SiS001! Board - [第一会所关闭注册]

标题: [求助] 求助哦关于CMD的问题 [打印本页]

作者: wode123x 时间: 2007-3-14 17:03 标题: 求助哦关于CMD的问题

最近打开机器在机器系统进程里总是出现CMD.EXE这个进程 CUP利用率总是90~100% 结束进程后就会恢复但系统里会出现许多奇怪的进程瑞星卡吧等都杀不出来网上的那些解决办法别如修复注册表删除NEWS123.SYS等都试了还是解决不了请高手指点一下怎么彻底删除还不想重装系统..

作者: qwer103 时间: 2007-3-15 02:10

可以用c-av2杀。很好用

作者: cfiget 时间: 2007-3-15 02:17

应是中了CMD木马
检查你的:\DOCUME~1\XXX\LOCALS~1\Temp\microsoft.bat，该bat文件内容应如下
　　try
　　del "C:\DOCUME~1\XXX\LOCALS~1\Temp\asas.exe"
　　if exist "C:\DOCUME~1\XXX\LOCALS~1\Temp\asas.exe" goto try
　　del %0
　在安全模式下删除C:\\Program Files\\Internet Explorer\\PLUGINS中的new123命名的三个文件（后缀名不同），到C:\DOCUME~1\XXX\LOCALS~1\Temp\删除microsoft.bat，asas.exe文件，并且再搜索一下注册表关于new123的信息全部删除后重新启动即可解决。
这个木马确实比较高明，卡巴斯基最新版，木马克星最新版都不能发现
　

作者: AVMIX200 时间: 2007-3-15 08:40

用江民2007和木马杀客查杀就能够搞定。特别是江民的未知病毒查杀功能很好用！我还没有碰上不能杀的病毒！

作者: hyd718 时间: 2007-3-15 12:42

建议关闭网络共享，改一个强健的管理员密码。
用专杀工具杀毒。

如果杀毒完毕存在这样的问题，是杀毒软件没有搞定，留下的后遗症：
d、e、f、g盘（如果有的话）双击不能直接打开，说Windows无法找到COMMAND.EXE文件，
要求定位该文件，定位为C:\windows\explorer之后每次打开会提示“/StartExplorer”
出错，然后依然能打开驱动器文件夹。
病毒在你的每个驱动器下面写入了一个AutoRun.inf文件内容为：
open="X:\command.exe" /StartExplorer X为驱动器盘符
所以，如果你没有杀毒，每次点开/D/E/F/G盘都会激活病毒
解决方法如下(以D盘为例)：
开始
运行
cmd（打开命令提示符）
D:
dir /a （没有参数A是看不到的，A是显示所有的意思）
此时你会发现一个autorun.inf文件，约49字节
attrib autorun.inf -s -h -r 去掉autorun.inf文件的系统、只读、隐藏属性，否则无法

删除
del autorun.inf
del autorun.inf
到这里还没完，因为你双击了D盘盘符没有打开却得到一个错误。要求定位command.exe，

这个时候自动运行的信息已经加入注册表了。下面清除注册表中相关信息：
开始
运行
regedit
编辑
查找
command.exe
找到的第一个就是D盘的自动运行，删除整个shell子键
完毕，双击D盘。
重复以上操作数次，解决其他驱动器的问题，注册表中的信息是在一起的，在删除D盘

Shell\Open\Autorun的时候顺便都删除了吧。

作者: soryuhir 时间: 2007-3-15 15:09

应该是被江民命名为“落雪”的木马
江民网站上有专杀工具

作者: fox_ange 时间: 2007-3-15 15:40

引用:

原帖由 lvfengg 于 2007-3-15 12:43 PM 发表
system32目录下的cmd.exe，右键，权限，删除所有人的权限，重启，此时任何人——包括系统也将不能运行cmd.exe，不用装任何杀毒解决问题~

这个办法不太好，等于一棒子全打死了，自己想用的时候也不能用了；而且中的木马依然存在，还不知道它有什么其他危害没

欢迎光临 SiS001! Board - [第一会所关闭注册] (http://23.225.172.93/bbs1/)