论坛 › 科技俱乐部 › 求助，怎么取消进程里的cmd.exe?

dawn0065 发表于 2006-12-21 11:36:12

求助，怎么取消进程里的cmd.exe?

我一开机它就运行了,运行后占CPU几乎达到100% 把它结束了就又ok了。

每次要手动结束，终止这个进程没什么吧？能不能开机后不进这个进程，每次手动终止真麻烦。

还有一个问题，每次打开IE上网，总要过1-2分钟才能打开网页，但之后在这个窗口里浏览网页的速度并无问题，如果重新打开一个新IE窗口，这个新窗口又是要1-2分钟才有反应，如果在已经正常的窗口中以在新窗口中打开的方式开新窗口就很正常，『奇怪』 ，有病毒？但瑞星查完说没有，『奇怪』

老火靓汤 发表于 2006-12-21 11:53:06

回复: 求助，怎么取消进程里的cmd.exe?

可能是木马,如果你用的是xp系统的话,那可能性就更高了.XP系统里并没有cmd.exe的进程，cmd.exe是XP系统的命令提示符程序，可以执行一些在DOS下执行的应用程序，但是并不会随系统启动时运行.所以说，这有可能是个木马或者其他病毒程序

apple3800 发表于 2006-12-21 11:58:14

回复: 求助，怎么取消进程里的cmd.exe?

cmd.exe 就是命令行模式的那个黑乎乎的窗口，一般不会自动运行的。

dawn0065 发表于 2006-12-21 12:06:52

回复: 求助，怎么取消进程里的cmd.exe?

我运行了瑞星（正版买的，也升级了），也运行了3721的反间谍程序（网上下载的），都没有发现病毒啊。

我知道cmd.exe这个命令，我知道它本身不是病毒，因此，我不敢把它删除了。

我的系统是win2000。

一念小师傅 发表于 2006-12-21 12:06:55

回复: 求助，怎么取消进程里的cmd.exe?

当兄,这是典型的木马病毒.

查看你的c:\Program Files\Internet Explorer\PLUGINS\目录，应该会发现有new123.bak和new123.sys两个文件； 1CuiV92:
查看你的C:\Documents and Settings\Administrator\Local Settings\Temp\目录，应该会发现有MicroSoft.bat这个文件；你可以用记事本打开MicroSoft.bat文件，发现其中提到一个exe文件（具体名称会有不同），你也会在该目录下发现这个exe文件； +&&^Z,ZR
如果以上两步你并未发现相应文件，请将你的文件查看改为不隐藏已知文件后缀，并在系统盘内进行文件搜索，确认是否的确没有相关的文件。 $f-EKuHf,nixu>J
li aD"
木马描述 8lwgita
该木马主要是因为用户安装了嵌入木马程序的安装程序所致，这些安装程序极有可能是你在一些不知名的下载网站上下载的一些应用程序（比如qq的一些版本等）。该木马利用安装程序在没有提醒用户的情况下在IE的插件中安装了实为木马的IE插件。使得一般的杀毒和杀马程序无法识别。并且当你运行一些需要调用IE的一些程序时自动调用该木马插件，所以才出现“症状描述”中所描述的情况。 jo(o yM
G/RxH$uf
该木马的母体就是new123.sys，属于Trojan-PSW.Win32.Delf.mc，可能会偷取你的一些应用的帐号和密码。 I"k'eBA#
T:Z`-0Vt
木马清除 Mnc9!A?t
该木马可以很方便的手工清除，过程如下： 4+qGx89qY
@,^J) @-t
打开“任务管理器”，在“进程”中结束cmd.exe的运行，此时CPU占用率会明显下降； 7' 0&}eE
进入C:\Documents and Settings\Administrator\Local Settings\Temp\目录，删除MicroSoft.bat这个文件中所提到的exe文件和该bat文件；（这一步不做也没有问题，但最好清除掉） Z7UpQ=m
进入c:\Program Files\Internet Explorer\PLUGINS\目录，删除new123.bak文件，但此时你无法删除new123.sys文件，因为系统正在使用，你有两种方式处理new123.sys文件： o3@Ns<=
重启机器并进入安全模式对new123.sys进行删除； ]BcJw^.+4
当前状态虽无法删除该文件，但可更改new123.sys的文件名为new123.sysdel，并且重启机器（无需进入安全模式）后，再把new123.sysdel进行删除。 Gp,A Y

dawn0065 发表于 2006-12-21 12:12:27

回复: 求助，怎么取消进程里的cmd.exe?

