典型症状:
开机CPU就是100%,查进程,原来是cmd.exe 占用了绝大部分的CPU。关闭cmd.exe后,CPU实用率恢复正常。但是再次开机的时候,CPU又是100%,cmd.exe 依然占用了绝大部分的CPU。
1.装了ewido 查杀木马,查出了几个感染目标,已删除。但是今
天早上开机,CPU又是100%,cmd.exe 依然占用了绝大部分的CPU。
2.再装“木马清除专家2006”,查杀,结果没有发现木马。
3.查system 32 中的 CMD.EXE 大小,结果如下:
CMD.EXE 大小:459 KB (470,016 字节)
占用空_间:460 KB (471,040 字节)
应该没有异常。
cmd.exe 专杀工具下载: http://www.1024k.cn/Soft/2007/200704/67.html
解决方法:
如果出现这种情况,很不幸,你99%是中了木马了。不过不妨继续验证一下,假定你的windows安装盘位于C:,并且需要你在文件查看选项中打开查看隐藏文件的选项和显示所有文件扩展名的选项,则查看你的c:Program FilesInternet ExplorerPLUGINS目录,应该会发现有new123.bak和new123.sys两个文件;查看你的C:Documents and SettingsAdministratorLocal SettingsTemp目录,应该会发现有MicroSoft.bat这个文件;你可以用记事本打开MicroSoft.bat文件,发现其中提到一个exe文件(具体名称会有不同),你也会在该目录下发现这个exe文件;
如果以上两步你并未发现相应文件,请将你的文件查看改为不隐藏已知文件后缀,并在系统盘内进行文件搜索,确认是否的确没有相关的文件。
木马描述
该木马主要是因为用户安装了嵌入木马程序的安装程序所致,这些安装程序极有可能是你在一些不知名的下载网站上下载的一些应用程序(比如qq的一些版本等)。该木马利用安装程序在没有提醒用户的情况下在IE的插件中安装了实为木马的IE插件。使得一般的杀毒和杀马程序无法识别。并且当你运行一些需要调用IE的一些程序时自动调用该木马插件,所以才出现“症状描述”中所描述的情况。
该木马的母体就是new123.sys,属于Trojan-PSW.Win32.Delf.mc,可能会偷取你的一些应用的帐号和密码。
木马清除
该木马可以很方便的手工清除,过程如下:
打开“任务管理器”,在“进程”中结束cmd.exe的运行,此时CPU占用率会明显下降;
进入C:Documents and SettingsAdministratorLocal SettingsTemp目录,删除MicroSoft.bat这个文件中所提到的exe文件和该bat文件;(这一步不做也没有问题,但最好清除掉)
进入c:Program FilesInternet ExplorerPLUGINS目录,删除new123.bak文件,但此时你无法删除new123.sys文件,因为系统正在使用,你有两种方式处理new123.sys文件:
重启机器并进入安全模式对new123.sys进行删除;
当前状态虽无法删除该文件,但可更改new123.sys的文件名为new123.sysdel,并且重启机器(无需进入安全模式)后,再把new123.sysdel进行删除。
处理完后,如果“症状描述”中的情况消失,则说明清除成功。
XP系统里并没有cmd.exe的进程,cmd.exe是XP系统的命令提示符程序,可以执行一些在DOS下执行的应用程序,但是并不会随系统启动时运行,这有可能是个木马或者其他病毒程序,建议查杀
1、如果安装文件就在硬盘上,而且系统是从硬盘的安装目录装的,那先将这个安装目录改个名字
2、删除c:winntsystem32dllcachecmd.exe,
3、然后再删除system32cmd.exe
4、系统会提示说系统文件丢失要求插入光盘,忽略就行了
禁止运行命令解释器和批处理文件方法:
通过修改注册表,可以禁止用户使用命令解释器(CMD.exe)和运行批处理文件(.bat文件)。新建一个双字节(REG_DWORD)执行HKEY_CURRENT_USER\Software\Policies\ Microsoft\Windows\System\DisableCMD,修改其值为2,命令解释器和批处理文件都不能被运行。修改其值为1,则只是禁止命令解释器的运行。
