cmd.exe病毒

如何防止中cmd.exe病毒~

这个病毒主要靠油盘等传播，我自己也中了好几回，还是比较麻烦的，解决的办法就是，别插来路不明的油盘，下面给出手动杀毒办法：
首先调出“任务管理器”，如果发现有两个lsass.exe进程，则基本可以确定你中招了。
注意：操作一定用资源管理器进入盘符，清除毒之前千万不能用我的电脑打开盘符否则从头再来！！！
确定中招后，不急。重启进“安全模式”
我的电脑-查看-文件夹选项-去掉隐藏受保护的操作系统文件，然后选“显示所有文件和文件夹”
进“任务管理器”找到所有的cmd.exe进程，全部终结（没有就不管）。
进入服务，停止和禁用Kerberos服务。
用资源管理器进入c:\盘删autorun.*、进windows目录删lsass.exe
如见cmd.exe.exe,和regedit.exe.exe全删
重启电脑：用资源管理器（千万不能用我的电脑打开C盘！！！）
从C:\WINDOWS\system32\dllcacheegedit.exe复制到C:\WINDOWSegedit.exe
从C:\WINDOWS\system32\dllcache\cmd.exe复制到C:\WINDOWS\system32\cmd.exe
（如果没有的也不要紧）

把regedit.exe改名字（一定要改），随便改123.exe然后双击打开，(一定要双击123.exe打开注册表编辑)
”
打开下面的项：
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
Image File Execution Options]
如存在如下项删除：
cmd.exe
cmd.com
msconfig.exe
msconfig.com
regedit.exe
regedit.com
regedt32.exe
关闭注册表。把名字改回来regedit.exe（改不回来没事，系统regedit.exe有时会自动恢复的，这样把123.exe删了就行，放着也没事）
在C盘（必须）根目录下新建一个文本文件，重命名为123.bat内容如下(作用是删runauto..等等垃圾，里面有停Kerberos服务的不写也可，假设你有C、D、E三个盘文件如下）：
cd\
del /f/q/a autorun.*
rd/s/q runauto...\
d:
del /f/q/a autorun.*
rd/s/q runauto...\
e:
del /f/q/a autorun.*
rd/s/q runauto...\
net stop kkdc
sc stop kkdc
sc delete kkdc
del /f/q/a %systemroot%\cmd.exe.exe
del /f/q/a %systemroot%\lsass.exe
del /f/q/a %systemroot%egedit.exe.exe
del /f/q/a %systemroot%\setuprs1.pif
保存，退出。然后双击执行。
重启，一切OK！

PS.有些人可能会无法打开msconfig
从C:\WINDOWS\system32\dllcache\msconfig.exe复制到:\WINDOWS\pchealth\helpctr\binaries\msconfig.exe覆盖原有文件即可。还有一些中招者的WINDOWS目录下可能会出现几个隐藏文件：r.exe r0.exe r00.exe r007.exe……等随机出现的r开头的exe
祝你成功！

---------------------------------------------------------
回liting841111
lsass是windows正常的服务大概1m多，病毒lsass是在windows目录里的要大很多，要删除必须停止和禁用Kerberos服务或到安全模式才能删除，必须按我上面步骤都是有逻辑关联的一步不能差，有些没有的就略过向下走，一定过一遍。病毒原理我简单说一下你就明白了：根目录下autorun指向runauto..目录中的病毒，所以凡用“我的电脑”双击盘符进入盘就染上了。更改注册表，把rgedit、msconfig、cmd都指向病毒，所以都用不了。cmd、regedit都加了个exe。启用了Kerberos服务病毒驻留内存任何盘都染上包括u盘（软盘好像没事）。runauto..删不掉因为它真实目录是runauto...\所以windows认为有非法字符进不去的。到dos里rd/s/q c:unauto...\立马删掉，不过不按我的流程，删了也没用，马上就恢复了。

该木马可以很方便的手工清除，过程如下：打开“任务管理器”，在“进程”中结束cmd.exe的运行，此时CPU占用率会明显下降；进入C:\Documents and Settings\Administrator\Local Settings\Temp\目录，删除MicroSoft.bat这个文件中所提到的exe文件和该bat文件；（这一步不做也没有问题，但最好清除掉）进入c:\Program Files\Internet Explorer\PLUGINS\目录，删除new123.bak文件，但此时你无法删除new123.sys文件，因为系统正在使用，你有两种方式处理new123.sys文件：重启机器并进入安全模式对new123.sys进行删除；当前状态虽无法删除该文件，但可更改new123.sys的文件名为new123.sysdel，并且重启机器（无需进入安全模式）后，再把new123.sysdel进行删除。处理完后，如果“症状描述”中的情况消失，则说明清除成功。

cmd.exe病毒进程清除2种方法

正确的查杀办法是:（该文章转自tiancxc）

1 重新启动计算机,按F8键 选择进入安全模式(非常重要,杀不干净与没进入安全模式有关).
2 用杀毒软件完全扫描查杀硬盘.

但我估计病毒文件不只这两个 杀毒软件很可能杀不干净. 所以还要进行下面的步骤

3.开始-运行-msconfig 回车, 在出现的"系统配置实用程序"中,调到"启动"选项卡,取消除杀毒软件的一切启动项,再点击"应用"(你可能要问:系统文件怎么办? 其实不必担心,系统文件是不会在这里添加启动项的,即使有的系统文件在这里的启动项被取消了,它也会自动恢复 这样做还有个好处,极大地节约系统资源,减少开机时间.谁愿意一开机,什么QQ\讯雷就一股脑的往外窜?).

4,还是在"系统配置实用程序"中,调到服务选项卡,勾选"隐藏所有 microsoft 服务",剩下的十有八九是病毒了(当然还有可能是杀毒软件之类),取消除杀毒软件的一切非microsoft 服务,再点确定.

5,如果在启动里,有你确信是病毒的文件,请记下它的位置,然后 打开命令提示符 (开始-运行-cmd 回车),用DEL命令删除它的病毒文件 比如c:\windows\1.exe,就输入命令del c:\windows\1.exe 回车.上面显示"找不到文件" 就证明成功删除了.

6,如果在服务里遇到确信的病毒,请打开控制面板-性能和维护-管理工具-服务,找到病毒的服务,打开它的属性,就能看到病毒的真面目,同样用DEL命令,删除它

(嫌麻烦可以不做 5,6两步.做完3,4两步后,病毒已经不再发作)

OK 基本完成了我们的工作.

你说的 在Windows下找不到 可能是它被设置为了隐藏.显示的办法是 打开"我的电脑",选择 工具-文件夹选项-查看
,选择"显示所有文件和文件夹",取消"隐藏受保护的操作系统文件" 这样所有的文件都能显示出来了.

如果你觉的还不保险,请继续完成下面两个步骤:
7,开始-程序-启动 删除里面的启动项
8,找到C;盘下的 autoexec.bat,删除它(不嫌麻烦就右键单击点编辑.清空里面的可疑内容,再保存).这个文件也可能被黑客利用,使病毒开机启动

说完了.以上内容(不包括第2条.我杀毒从来不用软件,用手~) 可以查杀各种病毒,即使杀毒软件查不出来的,我们也能查杀.这是通用的办法.熊猫烧香我也杀过,大体过程也是这样,但略麻烦一点,需要对付各个硬盘下的autorun.inf文件
所以说,学会我讲的这些,胜过花300块钱买套正版杀毒软件!
我有很丰富的反病毒经验,如果还有不明白,可以加QQ89525213,随便问(其他网友也欢提问)~ 我优点没有,就是喜欢帮助人.

