ebkuyv 2007-4-13 06:29
cmd.exe病毒的进程与清理
开机CPU就是100%,查进程,原来是[url=http://www.520528.cn/jiadianchangshi/20070328/626.html]cmd.exe[/url]占用了绝大部分的CPU。关闭[url=http://www.520528.cn/jiadianchangshi/20070328/626.html]cmd.exe[/url]后,CPU实用率恢复正常。但是再次开机的时候,CPU又是100%,[url=http://www.520528.cn/jiadianchangshi/20070328/626.html]cmd.exe[/url] 依然占用了绝大部分的CPU。
9b
L�~
k G�R#[%J�c+}�y
%n0q�R/x�c�K
1.装了ewido 查杀木马,查出了几个感染目标,已删除。但是今
a z(I�]�r�d'b
天早上开机,[url=http://www.520528.cn/jiadianchangshi/20070328/626.html]CPU[/url]又是100%,cmd.exe 依然占用了绝大部分的CPU。
2i�I5L8P(i"i
h�p�d�S8N8@
2.再装“木马清除专家2006”,查杀,结果没有发现[url=http://www.520528.cn]百纳[/url]木马。 �l1q a�|7h#B
�`�s2n�Y,T
3.查system 32 中的 CMD.EXE 大小,结果如下:
�J)~:H�P4^ i�}
CMD.EXE 大小:459 KB (470,016 字节) �U�r*E:x�u)n*@
占用空间:460 KB (471,040 字节)
(L#W9C�N;w$o�s
如果出现这种情况,很不幸,你99%是中了木马了
�Y6R
_�|&X
====================================
�i0|*^&T0[�C�i
[color=Red]解决方法:如下一楼(老木)[/color]
abc 2007-4-13 10:20
解决方法:
�?!w*d8V6@'u�M
&m'C8]�o+s
如果出现这种情况,很不幸,你99%是中了木马了。不过不妨继续验证一下,假定你的windows安装盘位于C:\,并且需要你在文件查看选项中打开查看隐藏文件的选项和显示所有文件扩展名的选项,则 �I+G$T3S�o!~:k�O
�N4D�U1j�|0T�y�p�?(O5v1l
查看你的c:\Program Files\Internet Explorer\PLUGINS\目录,应该会发现有new123.bak和new123.sys两个文件; �}1]
\�Z5p3@
查看你的C:\Documents and Settings\Administrator\Local Settings\Temp\目录,应该会发现有MicroSoft.bat这个文件;你可以用记事本打开MicroSoft.bat文件,发现其中提到一个exe文件(具体名称会有不同),你也会在该目录下发现这个exe文件;
�E0L*_
@ q)R6j/R
如果以上两步你并未发现相应文件,请将你的文件查看改为不隐藏已知文件后缀,并在系统盘内进行文件搜索,确认是否的确没有相关的文件。 &E F�d�Q�D+v:Z
K
#j-k�Q�l9z�I
1r;k w)D�Q�V8b2X
!w�R x9})H3J�]*|;x
木马描述 &`�B!B
L�m�L!w&_2V�I
该木马主要是因为用户安装了嵌入木马程序的安装程序所致,这些安装程序极有可能是你在一些不知名的下载网站上下载的一些应用程序(比如qq的一些版本等)。该木马利用安装程序在没有提醒用户的情况下在IE的插件中安装了实为木马的IE插件。使得一般的杀毒和杀马程序无法识别。并且当你运行一些需要调用IE的一些程序时自动调用该木马插件,所以才出现“症状描述”中所描述的情况。 'P"W%s�C�S
:V9Z%s�o�J(Y
该木马的母体就是new123.sys,属于Trojan-PSW.Win32.Delf.mc,可能会偷取你的一些应用的帐号和密码。 2N�^�[1b'P1A)j,d7?�o
�?�p8B�T�b#A�k.K�D
木马清除
)y�t#W�@-Y�S q�b
该木马可以很方便的手工清除,过程如下:
(a�{0b5F�k�y�w
�s�?$s�Y/D
打开“任务管理器”,在“进程”中结束cmd.exe的运行,此时CPU占用率会明显下降;
S(p�R1^9m�D�d6Q�y
进入C:\Documents and Settings\Administrator\Local Settings\Temp\目录,删除MicroSoft.bat这个文件中所提到的exe文件和该bat文件;(这一步不做也没有问题,但最好清除掉) /{!R�T�P�P0M
进入c:\Program Files\Internet Explorer\PLUGINS\目录,删除new123.bak文件,但此时你无法删除new123.sys文件,因为系统正在使用,你有两种方式处理new123.sys文件:
