Question

SOS！！！我的电脑好像中毒了！高手进

时间 操作 说明 次数
12:31:39 自动阻止 进程创建 1
详细描述：
进程：C:\WINDOWS\SYSTEM32\CMD.EXE
动作：进程创建
路径：C:\WINDOWS\SYSTEM32\FTP.EXE

已经受攻击348次了，都被阻止了。想问下有没有毒，要怎么办！！在线等答案！！！

Answer 1

cmd.exe病毒
　　cmd.exe 病毒是比较头痛的一种占用大量cpu资源的病毒，不同的机子还需要用不同的解决方案。
　　中了cmd.exe病毒的表现：
　　开机CPU就是100%，查进程，原来是cmd.exe 占用了绝大部分的CPU。关闭cmd.exe后，CPU实用率恢复正常。但是再次开机的时候，CPU又是100%，cmd.exe 依然占用了绝大部分的CPU。
　　1.装了ewido 查杀木马，查出了几个感染目标，已删除。但是今天早上开机，CPU又是100%，cmd.exe 依然占用了绝大部分的CPU。
　　2.再装“木马清除专家2006”，查杀，结果没有发现木马。
　　3.查system 32 中的 CMD.EXE 大小，结果如下：
　　CMD.EXE 大小：459 KB (470,016 字节)
　　占用空间：460 KB (471,040 字节)
　　应该没有异常。
　　以下是清除方法：
　　一、网吧系统：重启服务器，工作站不开机，下载rundll32.exe和rundll.exe，分别复制到D:\WXP目录和d:\wxp\system目录下。然后将d:\wxp\system目录下的rundll32.exe和rundll.exe这两个文件的安全性设置为拒绝访问。而D:\WXP下的文件安全性不作改变。　
　　二、教学系统：重启服务器，工作站先不开机，下载rundll32.exe和rundll.exe，分别复制到D:\wz目录和d:\wz\system目录下。然后将d:\wz\system目录下的rundll32.exe和rundll.exe这两个文件的安全性设置为拒绝访问。而D:\wz下的文件安全性不作改变。
　　[1][2]
　　怎么看system32下的CMD.EXE是病毒吗
　　文件名:C\WINDOWS\SYSTEM32\CMD.EXE 这家伙是不是病毒?
　　一、病毒感染
　　某些木马程序，通常会利用CMD.EXE这个命令行系统进行病毒加载或者是DLL插入，并且文件的大小会改变 CMD.EXE 大小：459 KB (470,016 字节) 占用空间：460 KB (471,040 字节) 若与该数字不太吻合，请注意，肯定是病毒感染了没错 解决办法：进入安全模式，删除CMD.EXE然后从windows\i386 文件夹中再复制一份到system32文件夹下。
　　二、有启动项目是需要cmd.exe命令行支持运行的，若你的CMD.EXE不能正常运行的话，会始终出现提示 解决办法：修复cmd.exe
　　cmd.exe命令参数
　　CMD [/A | /U] [/Q] [/D] [/E:ON | /E:OFF] [/F:ON | /F:OFF] [/V:ON | /V:OFF] [[/S] [/C | /K] string]
　　/C 执行字符串指定的命令然后终断
　　/K 执行字符串指定的命令但保留
　　/S 在 /C 或 /K 后修改字符串处理(见下)
　　/Q 关闭回应
　　/D 从注册表中停用执行 AutoRun 命令(见下)
　　/A 使向内部管道或文件命令的输出成为 ANSI
　　/U 使向内部管道或文件命令的输出成为 Unicode
　　/T:fg 设置前景/背景颜色(详细信息，请见 COLOR /?)
　　/E:ON 启用命令扩展(见下)
　　/E:OFF 停用命令扩展(见下)
　　/F:ON 启用文件和目录名称完成字符 (见下)
　　/F:OFF 停用文件和目录名称完成字符(见下)
　　/V:ON 将 ! 作为定界符启动延缓环境变量扩展。如: /V:ON 会允许 !var! 在执行时允许 !var! 扩展变量 var。
　　/V:OFF 停用延缓的环境扩展。
　　如果指定了 /C 或 /K，命令行开关后的命令行其余部分将作为命令行处
　　理；在这种情况下，会使用下列逻辑处理引号字符("):
　　1. 如果符合下列所有条件，那么在命令行上的引号字符将被保留:
　　- 不带 /S 命令行开关
　　- 整整两个引号字符
　　- 在两个引号字符之间没有特殊字符，特殊字符为下列中的 一个:
　　<>()@^|
　　- 在两个引号字符之间有至少一个空白字符
　　- 在两个引号字符之间有至少一个可执行文件的名称。
　　2. 否则，老办法是，看第一个字符是否是一个引号字符，如果 是，舍去开头的字符并删除命令行上 的最后一个引号字符，
　　保留最后一个引号字符之后的文字。
　　如果 /D 未在命令行上被指定，当 CMD.EXE 开始时，它会寻找以下 REG_SZ/REG_EXPAND_SZ 注册表变量。如果其中一个或两个都存在，这两个变量会先被执行。
　　HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor\AutoRun
　　和/或
　　HKEY_CURRENT_USER\Software\Microsoft\Command Processor\AutoRun
　　命令扩展是按默认值启用的。您也可以使用 /E:OFF，为某一特定调用而停用扩展。您可以在机器上和/或用户登录会话上启用或停用 CMD.EXE 所有调用的扩展，这要通过设置使用
　　REGEDT32.EXE 的注册表中的一个或两个 REG_DWORD 值:
　　HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor\EnableExtensions
　　和/或
　　HKEY_CURRENT_USER\Software\Microsoft\Command Processor\EnableExtensions
　　到 0x1 或 0x0。用户特定设置比机器设置有优先权。命令行开关比注册表设置有优先权。

