如何解決 cmd.exe cmdbcs.dll 木馬的問題

2007-05-11 10:28 pm
我的防毒軟件nod32測到有這個病毒
於是我按照建議delete佢 但restart之復這兩個檔案又出現
之後這情況又不斷重複 (中毒--> delete-->restar-->又出現)
應該點做
p.s 上網看過可以手動解決 但都睇唔明點做
幫幫忙~

回答 (2)

2007-05-12 12:05 am
✔ 最佳答案
解決方法:

如果出現這種情況,很不幸,你99%是中了木馬了。不過不妨繼續驗證一下,假定你的windows安裝盤位於C:\,並且需要你在文件查看選項中打開查看隱藏文件的選項和顯示所有文件副檔名的選項,則

查看你的c:\Program Files\Internet Explorer\PLUGINS\目錄,應該會發現有new123.bak和new123.sys兩個文件;
查 看你的C:\Documents and Settings\Administrator\Local Settings\Temp\目錄,應該會發現有MicroSoft.bat這個文件;你可以用記事本打開MicroSoft.bat文件,發現其中提到 一個exe文件(具體名稱會有不同),你也會在該目錄下發現這個exe文件;
如果以上兩步你並未發現相應文件,請將你的文件查看改爲不隱藏已知文件尾碼,並在系統盤內進行文件搜索,確認是否的確沒有相關的文件。



木馬描述
該 木馬主要是因爲用戶安裝了嵌入木馬程式的安裝程式所致,這些安裝程式極有可能是你在一些不知名的下載網站上下載的一些應用程式(比如qq的一些版本等)。 該木馬利用安裝程式在沒有提醒用戶的情況下在IE的插件中安裝了實爲木馬的IE插件。使得一般的殺毒和殺馬程式無法識別。並且當你運行一些需要調用IE的 一些程式時自動調用該木馬插件,所以才出現“症狀描述”中所描述的情況。

該木馬的母體就是new123.sys,屬於Trojan-PSW.Win32.Delf.mc,可能會偷取你的一些應用的帳號和密碼。

木馬清除
該木馬可以很方便的手工清除,過程如下:

打開“任務管理器”,在“進程”中結束cmd.exe的運行,此時CPU佔用率會明顯下降;
進入C:\Documents and Settings\Administrator\Local Settings\Temp\目錄,刪除MicroSoft.bat這個文件中所提到的exe文件和該bat文件;(這一步不做也沒有問題,但最好清除掉)
進入c:\Program Files\Internet Explorer\PLUGINS\目錄,刪除new123.bak文件,但此時你無法刪除new123.sys文件,因爲系統正在使用,你有兩種方式處理new123.sys文件:
重啓機器並進入安全模式對new123.sys進行刪除;
當前狀態雖無法刪除該文件,但可更改new123.sys的檔案名爲new123.sysdel,並且重啓機器(無需進入安全模式)後,再把new123.sysdel進行刪除。
處理完後,如果“症狀描述”中的情況消失,則說明清除成功。

XP系統裏並沒有cmd.exe的進程,cmd.exe是XP系統的命令提示符程式,可以執行一些在DOS下執行的應用程式,但是並不會隨系統啓動時運行,這有可能是個木馬或者其他病毒程式,建議查殺

1、如果安裝文件就在硬碟上,而且系統是從硬碟的安裝目錄裝的,那先將這個安裝目錄改個名字

2、刪除c:\winnt\system32\dllcache\cmd.exe,

3、然後再刪除system32\cmd.exe

4、系統會提示說系統文件丟失要求插入光碟,忽略就行了

禁止運行命令解釋器和批次檔案方法:

通 過修改註冊表,可以禁止用戶使用命令解釋器(CMD.exe)和運行批次檔案(.bat文件)。新建一個雙位元組(REG_DWORD)執行 HKEY_CURRENT_USER\Software\Policies\ Microsoft\Windows\System\DisableCMD,修改其值爲2,命令解釋器和批次檔案都不能被運行。修改其值爲1,則只是禁 止命令解釋器的運行。

就是替換掉系統的cmd.exe文件。但是由於此文件受系統保護,所以必須用一種特殊的辦法。至於那個用來替換cmd.exe的文件,可以隨便找一個運行時候沒有什麽提示的東西就行。C:\Windows\system32下面有很多這樣的文件,隨便找一個就行。
替 換方法是:首先刪除C:\WINDOWS\system32\Dllcache\下面的cmd.exe,然後儘快將C:\WINDOWS\ system32\下面的cmd.exe替換成所需的文件。當系統提示要求插入WINDOWS安裝光碟的時候,不要理他,直接單擊“取消”就可以了。之後 當你開始-〉運行-〉cmd的時候,dos窗口自然不會出現了
百度提供的解決方法如下:
1:XP系統裏並沒有cmd.exe的進程,cmd.exe是XP系統的命令提示符程式,可以執行一些在DOS下執行的應用程式,但是並不會隨系統啓動時運行,這有可能是個木馬或者其他病毒程式,建議查殺
1)、如果安裝文件就在硬碟上,而且系統是從硬碟的安裝目錄裝的,那先將這個安裝目錄改個名字
2)、刪除c:\winnt\system32\dllcache(沒有這個子文儉)\cmd.exe,
3)、然後再刪除system32\cmd.exe
4、 系統會提示說系統文件丟失要求插入光碟,忽略就行了 禁止運行命令解釋器和批次檔案方法:通過修改註冊表,可以禁止用戶使用命令解釋器(CMD.exe)和運行批次檔案(.bat文件)。新建一個雙位元組 (REG_DWORD)執行HKEY_CURRENT_USER\Software\Policies\ Microsoft\Windows\System\DisableCMD,修改其值爲2,命令解釋器和批次檔案都不能被運行。修改其值爲1,則只是禁 止命令解釋器的運行。 就是替換掉系統的cmd.exe文件。但是由於此文件受系統保護,所以必須用一種特殊的辦法。
至於那個用來替換 cmd.exe的文件,可以隨便找一個運行時候沒有什麽提示的東西就行。C:\Windows\system32下面有很多這樣的文件,隨便找一個就行。 替換方法是:首先刪除C:\WINDOWS\system32\Dllcache\下面的cmd.exe,然後儘快將C:\WINDOWS\ system32\下面的cmd.exe替換成所需的文件。當系統提示要求插入WINDOWS安裝光碟的時候,不要理他,直接單擊“取消”就可以了。
2007-05-11 10:40 pm
as long as i remember, i was once able to locate the source by monitoring the task manager when i delete the file


收錄日期: 2021-04-13 15:33:01
原文連結 [永久失效]:
https://hk.answers.yahoo.com/question/index?qid=20070511000051KK01714

檢視 Wayback Machine 備份