『Oh-My-God!』 立马行动！虽然看着小师傅的步骤还有点晕！

深圳细东 发表于 2006-12-21 12:21:33

回复: 求助，怎么取消进程里的cmd.exe?

转载：

[Security][木马][IE][new123]cmd.exe随程序启动且CPU占用率100％问题的解决

[类别]IT应用 [评论]0条- [作者]Sandy Lee [时间]2006-08-20 11:21:09 [浏览]6931次


[*]症状描述
[*]木马描述
[*]木马清除
[*]木马样本

症状描述

当你的windows系统启动后，在运行了一个程序（比如IE浏览器或者qq或者其他什么东西）后或者不需运行程序，就发现系统反应很慢，打开你的任务管理器，发现CPU占用率是100％，并且在进程列表中出现了cmd.exe，而此时你并没有打开过cmd.exe。如下图所示：
http://www.liqintao.net/blog/wp-content/uploads/2006/08/new123-01.gif

如果出现这种情况，很不幸，你99％是中了木马了。不过不妨继续验证一下，假定你的windows安装盘位于C:\，并且需要你在文件查看选项中打开查看隐藏文件的选项和显示所有文件扩展名的选项，则

[*]查看你的c:\Program Files\Internet Explorer\PLUGINS\目录，应该会发现有new123.bak和new123.sys两个文件；
[*]查看你的C:\Documents and Settings\Administrator\Local Settings\Temp\目录，应该会发现有MicroSoft.bat这个文件；你可以用记事本打开MicroSoft.bat文件，发现其中提到一个exe文件（具体名称会有不同），你也会在该目录下发现这个exe文件；
[*]如果以上两步你并未发现相应文件，请将你的文件查看改为不隐藏已知文件后缀，并在系统盘内进行文件搜索，确认是否的确没有相关的文件。http://www.liqintao.net/blog/wp-content/uploads/2006/08/new123-02.gif
木马描述

该木马主要是因为用户安装了嵌入木马程序的安装程序所致，这些安装程序极有可能是你在一些不知名的下载网站上下载的一些应用程序（比如qq的一些版本等）。该木马利用安装程序在没有提醒用户的情况下在IE的插件中安装了实为木马的IE插件。使得一般的杀毒和杀马程序无法识别。并且当你运行一些需要调用IE的一些程序时自动调用该木马插件，所以才出现“症状描述”中所描述的情况。
该木马的母体就是new123.sys，属于Trojan-PSW.Win32.Delf.mc，可能会偷取你的一些应用的帐号和密码。
木马清除


该木马可以很方便的手工清除，过程如下：

[*]打开“任务管理器”，在“进程”中结束cmd.exe的运行，此时CPU占用率会明显下降；
[*]进入C:\Documents and Settings\Administrator\Local Settings\Temp\目录，删除MicroSoft.bat这个文件中所提到的exe文件和该bat文件；（这一步不做也没有问题，但最好清除掉）
[*]进入c:\Program Files\Internet Explorer\PLUGINS\目录，删除new123.bak文件，但此时你无法删除new123.sys文件，因为系统正在使用，你有两种方式处理new123.sys文件：
[*]重启机器并进入安全模式对new123.sys进行删除；
[*]当前状态虽无法删除该文件，但可更改new123.sys的文件名为new123.sysdel，并且重启机器（无需进入安全模式）后，再把new123.sysdel进行删除。
处理完后，如果“症状描述”中的情况消失，则说明清除成功。

一念小师傅 发表于 2006-12-21 12:22:54

回复: 求助，怎么取消进程里的cmd.exe?

恩，一步一步的来，就不会晕。呵呵。

dawn0065 发表于 2006-12-21 12:48:12

回复: 求助，怎么取消进程里的cmd.exe?

