解决cmd.exe的 木马病毒
该木马可以很方便的手工清除,过程如下:打开“任务管理器”,在“进程”中结束cmd.exe的运行,此时CPU占用率会明显下降;进入C:\Documents and Settings\Administrator\Local Settings\Temp\目录,删除MicroSoft.bat这个文件中所提到的exe文件和该bat文件;(这一步不做也没有问题,但最好清除掉)进入c:\Program Files\Internet Explorer\PLUGINS\目录,删除new123.bak文件,但此时你无法删除new123.sys文件,因为系统正在使用,你有两种方式处理new123.sys文件:重启机器并进入安全模式对new123.sys进行删除;当前状态虽无法删除该文件,但可更改new123.sys的文件名为new123.sysdel,并且重启机器(无需进入安全模式)后,再把new123.sysdel进行删除。处理完后,如果“症状描述”中的情况消失,则说明清除成功。
这个病毒主要靠油盘等传播,我自己也中了好几回,还是比较麻烦的,解决的办法就是,别插来路不明的油盘,下面给出手动杀毒办法:
首先调出“任务管理器”,如果发现有两个lsass.exe进程,则基本可以确定你中招了。
注意:操作一定用资源管理器进入盘符,清除毒之前千万不能用我的电脑打开盘符否则从头再来!!!
确定中招后,不急。重启进“安全模式”
我的电脑-查看-文件夹选项-去掉隐藏受保护的操作系统文件,然后选“显示所有文件和文件夹”
进“任务管理器”找到所有的cmd.exe进程,全部终结(没有就不管)。
进入服务,停止和禁用Kerberos服务。
用资源管理器进入c:\盘删autorun.*、进windows目录删lsass.exe
如见cmd.exe.exe,和regedit.exe.exe全删
重启电脑:用资源管理器(千万不能用我的电脑打开C盘!!!)
从C:\WINDOWS\system32\dllcacheegedit.exe复制到C:\WINDOWSegedit.exe
从C:\WINDOWS\system32\dllcache\cmd.exe复制到C:\WINDOWS\system32\cmd.exe
(如果没有的也不要紧)
把regedit.exe改名字(一定要改),随便改123.exe然后双击打开,(一定要双击123.exe打开注册表编辑)
”
打开下面的项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
Image File Execution Options]
如存在如下项删除:
cmd.exe
cmd.com
msconfig.exe
msconfig.com
regedit.exe
regedit.com
regedt32.exe
关闭注册表。把名字改回来regedit.exe(改不回来没事,系统regedit.exe有时会自动恢复的,这样把123.exe删了就行,放着也没事)
在C盘(必须)根目录下新建一个文本文件,重命名为123.bat内容如下(作用是删runauto..等等垃圾,里面有停Kerberos服务的不写也可,假设你有C、D、E三个盘文件如下):
cd\
del /f/q/a autorun.*
rd/s/q runauto...\
d:
del /f/q/a autorun.*
rd/s/q runauto...\
e:
del /f/q/a autorun.*
rd/s/q runauto...\
net stop kkdc
sc stop kkdc
sc delete kkdc
del /f/q/a %systemroot%\cmd.exe.exe
del /f/q/a %systemroot%\lsass.exe
del /f/q/a %systemroot%egedit.exe.exe
del /f/q/a %systemroot%\setuprs1.pif
保存,退出。然后双击执行。
重启,一切OK!
PS.有些人可能会无法打开msconfig
从C:\WINDOWS\system32\dllcache\msconfig.exe复制到:\WINDOWS\pchealth\helpctr\binaries\msconfig.exe覆盖原有文件即可。还有一些中招者的WINDOWS目录下可能会出现几个隐藏文件:r.exe r0.exe r00.exe r007.exe……等随机出现的r开头的exe
祝你成功!
---------------------------------------------------------
回liting841111
lsass是windows正常的服务大概1m多,病毒lsass是在windows目录里的要大很多,要删除必须停止和禁用Kerberos服务或到安全模式才能删除,必须按我上面步骤都是有逻辑关联的一步不能差,有些没有的就略过向下走,一定过一遍。病毒原理我简单说一下你就明白了:根目录下autorun指向runauto..目录中的病毒,所以凡用“我的电脑”双击盘符进入盘就染上了。更改注册表,把rgedit、msconfig、cmd都指向病毒,所以都用不了。cmd、regedit都加了个exe。启用了Kerberos服务病毒驻留内存任何盘都染上包括u盘(软盘好像没事)。runauto..删不掉因为它真实目录是runauto...\所以windows认为有非法字符进不去的。到dos里rd/s/q c:unauto...\立马删掉,不过不按我的流程,删了也没用,马上就恢复了。
你好,建议你用腾讯电脑管家中的杀毒模块全盘查杀一下,如果不行还可以在网上下载
cmd.exe病毒查杀工具,网上有针对cmd.exe病毒查杀的软件
更多问题请到电脑管家企业平台进行提问
您好
cmd.exe是系统执行命令的一个程序,本身并非是病毒
建议您可以到腾讯电脑管家官网下载电脑管家
然后使用电脑管家——杀毒——全盘查杀,检测一下
电脑管家拥有2大云杀毒引擎和全国最大的云病毒库,如果该程序中带有木马病毒,电脑管家一定可以及时为您找出来并彻底根除。
如果还有其他疑问和问题,欢迎再次来电脑管家企业平台进行提问,我们将尽全力为您解答疑难
腾讯电脑管家企业平台:http://zhidao.baidu.com/c/guanjia/
解决cmd.exe的 木马病毒视频
相关评论:
