木有异常。
处理方法:
假如出现这种情形,很不幸,你99%是中了木马了。不过不妨继续验证一下,假定你的windows安装盘位于C:,并且要你在文件查看选项中打开(OPEN)查看隐藏文件的选项和显示全部文件扩展名的选项,则
查看你的c:Program FilesInternet ExplorerPLUGINS目录,应当会发现有new123。
bak和new123。sys2个文件;
查看你的C:Documents and SettingsAdministratorLocal SettingsTemp目录,应当会发现有MicroSoft。bat这个文件;你可以用记事本打开(OPEN)MicroSoft。
bat文件,发现其中提到1个exe文件(具体名称会有不一样),你也会在该目录下发现这个exe文件;
假如以上两步你并未发现相应文件,请将你的文件查看改为不隐藏已知文件后缀,并在系统(System)盘内进行文件搜索,确认是不是的确木有相关的文件。
木马描述
该木马主要是由于用户安装了嵌入木马程序的安装程序所致,这类安装程序极有可能是你在有些不知名的下载(DownLoad)网站上下载(DownLoad)的有些应用程序(例如qq的有些版本等)。
该木马利用安装程序在木有提醒用户的情形下在IE的插件中安装了实为木马的IE插件。使得一般的杀毒和杀马程序没方法识别。并且当你运行有些要调出使用IE的有些程序时自动调出使用该木马插件,因此才出现“症状描述”中所描述的情形。
该木马的母体就是new123。
sys,属于Trojan-PSW。Win32。Delf。mc,可能会偷取你的有些应用的帐号和密码(PassWORD)。
木马清理
该木马可以很方便的手工清理,过程如下:
打开(OPEN)“任务管理器”,在“进程”中结束cmd。
exe的运行,此时CPU占用率会明显下降;
进C:Documents and SettingsAdministratorLocal SettingsTemp目录,删掉MicroSoft。bat这个文件中所提到的exe文件和该bat文件;(这一步不做也木有问题,但最好清理掉)
进c:Program FilesInternet ExplorerPLUGINS目录,删掉new123。
bak文件,但此时你没方法删掉new123。sys文件,由于系统(System)正在用,你有两种方式处理new123。sys文件:
重新开启机器并进安全模式对new123。sys进行删掉;
当前状态虽没方法删掉该文件,但可更改new123。
sys的文件名为new123。sysdel,并且重新开启机器(无需进安全模式)后,再把new123。sysdel进行删掉。
处理完后,假如“症状描述”中的情形消失,则说明清理成功。
第二种情形:
1:XP系统(System)里并木有cmd。
exe的进程,cmd。exe是XP系统(System)的命令提醒符程序,可以执行有些在DOS下执行的应用程序,可是并不会随系统(System)开启时运行,这有可能是个木马或其他病毒(virus)程序,建议清理
1)、假如安装文件就在硬盘上,并且系统(System)是从硬盘的安装目录装的,那先将这个安装目录改个名字
2)、删掉c:winntsystem32dllcache(木有这个子文俭)cmd。
exe,
3)、之后再删掉system32cmd。exe
4、系统(System)会提醒说系统(System)文件丢失要求插入光碟,忽略就行了
禁止运行命令解释器和批处理文件方法:通过修改注册表,可以禁止用户用命令解释器(CMD。
exe)和运行批处理文件(。bat文件)。新建1个双字节(REG_DWORD)执行HKEY_CURRENT_USER\Software\Policies\ Microsoft\Windows\System\DisableCMD,修改其值为2,命令解释器和批处理文件都不能被运行。
修改其值为1,则只是禁止命令解释器的运行。 就是替换掉系统(System)的cmd。exe文件。可是由于此文件受系统(System)保护,因此必须用一种特殊的方法。
至于那个用来替换cmd。exe的文件,可以随便找1个运行时候木有啥提醒的东东就行。
C:Windowssystem32下边有特别多这样的文件,随便找1个就行。替换方法是:首先删掉C:WINDOWSsystem32Dllcache下边的cmd。exe,之后尽快将C:WINDOWSsystem32下边的cmd。exe替换成所需的文件。
当系统(System)提醒要求插入WINDOWS安装光碟的时候,别理他,直接单击“取消”就可以了。
之后当你开始-〉运行-〉cmd的时候,dos窗口自然不会出现了
第三种情形:
怎么处理cmd。
exe占CPU资源100%问题
造成机器运行很慢,关掉cmd。exe后,CPU用率复原正常。可是再次开机的时候,CPU又是100%,cmd。exe 依然占用了绝大部分的CPU。
问题分析:后经上网查找和之后证实,应当是中了一种传播Viking的QQ尾巴病毒(virus)了,这种木马病毒(virus)主要是由于用户安装了嵌入木马程序的安装程序所致,这类安装程序极有可能是你在有些不知名的下载(DownLoad)网站上下载(DownLoad)的有些应用程序(例如qq的有些版本等)。
该木马利用安装程序在木有提醒用户的情形下在IE的插件中安装了实为木马的IE插件。使得一般的杀毒和杀马程序没方法识别。并且当你运行有些要调出使用IE的有些程序时自动调出使用该木马插件,因此才出现“问题症状”中所描述的情形。
处理方法:我只可以讲一下差不多的思路了,由于当时木有记录和截图。
首先在文件夹查看选项中打开(OPEN)查看隐藏文件的选项、显示全部文件扩展名和显示受保护的操作系统(System)文件的选项。
1、从注册表里删掉病毒(virus)增加的ShellExecuteHooks信息:打开(OPEN)注册表找到[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks],
在实际情形中,图中应当会出现除以外的其它可疑键值的,依次按步骤2检查它们;
2、打开(OPEN)到注册表[HKEY_CLASSES_ROOTCLSID{这里是步骤1中提到的可疑键值}下,
之后依次检查上图中所示的每1个路径指向的文件,应当会有一个文件是以。
sys结尾的系统(System)驱动(Drive)文件,这个文件应当是隐藏文件,并且它的修改时间应当和该电脑(PC)出问题的时间差不多,并且在该文件旁边还会有和它的修改时间一样的隐藏文件,可以考虑将它们都删掉了,以观后效。记得我当时是删掉了三个在C:Program FilesInternet ExplorerConnection Wizard 下的隐藏文件,就OK了。
注:假如删不掉,可以进安全模式删掉。
3、清理C:Documents and Settings你的用户名Local SettingsTemp目录下的全部垃圾文件,由于里边含有病毒(virus)释放生成的执行文件,当时我的情形是有2个病毒(virus)释放的文件:_xiaran。
bat和help。exe(这个是隐藏和系统(System)文件)。
4、重新开启计算机,观察5分钟,假如不再出现“问题症状”中描述的情形,说明清楚成功了。"。
答:d.exe 进程文件: cmd 或者 cmd.exe 进程名称: Windows 命令提示符 描述: cmd.exe是微软Windows系统的命令行程序,类似与...详情>>
答:可能是盗版的使用KV2005详情>>
答:你只需要重起电脑,点击F8进入安全模式,选择Administrator用户进入,你在控制面板里的用户管理里,就可以任意更改你的管理员密码详情>>