[*]
[*]打开“任务管理器”，在“进程”中结束cmd.exe的运行，此时CPU占用率会明显下降；
[*]进入C:\Documents and Settings\Administrator\Local Settings\Temp\目录，删除MicroSoft.bat这个文件中所提到的exe文件和该bat文件；（这一步不做也没有问题，但最好清除掉）
[*]进入c:\Program Files\Internet Explorer\PLUGINS\目录，删除new123.bak文件，但此时你无法删除new123.sys文件，因为系统正在使用，你有两种方式处理new123.sys文件：
[*]重启机器并进入安全模式对new123.sys进行删除；
[*]当前状态虽无法删除该文件，但可更改new123.sys的文件名为new123.sysdel，并且重启机器（无需进入安全模式）后，再把new123.sysdel进行删除。我刚做的：

[*]打开“任务管理器”，在“进程”中结束cmd.exe的运行，此时CPU占用率明显下降；
[*]进入C:\Documents and Settings\Administrator后，没有发现Local Settings这个文件夹；
[*]进入c:\Program Files\Internet Explorer\PLUGINS\目录，PLUGINS里面是空的，没有文件；
[*]以上操作时我已经把查看设置成了不隐藏；
[*]用搜索，没有发现new123.bak和new123.sys文件
[*]重新启动机器，问题依旧『大汗』

dawn0065 发表于 2006-12-21 12:53:27

回复: 求助，怎么取消进程里的cmd.exe?

我刚才想把PIUGINS这个文件价整个地删除，但不行，提示：system8.sys:拒绝访问，源文件可能正被使用。

深圳细东 发表于 2006-12-21 13:36:46

回复: 求助，怎么取消进程里的cmd.exe?

没有 Local Settings ？ 你用xp 吗？

dawn0065 发表于 2006-12-21 13:39:37

回复: 求助，怎么取消进程里的cmd.exe?

win2000

深圳细东 发表于 2006-12-21 13:56:24

回复: 求助，怎么取消进程里的cmd.exe?

应该有的啊，要显示所有文件和文件夹，不过有好几个问题都表现为相同的现象，慢慢排除吧

dawn0065 发表于 2006-12-21 14:03:49

回复: 求助，怎么取消进程里的cmd.exe?

显示所有文件和文件夹这个选项我是知道的，已经选了，仍然没有发现要找“病毒文件”。

一杯清茶 发表于 2006-12-21 14:09:58

回复: 求助，怎么取消进程里的cmd.exe?

高手！『崇拜』


还有低手！『大汗』

arching 发表于 2006-12-21 14:24:11

回复: 求助，怎么取消进程里的cmd.exe?

呵呵，不知道的就去baidu问，应该能解决，我就不白活了

dawn0065 发表于 2006-12-21 15:23:18

回复: 求助，怎么取消进程里的cmd.exe?

没办法了，刚才一阵兵荒马乱，把这台电脑上用过的重要密码全部改了。『大汗』

dawn0065 发表于 2006-12-21 15:59:07

回复: 求助，怎么取消进程里的cmd.exe?

我已经知道我的电脑里有\Local Settings\Temp\这个目录了（杀毒软件显示了这个路径），但就是看不见，也进不去，用13楼的方法无效。

一念小师傅 发表于 2006-12-21 16:15:43

回复: 求助，怎么取消进程里的cmd.exe?

13楼的方法是对的,但是当兄要注意,改完设置后先按应用,不要按确定键,然后重新打开那个文件夹,您再试试.

dawn0065 发表于 2006-12-21 16:21:08

回复: 求助，怎么取消进程里的cmd.exe?

我用在地址栏直接输入C:\Documents and Settings\Administrator\Local Settings\Temp\的方式进到了TEMP这个文件夹（里面倒是不空，一堆文件），但是在里面没有发现MicroSoft.bat这个文件。『大汗』

用在地址栏直接输入的方式也能进c:\Program Files\Internet Explorer\PLUGINS\目录，PLUGINS里面还是空的，没有任何文件。『奇怪』 更别说找到new123.bak和new123.sys这两个家伙了。『可恶』

查看完整版本: 求助，怎么取消进程里的cmd.exe?