如何防止中cmd.exe病毒
这个病毒主要靠油盘等传播,我自己也中了好几回,还是比较麻烦的,解决的办法就是,别插来路不明的油盘,下面给出手动杀毒办法:
首先调出“任务管理器”,如果发现有两个lsass.exe进程,则基本可以确定你中招了。
注意:操作一定用资源管理器进入盘符,清除毒之前千万不能用我的电脑打开盘符否则从头再来!!!
确定中招后,不急。重启进“安全模式”
我的电脑-查看-文件夹选项-去掉隐藏受保护的操作系统文件,然后选“显示所有文件和文件夹”
进“任务管理器”找到所有的cmd.exe进程,全部终结(没有就不管)。
进入服务,停止和禁用Kerberos服务。
用资源管理器进入c:\盘删autorun.*、进windows目录删lsass.exe
如见cmd.exe.exe,和regedit.exe.exe全删
重启电脑:用资源管理器(千万不能用我的电脑打开C盘!!!)
从C:\WINDOWS\system32\dllcache\regedit.exe复制到C:\WINDOWS\regedit.exe
从C:\WINDOWS\system32\dllcache\cmd.exe复制到C:\WINDOWS\system32\cmd.exe
(如果没有的也不要紧)
把regedit.exe改名字(一定要改),随便改123.exe然后双击打开,(一定要双击123.exe打开注册表编辑)
”
打开下面的项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
Image File Execution Options]
如存在如下项删除:
cmd.exe
cmd.com
msconfig.exe
msconfig.com
regedit.exe
regedit.com
regedt32.exe
关闭注册表。把名字改回来regedit.exe(改不回来没事,系统regedit.exe有时会自动恢复的,这样把123.exe删了就行,放着也没事)
在C盘(必须)根目录下新建一个文本文件,重命名为123.bat内容如下(作用是删runauto..等等垃圾,里面有停Kerberos服务的不写也可,假设你有C、D、E三个盘文件如下):
cd\
del /f/q/a autorun.*
rd/s/q runauto...\
d:
del /f/q/a autorun.*
rd/s/q runauto...\
e:
del /f/q/a autorun.*
rd/s/q runauto...\
net stop kkdc
sc stop kkdc
sc delete kkdc
del /f/q/a %systemroot%\cmd.exe.exe
del /f/q/a %systemroot%\lsass.exe
del /f/q/a %systemroot%\regedit.exe.exe
del /f/q/a %systemroot%\setuprs1.pif
保存,退出。然后双击执行。
重启,一切OK!
PS.有些人可能会无法打开msconfig
从C:\WINDOWS\system32\dllcache\msconfig.exe复制到:\WINDOWS\pchealth\helpctr\binaries\msconfig.exe覆盖原有文件即可。还有一些中招者的WINDOWS目录下可能会出现几个隐藏文件:r.exe r0.exe r00.exe r007.exe……等随机出现的r开头的exe
祝你成功!
