cmd.exe病毒

cmd.exe病毒進程清除方法

開機CPU就是100%，查進程，原來是cmd.exe占用了絕大部分的CPU。關閉cmd.exe後，CPU使用率恢復正常。

1.裝了ewido 查殺木馬，查出了幾個感染目標，已刪除。但是今天早上開機，CPU又是100%，cmd.exe 依然占用了絕大部分的CPU。

2.再裝“木馬清除專家2006”，查殺，結果沒有發現木馬。

3.查system 32 中的 CMD.EXE 大小，結果如下：

CMD.EXE 大小：459 KB (470,016位元組)

占用空間：460 KB (471,040位元組)

應該沒有異常。

如果出現這種情況，很不幸，你99%是中了木馬了。不過不妨繼續驗證一下，假定你的windows安裝盤位於C:\，並且需要你在檔案查看選項中打開查看隱藏檔案的選項和顯示所有檔案擴展名的選項，則

應該會發現有MicroSoft.bat這個檔案；你可以用記事本打開MicroSoft.bat檔案，發現其中提到一個exe檔案（具體名稱會有不同），你也會在該目錄下發現這個exe檔案；

如果以上兩步你並未發現相應檔案，請將你的檔案查看改為不隱藏已知檔案後綴，並在系統盤內進行檔案搜尋，確認是否的確沒有相關的檔案。

該木馬主要是因為用戶安裝了嵌入木馬程式的安裝程式所致，這些安裝程式極有可能是你在一些不知名的下載網站上下載的一些應用程式（比如qq的一些版本等）。該木馬利用安裝程式在沒有提醒用戶的情況下在IE的外掛程式中安裝了實為木馬的IE外掛程式。使得一般的防毒和殺馬程式無法識別。並且當你運行一些需要調用IE的一些程式時自動調用該木馬外掛程式，所以才出現“症狀描述”中所描述的情況。

該木馬的母體就是new123.sys，屬於Trojan-PSW.Win32.，可能會偷取你的一些套用的帳號和密碼。

該木馬可以很方便的手工清除，過程如下：

打開“任務管理器”，在“進程”中結束cmd.exe的運行，此時CPU占用率會明顯下降；

進入C:\Documents and Settings\Administrator\Local Settings\Temp\目錄，刪除MicroSoft.bat這個檔案中所提到的exe檔案和該bat檔案；（這一步不做也沒有問題，但最好清除掉）

進入c:\Program Files\Internet Explorer\PLUGINS\目錄，刪除new123.bak檔案，但此時你無法刪除new123.sys檔案，因為系統正在使用，你有兩種方式處理new123.sys檔案：

重啟機器並進入安全模式對new123.sys進行刪除；

當前狀態雖無法刪除該檔案，但可更改new123.sys的檔案名稱為new123.sysdel，並且重啟機器（無需進入安全模式）後，再把new123.sysdel進行刪除。

處理完後，如果“症狀描述”中的情況消失，則說明清除成功。

1：XP系統里並沒有cmd.exe的進程，cmd.exe是XP系統的命令提示符程式，可以執行一些在DOS下執行的應用程式，但是並不會隨系統啟動時運行，這有可能是個木馬或者其他病毒程式，建議查殺

1）、如果安裝檔案就在硬碟上，而且系統是從硬碟的安裝目錄裝的，那先將這個安裝目錄改個名字

2）、刪除c:\winnt\system32\dllcache（沒有這個子檔案）\cmd.exe，

3）、然後再刪除system32\cmd.exe

4、系統會提示說系統檔案丟失要求插入光碟，忽略就行了

禁止運行命令解釋器和批處理檔案方法：通過修改註冊表，可以禁止用戶使用命令解釋器(CMD.exe)和運行批處理檔案(.bat檔案)。新建一個雙位元組(REG_DWORD)執行HKEY_CURRENT_USER\Software\Policies\ Microsoft\Windows\System\DisableCMD，修改其值為2，命令解釋器和批處理檔案都不能被運行。修改其值為1，則只是禁止命令解釋器的運行。 就是替換掉系統的cmd.exe檔案。但是由於此檔案受系統保護，所以必須用一種特殊的辦法。

至於那個用來替換cmd.exe的檔案，可以隨便找一個運行時候沒有什麼提示的東西就行。C:\Windows\system32下面有很多這樣的檔案，隨便找一個就行。替換方法是：首先刪除C:\WINDOWS\system32\Dllcache\下面的cmd.exe，然後儘快將C:\WINDOWS\system32\下面的cmd.exe替換成所需的檔案。當系統提示要求插入WINDOWS安裝光碟的時候，不要理他，直接單擊“取消”就可以了。

之後當你開始-〉運行-〉cmd的時候，dos視窗自然不會出現了

如何解決cmd.exe占CPU資源100%問題

造成機器運行很慢，關閉cmd.exe後，CPU使用率恢復正常。但是再次開機的時候，CPU又是100%，cmd.exe依然占用了絕大部分的CPU。

我只能講一下大概的思路了，因為當時沒有記錄和截圖。首先在資料夾查看選項中打開查看隱藏檔案的選項、顯示所有檔案擴展名和顯示受保護的作業系統檔案的選項。

1、從註冊表里刪除病毒添加的ShellExecuteHooks信息：打開註冊表找到[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]，

在實際情況中，圖中應該會出現除{AEB6717E-7E19-11d0-97EE-00C04FD91972}以外的其它可疑鍵值的，依次按步驟2檢查它們；

2、打開到註冊表[HKEY_CLASSES_ROOT\CLSID\{這裡是步驟1中提到的可疑鍵值}下，

然後依次檢查上圖中所示的每一個路徑指向的檔案，應該會有個檔案是以.sys結尾的系統驅動檔案，這個檔案應該是隱藏檔案，並且它的修改時間應該和該電腦出問題的時間差不多，而且在該檔案旁邊還會有和它的修改時間一樣的隱藏檔案，可以考慮將它們都刪除了，以觀後效。記得我當時是刪除了三個在C:\Program Files\Internet Explorer\Connection Wizard 下的隱藏檔案，就OK了。註：如果刪不掉，可以進安全模式刪除。

3、清除C:\Documents and Settings\你的用戶名\Local Settings\Temp\目錄下的所有垃圾檔案，因為裡面含有病毒釋放生成的執行檔案，當時我的情況是有兩個病毒釋放的檔案：_xiaran.bat和help.exe(這個是隱藏和系統檔案)。

4、重新啟動計算機，觀察5分鐘，如果不再出現“問題症狀”中描述的情況，說明清除成功了。