另外的杀法：

（安全模式下(开机后不断 按F8键 然后出来一个高级菜单 选择第一项 安全模式 进入系统)

打开sreng
“启动项目”-“服务”-“Win32服务应用程序”中点“隐藏经认证的微软项目”，
选中以下项目，点“删除服务”，再点“设置”，在弹出的框中点“否”：

Windows SystemDown / WindowsDown

双击我的电脑，工具，文件夹选项，查看，单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件（推荐）"前面的钩。在提示确定更改时，单击“是” 然后确定
然后删除C:\WINDOWS\system32\servet.exe）

开机CPU就是100％，查进程，原来是cmd.exe 占用了绝大部分的CPU。关闭cmd.exe后，CPU实用率恢复正常。但是再次开机的时候，CPU又是100％，cmd.exe 依然占用了绝大部分的CPU。

在运行里面输入1.exe 4.exe能出来说明这两个文件是在 windows 或 windows\system32 目录下.
1.装了ewido 查杀木马，查出了几个感染目标，已删除。但是今
天早上开机，CPU又是100％，cmd.exe 依然占用了绝大部分的CPU。

2.再装“木马清除专家2006”，查杀，结果没有发现木马。

3.查system 32 中的 CMD.EXE 大小，结果如下：
CMD.EXE 大小：459 KB (470,016 字节)
占用空间：460 KB (471,040 字节)

应该没有异常。

解决方法：

如果出现这种情况，很不幸，你99％是中了木马了。不过不妨继续验证一下，假定你的windows安装盘位于C:\，并且需要你在文件查看选项中打开查看隐藏文件的选项和显示所有文件扩展名的选项，则

查看你的c:\Program Files\Internet Explorer\PLUGINS\目录，应该会发现有new123.bak和new123.sys两个文件；
查看你的C:\Documents and Settings\Administrator\Local Settings\Temp\目录，应该会发现有MicroSoft.bat这个文件；你可以用记事本打开MicroSoft.bat文件，发现其中提到一个exe文件（具体名称会有不同），你也会在该目录下发现这个exe文件；
如果以上两步你并未发现相应文件，请将你的文件查看改为不隐藏已知文件后缀，并在系统盘内进行文件搜索，确认是否的确没有相关的文件。

木马描述
该木马主要是因为用户安装了嵌入木马程序的安装程序所致，这些安装程序极有可能是你在一些不知名的下载网站上下载的一些应用程序（比如qq的一些版本等）。该木马利用安装程序在没有提醒用户的情况下在IE的插件中安装了实为木马的IE插件。使得一般的杀毒和杀马程序无法识别。并且当你运行一些需要调用IE的一些程序时自动调用该木马插件，所以才出现“症状描述”中所描述的情况。

该木马的母体就是new123.sys，属于Trojan-PSW.Win32.Delf.mc，可能会偷取你的一些应用的帐号和密码。

木马清除
该木马可以很方便的手工清除，过程如下：

打开“任务管理器”，在“进程”中结束cmd.exe的运行，此时CPU占用率会明显下降；
进入C:\Documents and Settings\Administrator\Local Settings\Temp\目录，删除MicroSoft.bat这个文件中所提到的exe文件和该bat文件；（这一步不做也没有问题，但最好清除掉）
进入c:\Program Files\Internet Explorer\PLUGINS\目录，删除new123.bak文件，但此时你无法删除new123.sys文件，因为系统正在使用，你有两种方式处理new123.sys文件：
重启机器并进入安全模式对new123.sys进行删除；
当前状态虽无法删除该文件，但可更改new123.sys的文件名为new123.sysdel，并且重启机器（无需进入安全模式）后，再把new123.sysdel进行删除。
处理完后，如果“症状描述”中的情况消失，则说明清除成功。

XP系统里并没有cmd.exe的进程，cmd.exe是XP系统的命令提示符程序，可以执行一些在DOS下执行的应用程序，但是并不会随系统启动时运行，这有可能是个木马或者其他病毒程序，建议查杀

1、如果安装文件就在硬盘上，而且系统是从硬盘的安装目录装的，那先将这个安装目录改个名字

2、删除c:\winnt\system32\dllcache\cmd.exe，

3、然后再删除system32\cmd.exe

4、系统会提示说系统文件丢失要求插入光盘，忽略就行了

---

cmd.exe病毒视频