�?�X6}�F9U-S(c�|4N
重启机器并进入安全模式对new123.sys进行删除;
�[6D�p4z#J%b
当前状态虽无法删除该文件,但可更改new123.sys的文件名为new123.sysdel,并且重启机器(无需进入安全模式)后,再把new123.sysdel进行删除。 %M'H%a5u�D*m$f
处理完后,如果“症状描述”中的情况消失,则说明清除成功。 8g�K�p�p�a�I
2m)R�U�I
i
XP系统里并没有cmd.exe的进程,cmd.exe是XP系统的命令提示符程序,可以执行一些在DOS下执行的应用程序,但是并不会随系统启动时运行,这有可能是个木马或者其他病毒程序,建议查杀
�V4v Y�k�c6u�?�{&r
g�@�M
2Q�T�]4G1T&r�?�j:\
s
1、如果安装文件就在硬盘上,而且系统是从硬盘的安装目录装的,那先将这个安装目录改个名字
�C�n�X�a�S�b.q�m
!U�B�^6a�G�p3T5~6H�G
2、删除c:\winnt\system32\dllcache\cmd.exe, �n%c�X�m�d
�~3W r H�l8e$?�O:Z.w
3、然后再删除system32\cmd.exe �?�V�Y*M�y7z�M0w
7G�O:r
i%f�V
4、系统会提示说系统文件丢失要求插入光盘,忽略就行了 �~�K3R N"`+W�`
�i�V.h�}�H0?�{�Z�E�G�p
禁止运行命令解释器和批处理文件方法:
*O�W�}5Q�`7I(s�r
�w*T/a(g�`"R$h"d!l
通过修改注册表,可以禁止用户使用命令解释器(CMD.exe)和运行批处理文件(.bat文件)。新建一个双字节(REG_DWORD)执行HKEY_CURRENT_USER\Software\Policies\ Microsoft\Windows\System\DisableCMD,修改其值为2,命令解释器和批处理文件都不能被运行。修改其值为1,则只是禁止命令解释器的运行。
�w)z�g,P�O�E+N
8n�\�?)g"| C�y5x)y*G'k$Y
就是替换掉系统的cmd.exe文件。但是由于此文件受系统保护,所以必须用一种特殊的办法。至于那个用来替换cmd.exe的文件,可以随便找一个运行时候没有什么提示的东西就行。C:\Windows\system32下面有很多这样的文件,随便找一个就行。
�|1x�a�O�I�D�@
替换方法是:首先删除C:\WINDOWS\system32\Dllcache\下面的cmd.exe,然后尽快将C:\WINDOWS\system32\下面的cmd.exe替换成所需的文件。当系统提示要求插入WINDOWS安装光盘的时候,不要理他,直接单击“取消”就可以了。之后当你开始-〉运行-〉cmd的时候,dos窗口自然不会出现了 -i�`�e-D
^�z)J
百度提供的解决方法如下:
R�z�m+l�D
1:XP系统里并没有cmd.exe的进程,cmd.exe是XP系统的命令提示符程序,可以执行一些在DOS下执行的应用程序,但是并不会随系统启动时运行,这有可能是个木马或者其他病毒程序,建议查杀 /B�G�_�K$r
n�S�`�x
1)、如果安装文件就在硬盘上,而且系统是从硬盘的安装目录装的,那先将这个安装目录改个名字
�Y c�Y�e�U't
2)、删除c:\winnt\system32\dllcache(没有这个子文俭)\cmd.exe,
*Z�m(r%B�p
?
3)、然后再删除system32\cmd.exe
:S4M$S"P8p:a�o8e
4、系统会提示说系统文件丢失要求插入光盘,忽略就行了 禁止运行命令解释器和批处理文件方法:通过修改注册表,可以禁止用户使用命令解释器(CMD.exe)和运行批处理文件(.bat文件)。新建一个双字节(REG_DWORD)执行HKEY_CURRENT_USER\Software\Policies\ Microsoft\Windows\System\DisableCMD,修改其值为2,命令解释器和批处理文件都不能被运行。修改其值为1,则只是禁止命令解释器的运行。 就是替换掉系统的cmd.exe文件。但是由于此文件受系统保护,所以必须用一种特殊的办法。
*z.\)[4k�u�[�p
至于那个用来替换cmd.exe的文件,可以随便找一个运行时候没有什么提示的东西就行。C:\Windows\system32下面有很多这样的文件,随便找一个就行。替换方法是:首先删除C:\WINDOWS\system32\Dllcache\下面的cmd.exe,然后尽快将C:\WINDOWS\system32\下面的cmd.exe替换成所需的文件。当系统提示要求插入WINDOWS安装光盘的时候,不要理他,直接单击“取消”就可以了。
yu8668 2007-4-24 08:27
我的机器经常出现这种情况,不过没找到LZ说的那个进程,也查不出来,一般得重启一下就好了
yuguorong002 2007-9-30 09:56
gfdgtdgdr
gfdgdgdfgdgfd