---------------------------------------------------------
回liting841111
lsass是windows正常的服务大概1m多,病毒lsass是在windows目录里的要大很多,要删除必须停止和禁用Kerberos服务或到安全模式才能删除,必须按我上面步骤都是有逻辑关联的一步不能差,有些没有的就略过向下走,一定过一遍。病毒原理我简单说一下你就明白了:根目录下autorun指向runauto..目录中的病毒,所以凡用“我的电脑”双击盘符进入盘就染上了。更改注册表,把rgedit、msconfig、cmd都指向病毒,所以都用不了。cmd、regedit都加了个exe。启用了Kerberos服务病毒驻留内存任何盘都染上包括u盘(软盘好像没事)。runauto..删不掉因为它真实目录是runauto...\所以windows认为有非法字符进不去的。到dos里rd/s/q c:\runauto...\立马删掉,不过不按我的流程,删了也没用,马上就恢复了。
cmd.exe病毒的木马清除
该木马可以很方便的手工清除,过程如下:打开“任务管理器”,在“进程”中结束cmd.exe的运行,此时CPU占用率会明显下降;进入C:\Documents and Settings\Administrator\Local Settings\Temp\目录,删除MicroSoft.bat这个文件中所提到的exe文件和该bat文件;(这一步不做也没有问题,但最好清除掉)进入c:\Program Files\Internet Explorer\PLUGINS\目录,删除new123.bak文件,但此时你无法删除new123.sys文件,因为系统正在使用,你有两种方式处理new123.sys文件:重启机器并进入安全模式对new123.sys进行删除;当前状态虽无法删除该文件,但可更改new123.sys的文件名为new123.sysdel,并且重启机器(无需进入安全模式)后,再把new123.sysdel进行删除。处理完后,如果“症状描述”中的情况消失,则说明清除成功。
如何通过cmd删除电脑病毒
不使用杀毒软件是如何删除病毒的呢?那么不使用杀毒软件去删除病毒的方法是什么呢?下面是我收集整理的如何通过cmd删除电脑病毒,希望对大家有帮助~~ 通过cmd删除电脑病毒的方法 工具/原料 电脑 方法/步骤 以管理员身份运行cmd,输入cd/ 输入attrib,检查可疑的文件i,e.exe 和 .inf 文件,运行attrib命令并且检查,暂停cmd屏幕按暂停键[break],返回按[backspace]键 使用"attrib -s -h -r -a -i 文件名.扩展名(比如 sscv.exe或者 autorun.inf)"命令去改变SHR文件的属性 输入"del 文件名.扩展名"删除文件
CMD.exe病毒怎么解,求大神赐教,老方法对我的电脑不管用
您好1,cmd.exe 病毒是比较头痛的一种占用大量cpu资源的病毒,常常伪装成系统程序cmd.exe进行运行。2,中了这种病毒先到电脑管家官网下载一个电脑管家。3,然后使用电脑管家杀毒功能全盘查杀,根据提示将该病毒感染目标清理掉。4,再使用电脑管家——工具箱——顽固木马可行,勾选上深度扫描,对该病毒进行深度扫描清理,再重启电脑即可。如果还有其他疑问和问题,欢迎再次来电脑管家企业平台进行提问,我们将尽全力为您解答疑难
win7系统下中了CMD.EXE病毒怎么解决?
确认百分百是病毒,破解版被做过手脚了。建议更换系统或者强制删除。
方法如下:
1、打开“开始”菜单,选择“运行”选项,在打开的对话框中输入gpedit.msc,按“确定”键;更多精彩内容欢迎继续关注系统城官网www.xitongcheng.com!
2、在打开的组策略管理器左侧依次展开计算机配置、管理模板、系统、系统还原选项;
3、在右侧界面中,双击“关闭系统还原”选项,打开设置对话框;
4、在打开的对话框中,勾选“已启用”选项,点击确定,关闭该对话框;
5、在组策略管理器中,依次展开计算机配置、管理模板、Windows组件、Windows Installer;
6、在右侧界面中,双击打开“关闭创建系统还原检查点”选项;
7、在打开的对话框中,勾选“已启用”选项,点击确定,退出对话框;
8、鼠标点击win7系统“开始”菜单,选择“运行”选项,在弹出的对话框中输入cmd,点击确定键;
