如何防止中cmd.exe病毒
最近我的电脑老是中CMD.EXE病毒,进程中一出现这个电脑就死慢,重新恢复系统后,不到两天又会出现.现在平均一天恢复一次系统,火大了,装了正版的诺顿也没有用,谁知道该病毒...
最近我的电脑老是中CMD.EXE病毒,进程中一出现这个电脑就死慢,重新恢复系统后,不到两天又会出现.现在平均一天恢复一次系统,火大了,装了正版的诺顿也没有用,谁知道该病毒的传播途径和防范方法呀.多谢了!!
展开
5个回答
展开全部
这个病毒主要靠油盘等传播,我自己也中了好几回,还是比较麻烦的,解决的办法就是,别插来路不明的油盘,下面给出手动杀毒办法:
首先调出“任务管理器”,如果发现有两个lsass.exe进程,则基本可以确定你中招了。
注意:操作一定用资源管理器进入盘符,清除毒之前千万不能用我的电脑打开盘符否则从头再来!!!
确定中招后,不急。重启进“安全模式”
我的电脑-查看-文件夹选项-去掉隐藏受保护的操作系统文件,然后选“显示所有文件和文件夹”
进“任务管理器”找到所有的cmd.exe进程,全部终结(没有就不管)。
进入服务,停止和禁用Kerberos服务。
用资源管理器进入c:\盘删autorun.*、进windows目录删lsass.exe
如见cmd.exe.exe,和regedit.exe.exe全删
重启电脑:用资源管理器(千万不能用我的电脑打开C盘!!!)
从C:\WINDOWS\system32\dllcache\regedit.exe复制到C:\WINDOWS\regedit.exe
从C:\WINDOWS\system32\dllcache\cmd.exe复制到C:\WINDOWS\system32\cmd.exe
(如果没有的也不要紧)
把regedit.exe改名字(一定要改),随便改123.exe然后双击打开,(一定要双击123.exe打开注册表编辑)
”
打开下面的项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
Image File Execution Options]
如存在如下项删除:
cmd.exe
cmd.com
msconfig.exe
msconfig.com
regedit.exe
regedit.com
regedt32.exe
关闭注册表。把名字改回来regedit.exe(改不回来没事,系统regedit.exe有时会自动恢复的,这样把123.exe删了就行,放着也没事)
在C盘(必须)根目录下新建一个文本文件,重命名为123.bat内容如下(作用是删runauto..等等垃圾,里面有停Kerberos服务的不写也可,假设你有C、D、E三个盘文件如下):
cd\
del /f/q/a autorun.*
rd/s/q runauto...\
d:
del /f/q/a autorun.*
rd/s/q runauto...\
e:
del /f/q/a autorun.*
rd/s/q runauto...\
net stop kkdc
sc stop kkdc
sc delete kkdc
del /f/q/a %systemroot%\cmd.exe.exe
del /f/q/a %systemroot%\lsass.exe
del /f/q/a %systemroot%\regedit.exe.exe
del /f/q/a %systemroot%\setuprs1.pif
保存,退出。然后双击执行。
重启,一切OK!
PS.有些人可能会无法打开msconfig
从C:\WINDOWS\system32\dllcache\msconfig.exe复制到:\WINDOWS\pchealth\helpctr\binaries\msconfig.exe覆盖原有文件即可。还有一些中招者的WINDOWS目录下可能会出现几个隐藏文件:r.exe r0.exe r00.exe r007.exe……等随机出现的r开头的exe
祝你成功!
---------------------------------------------------------
回liting841111
lsass是windows正常的服务大概1m多,病毒lsass是在windows目录里的要大很多,要删除必须停止和禁用Kerberos服务或到安全模式才能删除,必须按我上面步骤都是有逻辑关联的一步不能差,有些没有的就略过向下走,一定过一遍。病毒原理我简单说一下你就明白了:根目录下autorun指向runauto..目录中的病毒,所以凡用“我的电脑”双击盘符进入盘就染上了。更改注册表,把rgedit、msconfig、cmd都指向病毒,所以都用不了。cmd、regedit都加了个exe。启用了Kerberos服务病毒驻留内存任何盘都染上包括u盘(软盘好像没事)。runauto..删不掉因为它真实目录是runauto...\所以windows认为有非法字符进不去的。到dos里rd/s/q c:\runauto...\立马删掉,不过不按我的流程,删了也没用,马上就恢复了。
首先调出“任务管理器”,如果发现有两个lsass.exe进程,则基本可以确定你中招了。
注意:操作一定用资源管理器进入盘符,清除毒之前千万不能用我的电脑打开盘符否则从头再来!!!
确定中招后,不急。重启进“安全模式”
我的电脑-查看-文件夹选项-去掉隐藏受保护的操作系统文件,然后选“显示所有文件和文件夹”
进“任务管理器”找到所有的cmd.exe进程,全部终结(没有就不管)。
进入服务,停止和禁用Kerberos服务。
用资源管理器进入c:\盘删autorun.*、进windows目录删lsass.exe
如见cmd.exe.exe,和regedit.exe.exe全删
重启电脑:用资源管理器(千万不能用我的电脑打开C盘!!!)
