CMD.EXE病毒
已确定感染CMD.EXE病毒,且可以在windows任务管器删除,但生起后病毒仍然存在,RUN分支下没有该项,在[HKEY_LOCAL_MACHINE\SOFTWARE\...
已确定感染CMD.EXE病毒,且可以在windows任务管器删除,但生起后病毒仍然存在,RUN分支下没有该项,
在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] 发现可疑值:32 cd708b-60a7-4c00-9377-d73eaa495f0f,但在[HKEY_CLASSES_ROOT\CLSID\32 cd708b-60a7-4c00-9377-d73eaa495f0f]并未找到以".sys" 结尾的文件 展开
在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] 发现可疑值:32 cd708b-60a7-4c00-9377-d73eaa495f0f,但在[HKEY_CLASSES_ROOT\CLSID\32 cd708b-60a7-4c00-9377-d73eaa495f0f]并未找到以".sys" 结尾的文件 展开
2个回答
展开全部
造成机器运行很慢,关闭cmd.exe后,CPU使用率恢复正常。但是再次开机的时候,CPU又是100%,cmd.exe 依然占用了绝大部分的CPU。
问题分析:后经上网查找和后来证实,应该是中了一种传播Viking的QQ尾巴病毒了,这种木马病毒主要是因为用户安装了嵌入木马程序的安装程序所致,这些安装程序极有可能是你在一些不知名的下载网站上下载的一些应用程序(比如qq的一些版本等)。该木马利用安装程序在没有提醒用户的情况下在IE的插件中安装了实为木马的IE插件。使得一般的杀毒和杀马程序无法识别。并且当你运行一些需要调用IE的一些程序时自动调用该木马插件,所以才出现“问题症状”中所描述的情况。
解决方法:我只能讲一下大概的思路了,因为当时没有记录和截图。首先在文件夹查看选项中打开查看隐藏文件的选项、显示所有文件扩展名和显示受保护的操作系统文件的选项。
1、从注册表里删除病毒添加的ShellExecuteHooks信息:打开注册表找到[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks],
字串6
在实际情况中,图中应该会出现除{AEB6717E-7E19-11d0-97EE-00C04FD91972}以外的其它可疑键值的,依次按步骤2检查它们;
2、打开到注册表[HKEY_CLASSES_ROOT\CLSID\{这里是步骤1中提到的可疑键值}下,
然后依次检查上图中所示的每一个路径指向的文件,应该会有个文件是以.sys结尾的系统驱动文件,这个文件应该是隐藏文件,并且它的修改时间应该和该电脑出问题的时间差不多,而且在该文件旁边还会有和它的修改时间一样的隐藏文件,可以考虑将它们都删除了,以观后效。记得我当时是删除了三个在C:\Program Files\Internet Explorer\Connection Wizard 下的隐藏文件,就OK了。注:如果删不掉,可以进安全模式删除。
3、清除C:\Documents and Settings\你的用户名\Local Settings\Temp\目录下的所有垃圾文件,因为里面含有病毒释放生成的执行文件,当时我的情况是有两个病毒释放的文件:_xiaran.bat和help.exe(这个是隐藏和系统文件)。 字串1
4、重新启动计算机,观察5分钟,如果不再出现“问题症状”中描述的情况,说明清楚成功了。
问题分析:后经上网查找和后来证实,应该是中了一种传播Viking的QQ尾巴病毒了,这种木马病毒主要是因为用户安装了嵌入木马程序的安装程序所致,这些安装程序极有可能是你在一些不知名的下载网站上下载的一些应用程序(比如qq的一些版本等)。该木马利用安装程序在没有提醒用户的情况下在IE的插件中安装了实为木马的IE插件。使得一般的杀毒和杀马程序无法识别。并且当你运行一些需要调用IE的一些程序时自动调用该木马插件,所以才出现“问题症状”中所描述的情况。
解决方法:我只能讲一下大概的思路了,因为当时没有记录和截图。首先在文件夹查看选项中打开查看隐藏文件的选项、显示所有文件扩展名和显示受保护的操作系统文件的选项。
1、从注册表里删除病毒添加的ShellExecuteHooks信息:打开注册表找到[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks],
字串6
在实际情况中,图中应该会出现除{AEB6717E-7E19-11d0-97EE-00C04FD91972}以外的其它可疑键值的,依次按步骤2检查它们;
2、打开到注册表[HKEY_CLASSES_ROOT\CLSID\{这里是步骤1中提到的可疑键值}下,
然后依次检查上图中所示的每一个路径指向的文件,应该会有个文件是以.sys结尾的系统驱动文件,这个文件应该是隐藏文件,并且它的修改时间应该和该电脑出问题的时间差不多,而且在该文件旁边还会有和它的修改时间一样的隐藏文件,可以考虑将它们都删除了,以观后效。记得我当时是删除了三个在C:\Program Files\Internet Explorer\Connection Wizard 下的隐藏文件,就OK了。注:如果删不掉,可以进安全模式删除。
3、清除C:\Documents and Settings\你的用户名\Local Settings\Temp\目录下的所有垃圾文件,因为里面含有病毒释放生成的执行文件,当时我的情况是有两个病毒释放的文件:_xiaran.bat和help.exe(这个是隐藏和系统文件)。 字串1
4、重新启动计算机,观察5分钟,如果不再出现“问题症状”中描述的情况,说明清楚成功了。
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
AiPPT
2024-09-19 广告
随着AI技术的飞速发展,如今市面上涌现了许多实用易操作的AI生成工具1、简介:AiPPT: 这款AI工具智能理解用户输入的主题,提供“AI智能生成”和“导入本地大纲”的选项,生成的PPT内容丰富多样,可自由编辑和添加元素,图表类型包括柱状图...
点击进入详情页
本回答由AiPPT提供
展开全部
其实系统运行的CMD.exe并不是系统自己的命令提示符,而是一个病毒伪装的进程。使用新版的瑞星杀毒之后再清理注册表里的启动项就可以了,手动清理很困难,也很麻烦,所以推荐使用杀毒软件清理。
本回答被提问者采纳
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
推荐律师服务:
若未解决您的问题,请您详细描述您的问题,通过百度律临进行免费专业咨询