9、输入如下的代码:cacls “c:\System Volume Information” /g everyone:f,点击回车键,完成删除。
cmd.exe病毒的清除方法
cmd.exe病毒进程清除方法 开机CPU就是100%,查进程,原来是cmd.exe占用了绝大部分的CPU。关闭cmd.exe后,CPU实用率恢复正常。1.装了ewido 查杀木马,查出了几个感染目标,已删除。但是今天早上开机,CPU又是100%,cmd.exe 依然占用了绝大部分的CPU。2.再装“木马清除专家2006”,查杀,结果没有发现木马。3.查system 32 中的 CMD.EXE 大小,结果如下:CMD.EXE 大小:459 KB (470,016字节)占用空间:460 KB (471,040字节)应该没有异常。 如果出现这种情况,很不幸,你99%是中了木马了。不过不妨继续验证一下,假定你的windows安装盘位于C:\,并且需要你在文件查看选项中打开查看隐藏文件的选项和显示所有文件扩展名的选项,则应该会发现有MicroSoft.bat这个文件;你可以用记事本打开MicroSoft.bat文件,发现其中提到一个exe文件(具体名称会有不同),你也会在该目录下发现这个exe文件;如果以上两步你并未发现相应文件,请将你的文件查看改为不隐藏已知文件后缀,并在系统盘内进行文件搜索,确认是否的确没有相关的文件。
怎样在运行CMD中杀毒
CMD下手动杀毒(做为参考)2007年03月03日 星期六 19:13TASKLIST
描述:
这个命令行工具显示应用程序和本地
或远程系统上运行的相关任务/进程的
列表。
参数列表:
/S system 指定连接到的远程系统。
/U [domain\]user 指定应该在哪个用户上下文
执行这个命令。
/P [password] 为提供的用户上下文指定
密码。如果忽略,提示输入。
/M [module] 列出所有其中符合指定模式名
的 DLL 模块的所有任务。
如果没有指定模块名,则
显示每个任务加载的所有模块。
/SVC 显示每个进程中的服务。
/V 指定要显示详述
信息。
/FI filter 显示一系列符合筛选器指定的标准
的任务。
/FO format 指定输出格式。
有效值: "TABLE"、"LIST"、"CSV"。
/NH 指定栏标头不应该在
输出中显示。
只对 "TABLE" 和 "CSV" 格式有效。
/? 显示帮助/用法。
筛选器:
筛选器名 有效操作符 有效值
----------- --------------- --------------
STATUS eq, ne 正在运行 | 没有响应
IMAGENAME eq, ne 图像名
PID eq, ne, gt, lt, ge, le PID 值
SESSION eq, ne, gt, lt, ge, le 会话编号
SESSIONNAME eq, ne 会话名
CPUTIME eq, ne, gt, lt, ge, le CPU 时间,格式为
hh:mm:ss。
hh - 时,
mm - 分,ss - 秒
MEMUSAGE eq, ne, gt, lt, ge, le 内存使用量(KB)
USERNAME eq, ne 用户名,格式为 [domain\]user
SERVICES eq, ne 服务名
WINDOWTITLE eq, ne 窗口标题
MODULES eq, ne DLL 名
例如:
TASKLIST
TASKLIST /M
TASKLIST /V
TASKLIST /SVC
TASKLIST /M wbem*
TASKLIST /S system /FO LIST
TASKLIST /S system /U domain\username /FO CSV /NH
TASKLIST /S system /U username /P password /FO TABLE /NH
TASKLIST /FI "USERNAME ne NT AUTHORITY\SYSTEM" /FI "STATUS eq running"
此功能可以在cmd下显示进程,以及调用dll文件的进程等。对于某些有监控程序的病毒来说,这个功能不错!
TASKKILL
Microsoft Windows XP [版本 5.1.2600]
(C) 版权所有 1985-2001 Microsoft Corp.
C:\Documents and Settings\Administrator>taskkill /?