就是替换掉系统的cmd.exe文件。但是由于此文件受系统保护,所以必须用一种特殊的办法。至于那个用来替换cmd.exe的文件,可以随便找一个运行时候没有什么提示的东西就行。C:Windowssystem32下面有很多这样的文件,随便找一个就行。替换方法是:首先删除C:WINDOWSsystem32Dllcache下面的cmd.exe,然后尽快将C:WINDOWSsystem32下面的cmd.exe替换成所需的文件。当系统提示要求插入WINDOWS安装光盘的时候,不要理他,直接单击“取消”就可以了。之后当你开始-〉运行-〉cmd的时候,dos窗口自然不会出现了
百度提供的解决方法如下:
1:XP系统里并没有cmd.exe的进程,cmd.exe是XP系统的命令提示符程序,可以执行一些在DOS下执行的应用程序,但是并不会随系统启动时运行,这有可能是个木马或者其他病毒程序,建议查杀 1)、如果安装文件就在硬盘上,而且系统是从硬盘的安装目录装的,那先将这个安装目录改个名字 2)、删除c:winntsystem32dllcache(没有这个子文俭)cmd.exe, 3)、然后再删除system32cmd.exe 4、系统会提示说系统文件丢失要求插入光盘,忽略就行了 禁止运行命令解释器和批处理文件方法:通过修改注册表,可以禁止用户使用命令解释器(CMD.exe)和运行批处理文件(.bat文件)。新建一个双字节(REG_DWORD)执行HKEY_CURRENT_USER\Software\Policies\ Microsoft\Windows\System\DisableCMD,修改其值为2,命令解释器和批处理文件都不能被运行。修改其值为1,则只是禁止命令解释器的运行。 就是替换掉系统的cmd.exe文件。但是由于此文件受系统保护,所以必须用一种特殊的办法。至于那个用来替换cmd.exe的文件,可以随便找一个运行时候没有什么提示的东西就行。C:Windowssystem32下面有很多这样的文件,随便找一个就行。替换方法是:首先删除C:WINDOWSsystem32Dllcache下面的cmd.exe,然后尽快将C:WINDOWSsystem32下面的cmd.exe替换成所需的文件。当系统提示要求插入WINDOWS安装光盘的时候,不要理他,直接单击“取消”就可以了。之后当你开始-〉运行-〉cmd的时候,dos窗口自然不会出现了
2:这个问题我最近也才遇到,系统装配和你的一样,懒得重装,所以就特别注意了一下,还好问题解决了! 我的电脑症状最开始是开机过会出现CMD.EXE进程,当初只要结束此任务就可以了,可是后来装了杀毒软件后只要一打开新的窗口或刷新桌面就会出现,还是每个页面出现一个CMD.EXE进程. 还好最近工作少,我就跟踪了一下,发现每当出现CMD.EXE进程之前都会出现bow.dll进程,通过搜索发现是在IE PLUGINS中的一个控件,做好重装机器准备将其删除还有bow.bak和bow.sys结果CMD.EXE进程不见了! 个人不是专业搞杀毒的,希望此方法对你有所帮助,另外我也把注册表中Explorer Bars->{C4EE31F3-4768-11D2-BE5C-00A0C9A83DA1}->FileNamedMRU中有关bow删除掉,顺便搜索一下其它键值是否也包含一起删除,以防万一. 这里我根本不能找到bow.bak 以及BOW.SYS,我已经把所有的文件全部显示出来,还是找不到。所以不知道从那里删起。
3:其一:病毒感染 据我所知的某些木马程序,通常会利用CMD.EXE这个命令行系统进行病毒加载或者是DLL插入,并且文件的大小会改变 CMD.EXE 大小:459 KB (470,016 字节) 占用空_间:460 KB (471,040 字节) 若与该数字不太吻合,请注意,肯定是病毒感染了没错 解决办法:进入安全模式,删除CMD.EXE然后从windows\servicespackfiles\i386 文件夹中再复制一份到system32文件夹下。 其二:有启动项目是需要cmd.exe命令行支持运行的,若你的CMD.EX不能正常运行的话,会始终出现提示 解决办法:修复cmd.exe即可,参照第一种情况的解决办法 我的那个文件是三百多k,而且system32下以及i386下的cmd.exe一样大小。
4:我现在每次关机先把那个进程结束掉,然后就ok乐,没有什么其它的问题。
其实系统运行的CMD.exe并不是系统自己的命令提示符,而是一个病毒伪装的进程。使用新版的瑞星杀毒之后再清理注册表里的启动项就可以了,手动清理很困难,也很麻烦,所以推荐使用杀毒软件清理。因为我用的是瑞星,所以我确定它可以杀,KILL肯定清不掉。其他杀毒软件没有试过,所以不知道可不可以可以删除。
进入注册表,查找,点开始---运行,输入regedit |
发表于 2007-6-1 08:43:18
楼主
发表于 2007-6-1 08:55:54