从C:\WINDOWS\system32\dllcache\regedit.exe复制到C:\WINDOWS\regedit.exe
从C:\WINDOWS\system32\dllcache\cmd.exe复制到C:\WINDOWS\system32\cmd.exe
(如果没有的也不要紧)
把regedit.exe改名字(一定要改),随便改123.exe然后双击打开,(一定要双击123.exe打开注册表编辑)
”
打开下面的项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
Image File Execution Options]
如存在如下项删除:
cmd.exe
cmd.com
msconfig.exe
msconfig.com
regedit.exe
regedit.com
regedt32.exe
关闭注册表。把名字改回来regedit.exe(改不回来没事,系统regedit.exe有时会自动恢复的,这样把123.exe删了就行,放着也没事)
在C盘(必须)根目录下新建一个文本文件,重命名为123.bat内容如下(作用是删runauto..等等垃圾,里面有停Kerberos服务的不写也可,假设你有C、D、E三个盘文件如下):
cd\
del /f/q/a autorun.*
rd/s/q runauto...\
d:
del /f/q/a autorun.*
rd/s/q runauto...\
e:
del /f/q/a autorun.*
rd/s/q runauto...\
net stop kkdc
sc stop kkdc
sc delete kkdc
del /f/q/a %systemroot%\cmd.exe.exe
del /f/q/a %systemroot%\lsass.exe
del /f/q/a %systemroot%\regedit.exe.exe
del /f/q/a %systemroot%\setuprs1.pif
保存,退出。然后双击执行。
重启,一切OK!
PS.有些人可能会无法打开msconfig
从C:\WINDOWS\system32\dllcache\msconfig.exe复制到:\WINDOWS\pchealth\helpctr\binaries\msconfig.exe覆盖原有文件即可。还有一些中招者的WINDOWS目录下可能会出现几个隐藏文件:r.exe r0.exe r00.exe r007.exe……等随机出现的r开头的exe
祝你成功!
---------------------------------------------------------
回liting841111
lsass是windows正常的服务大概1m多,病毒lsass是在windows目录里的要大很多,要删除必须停止和禁用Kerberos服务或到安全模式才能删除,必须按我上面步骤都是有逻辑关联的一步不能差,有些没有的就略过向下走,一定过一遍。病毒原理我简单说一下你就明白了:根目录下autorun指向runauto..目录中的病毒,所以凡用“我的电脑”双击盘符进入盘就染上了。更改注册表,把rgedit、msconfig、cmd都指向病毒,所以都用不了。cmd、regedit都加了个exe。启用了Kerberos服务病毒驻留内存任何盘都染上包括u盘(软盘好像没事)。runauto..删不掉因为它真实目录是runauto...\所以windows认为有非法字符进不去的。到dos里rd/s/q c:\runauto...\立马删掉,不过不按我的流程,删了也没用,马上就恢复了。
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
展开全部
估计你的其他盘(非系统盘)感染了利用AUTORUN.INF 死灰复燃的病毒.
建议在重新恢复系统后,不要直接双击打开D盘等,而是将文件夹工具条中选中:
工具--文件夹选项--查看---接下去把这“显示系统文件夹内容”“显示隐藏文件”勾上,把“隐藏受保护的文件”选项去掉勾,确定
这个时候,再右击 D盘,选择较下面的“打开”(如果只有一个打开,没有AUTO或者两个打开可以选择上面的打开),查看有没AUTORUN.INF 有的话删除它,然后在空白处新建文件夹,将文件夹改名为:autorun.inf(原理:WINDOWS同一目录下不能同时存在同名的文件与文件夹,病毒想生成文件名为AUTORUN.INF已经没办法生成了。
经过这样设置 后,以后即使感染了利用AUTORUN来运行的病毒,恢复系统后不会再感染了
当然还有一些其他的技巧可以留言给我
建议在重新恢复系统后,不要直接双击打开D盘等,而是将文件夹工具条中选中:
工具--文件夹选项--查看---接下去把这“显示系统文件夹内容”“显示隐藏文件”勾上,把“隐藏受保护的文件”选项去掉勾,确定
这个时候,再右击 D盘,选择较下面的“打开”(如果只有一个打开,没有AUTO或者两个打开可以选择上面的打开),查看有没AUTORUN.INF 有的话删除它,然后在空白处新建文件夹,将文件夹改名为:autorun.inf(原理:WINDOWS同一目录下不能同时存在同名的文件与文件夹,病毒想生成文件名为AUTORUN.INF已经没办法生成了。
经过这样设置 后,以后即使感染了利用AUTORUN来运行的病毒,恢复系统后不会再感染了
当然还有一些其他的技巧可以留言给我
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
展开全部
你好:
其实没有CMD病毒这种病毒的,你的情况是其它病毒调用CMD来做坏事
因为CMD执行的是批处理命令,杀软不知道是程序执行,还是人为执行的,所以无法拦截
你可以访问腾讯电脑管家官网,下载安装一个电脑管家来保护你的系统
它的实时防护部分包含了16层的防护体系
对于木马病毒入侵系统可能使用的途径都进行了有效的防御
可以让你远离木马和病毒的困扰
如果以后有什么问题,欢迎再来电脑管家企业平台询问,我们会尽心为您解答
本回答被网友采纳
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
更多回答(3)
推荐律师服务:
若未解决您的问题,请您详细描述您的问题,通过百度律临进行免费专业咨询
