cmd.exe病毒清除方法介绍（cmd文件病毒）

大家好,今天就和小新一起来看看这个问题吧 。cmd文件病毒，cmd.exe病毒清除方法介绍很多人还不知道，现在让我们一起来看看吧！

cmd.exe病毒清除方法介绍：

Cmd.exe病毒解决方案：

如果发生这种情况，很不幸，你们99%的人都被特洛伊木马击中了。不过你不妨继续验证，假设你的windows安装盘位于C:\，需要在文件查看选项(电脑爱好者，学习电脑基础，电脑入门，请到http://www.woaidiannao.com，我们站还提供电脑基础教程，电脑基础测试题供大家学习使用)，隐藏文件选项和显示所有文件扩展名选项中打开查看，然后

检查你的c : \ program files \ Internet Explorer \ plugins \目录，你应该找到两个文件：new123.bak和new 123 . sys；

检查您的c : \ documents and settings \ administrator \ local settings \ temp \目录，您应该会找到文件MicroSoft.bat可以用记事本打开MicroSoft.bat文件，找到里面提到的一个exe文件(具体名称会有所不同)。您也可以在这个目录中找到这个exe文件；

如果在以上两个步骤中没有找到对应的文件，请将文件视图改为不隐藏已知文件后缀，并搜索系统盘确认是否没有相关文件。

cmd.exe木马描述

木马主要是由用户安装的木马程序中嵌入的安装程序引起的。这些安装程序极有可能是一些应用程序(比如某些版本的qq等。)就是你从一些不知名的下载网站下载的。木马在不提醒用户的情况下，利用安装程序安装其实是木马的IE插件。让一般的杀毒杀马程序面目全非。并且在运行一些需要调用IE的程序时，自动调用木马插件，于是出现了“症状描述”中描述的情况。

这个木马的母体是new123.sys，属于Trojan-PSW。Win32.Delf.mc，它可能会窃取您的一些应用程序帐户和密码。

Cmd.exe特洛伊木马移除

手动即可轻松清除木马，过程如下：

打开“任务管理器”，结束cmd.exe在“进程”中的运行。此时CPU利用率会明显下降；

进入c : \ documents and settings \ administrator \ local settings \ temp \ directory，删除MicroSoft.bat文件中提到的exe文件和bat文件；(不做这一步没有问题，但是最好清除)

进入c : \ program files \ internet explorer \ plugins \目录，删除new123.bak文件，但此时不能删除new123.sys文件，因为系统正在使用中。您有两种方法来处理new123.sys文件：

重启机器，进入安全模式删除new 123 . sys；

在当前状态下无法删除文件，但可以将new123.sys的文件名改为new123.sysdel，然后重启机器(不进入安全模式)后即可删除new123.sysdel。

治疗结束后，如果“症状描述”中的情况消失，说明清洗成功。

第一例cmd.exe病毒：

1.XP系统中没有cmd.exe过程。cmd.exe是XP系统的命令提示程序，可以执行一些在DOS下执行的应用程序，但是不会随着系统启动而运行。它可能是特洛伊木马或其他病毒程序。建议杀了它。

1)如果安装文件在硬盘上，并且系统是从硬盘的安装目录安装的，请先更改该安装目录的名称。

2)、删除c:\winnt\system32\dllcache(无此子篇)\cmd.exe，

3)，然后删除system32\cmd.exe

4.系统会提示系统文件缺失，需要插入光盘，忽略即可。

禁止命令解释器和批处理文件的方法：通过修改注册表，可以禁止用户使用命令解释器(CMD.exe)和运行批处理文件(。bat文件)。创建一个新的双字节(REG_DWORD)来执行HKEY _当前_用户\软件\策略\微软\ windows \系统\ disablecmd，并将其值修改为2。命令解释器和批处理文件都不能运行。如果修改值为1，则只会禁止命令解释器的操作。就是替换系统的cmd.exe文件。但是，因为这个文件受系统保护，所以必须采用特殊的方法。

至于用来替换cmd.exe的文件，你可以随便找一个运行时没有任何提示的东西。C:\Windows\system32下有很多这样的文件，随便找一个。替换方法是：先删除C:\WINDOWS\system32\ dllcache \下的cmd.exe，然后尽快用新的替换c : \ WINDOWS \ system32 \下的cmd.exe。

　　之后当你开始-〉运行-〉cmd的时候，dos窗口自然不会出现了

　　cmd.exe病毒第二种情况：

　　如何解决cmd.exe占CPU资源100%问题

　　造成机器运行很慢，关闭cmd.exe后，CPU使用率恢复正常。但是再次开机的时候，CPU又是100%，cmd.exe 依然占用了绝大部分的CPU。

　　问题分析：后经上网查找和后来证实，应该是中了一种传播Viking的QQ尾巴病毒了，这种木马病毒主要是因为用户安装了嵌入木马程序的安装程序所致，这些安装程序极有可能是你在一些不知名的下载网站上下载的一些应用程序(比如qq的一些版本等)。该木马利用安装程序在没有提醒用户的情况下在IE的插件中安装了实为木马的IE插件。使得一般的杀毒和杀马程序无法识别。并且当你运行一些需要调用IE的一些程序时自动调用该木马插件，所以才出现“问题症状”中所描述的情况。

　　解决方法：我只能讲一下大概的思路了，因为当时没有记录和截图。首先在文件夹查看选项中打开查看隐藏文件的选项、显示所有文件扩展名和显示受保护的操作系统文件的选项。

　　1、从注册表里删除病毒添加的ShellExecuteHooks信息：打开注册表找到[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]，

　　在实际情况中，图中应该会出现除{AEB6717E-7E19-11d0-97EE-00C04FD91972}以外的其它可疑键值的，依次按步骤2检查它们;

　　2、打开到注册表[HKEY_CLASSES_ROOT\CLSID\{这里是步骤1中提到的可疑键值}下，

　　然后依次检查上图中所示的每一个路径指向的文件，应该会有个文件是以.sys结尾的系统驱动文件，这个文件应该是隐藏文件，并且它的修改时间应该和该电脑出问题的时间差不多，而且在该文件旁边还会有和它的修改时间一样的隐藏文件，可以考虑将它们都删除了，以观后效。记得我当时是删除了三个在C:\Program Files\Internet Explorer\Connection Wizard 下的隐藏文件，就OK了。注：如果删不掉，可以进安全模式删除。

　　3、清除C:\Documents and Settings\你的用户名\Local Settings\Temp\目录下的所有垃圾文件，因为里面含有病毒释放生成的执行文件，当时我的情况是有两个病毒释放的文件：_xiaran.bat和help.exe(这个是隐藏和系统文件)。 nike shoes

　　4、重新启动计算机，观察5分钟，如果不再出现“问题症状”中描述的情况，说明清楚成功了。看了“cmd.exe病毒清除方法介绍”文章的还看了：

1.cmd.exe是什么进程文件,可以关闭吗?

2.如何清除电脑顽固病毒方法

3.如何清除顽固电脑病毒

4.电脑病毒清除软件

这篇文章到此就结束，希望能帮助到大家。