ftp.exe病毒清除方法

　　中了ftp.exe病毒之后很可能带上smss.exe、cmd.exe这二种病毒。网上大多方法无法清除ftp.exe病毒。中ftp.exe的机子不断出现这三个病毒的进程，CPU达100%。杀毒软件，重装，格式化问题依然。现在发篇关于ftp.exe、smss.exe、cmd.exe三种病毒的手工清除办法。
　　ftp.exe病毒清除办法如下：
　　1.关闭系统还原.--windows2000不必理会这一步.
　　2.关闭IE+清除ie临时文件+Internet选项－程序－重置WEB设置
　　3.安全模式下用powerrmv删除！删除以下文件或者文件夹
　　C:\WINDOWS\system32\ShellExt\smss.exe
　　C:\WINDOWS\system32\spupdsvc.exe
　　C:\WINDOWS\system32\ime\123
　　C:\Program Files\SogouInput\ZipLib.dll

Answer 2

您好：
建议您安装瑞星杀毒软件V16版本升级到最新病毒库后，重启计算机按F8键选择安全模式，进行全盘病毒扫描查杀，之后使用瑞星安全助手进行电脑修复，下载地址：http://pc.rising.com.cn/

Answer 3

楼主电脑中有没有安装杀毒软件呢，出现这个提示的时候，你没有在进行其它操作？建议你使用360杀毒软件，重新启动系统，点F8，到安全模式下全盘查杀一遍看下！

追问

我安装了360

有时候在上网就出现了，不过没用也会提示

Answer 4

装一个反病毒软件吧，免费版的话有小红伞，avast！、AVG，还是别用国产的好，人家天天忙着吵架那有空管你的电脑是不是中毒了，人家忙着搞各种各样的噱头，忙着策划一起又一起炒作哪有精力陪你玩病毒啊，是不是？还是别打扰人家了。

Answer 5

这样的情况你可以使用下360急救箱，下载，解压后，进入安全模式运行360系统急救箱自定义全盘扫描，查杀一遍，查杀完成后重启电脑。 然后再打开360系统急救箱，选择修复功能（修复选项可全选），立即修复。