TASKKILL [/S system [/U username [/P [password]]]]
{ [/FI filter] [/PID processid | /IM imagename] } [/F] [/T]
描述:
这个命令行工具可用来结束至少一个进程。
可以根据进程 id 或图像名来结束进程。
参数列表:
/S system 指定要连接到的远程系统。
/U [domain\]user 指定应该在哪个用户上下文
执行这个命令。
/P [password] 为提供的用户上下文指定
密码。如果忽略,提示输入。
/F 指定要强行终止
进程。
/FI filter 指定筛选进或筛选出查询的
的任务。
/PID process id 指定要终止的进程的
PID。
/IM image name 指定要终止的进程的
图像名。通配符 '*'
可用来指定所有图像名。
/T Tree kill: 终止指定的进程
和任何由此启动的子进程。
/? 显示帮助/用法。
筛选器:
筛选器名 有效运算符 有效值
----------- --------------- --------------
STATUS eq, ne 运行 | 没有响应
IMAGENAME eq, ne 图像名
PID eq, ne, gt, lt, ge, le PID 值
SESSION eq, ne, gt, lt, ge, le 会话编号
CPUTIME eq, ne, gt, lt, ge, le CPU 时间,格式为
hh:mm:ss。
hh - 时,
mm - 钟,ss - 秒
MEMUSAGE eq, ne, gt, lt, ge, le 内存使用,单位为 KB
USERNAME eq, ne 用户名,格式为
[domain\]user
MODULES eq, ne DLL 名
SERVICES eq, ne 服务名
WINDOWTITLE eq, ne 窗口标题
注意: 只有带有筛选器的情况下,才能跟 /IM 切换使用通配符 '*'。
注意: 远程进程总是要强行终止,
不管是否指定了 /F 选项。
例如:
TASKKILL /S system /F /IM notepad.exe /T
TASKKILL /PID 1230 /PID 1241 /PID 1253 /T
TASKKILL /F /IM notepad.exe /IM mspaint.exe
TASKKILL /F /FI "PID ge 1000" /FI "WINDOWTITLE ne untitle*"
TASKKILL /F /FI "USERNAME eq NT AUTHORITY\SYSTEM" /IM notepad.exe
TASKKILL /S system /U domain\username /FI "USERNAME ne NT*" /IM *
TASKKILL /S system /U username /P password /FI "IMAGENAME eq note*"
可以在cmd下结束进程可以结合tasklist使用。
如何用cmd运行程序进行杀毒
如果你所说的CMD是指运行里输入CMD开启的命令提示符窗口的话,在那里面运行程序跟直接鼠标点击运行程序是没区别的。CMD里 “CD 文件夹名”,直到进入杀毒软件主程序的存放目录,然后输入杀毒软件主程序名.exe。如果你所谓的CMD是指从U盘或者什么方式启动的DOS环境的话,运行程序的方法跟上面类似,不过你首先得有一款能在DOS环境下运行的杀毒软件。
求助cmd病毒问题
中病毒了,建议在安全模式下杀毒,或者重新做系统。如果有备份,就恢复系统,装个杀软!!!做完系统别忘了备份,下次就不用那么麻烦了!!
方案一:.
重新启动计算机,按F8键
选择进入安全模式(非常重要,杀不干净与没进入安全模式有关).
1.把在windows文件夹中的rundll32.exe删除(假的,只有17K)。
2.把C盘里假的svchost.exe删除,兼一块删除ghook.dll。(真的在windows\system32里)
3.把windows\system32里新创建的可疑的.bat和.exe删除(我的是Deleteme.bat,Kietty.exe),还有wow.exe,rundll31.dll。(可能会有不同,注意当天创建的)
4.最后搜索注册表关于new123和ghook或MicroSoft.bat的所有键。HKEY_USERS\S-1-5-21-861567501-1383384898-682003330-500\Software\Microsoft\Search
Assistant
方案二:.
发现每当出现CMD.EXE进程之前都会出现bow.dll进程,通过搜索发现是在IE
PLUGINS中的一个控件,做好重装机器准备将其删除还有bow.bak和bow.sys结果CMD.EXE进程不见了!
另外把注册表中ExplorerBars->{C4EE31F3-4768-11D2-BE5C-00A0C9A83DA1}->FileNamedMRU中有关bow删除掉,顺便搜索一下其它键值是否也包含一起删除,以防万一.
方案三:360安全卫士.