C:\Documents and Settings\XXX\Local Settings\Temp>zyexe(隐藏文件)
C:\Documents and Settings\XXX\Local Settings\Temp>Microsoftbat
删除后,启动系统,仍然在几分钟后再次生成,此时再删除,再过大约10分钟后,又自动生成
这个木马的手段确实有些高明,没有加载单独的进程,起码在任务管理器里看不到,通过explorerexe调入bowsys,每隔10分钟自动检查microsoftbat和zyexe文件是否存在,如不存在则重新释放文件,所以即使删除了,也会再次出现。同时,这个机理也是造成cmdexe运行死循环的原因,microsoftbat的内容如下:
:try
del "C:\DOCUME~1\XXX\LOCALS~1\Temp\zyexe"
if exist "C:\DOCUME~1\XXX\LOCALS~1\Temp\zyexe" goto try
del %0
由于它向系统写入zyexe时,属性置为SHR,结果是检测到文件存在,但却删除不掉,于是这个bat进入死循环,而bat是由cmdexe在后台执行,所以就出现cpu占到100%。其实也是这个木马的一个BUG。
反查那个IP地址对应的域名:
查询方法:>cmdexe
本身是正常的系统文件,但正常情况下不应该出现在自动启动项中。很可能是你的系统中存在病毒或其它恶意软件。
你应该到安全模式下进行全盘杀毒,清除恶意软件,并保证
cmdexe
未被病毒文件感染或替换。然去除这个启动项即可。
如果
cmdexe
已经被病毒替换,请复制相同系统正常的
cmdexe
到出问题的系统上。
如果
cmdexe
是正常的,没有被更改过,那么病毒文件是以
cmd
命令的参数形式执行的,只要删除启动项即可。
(注意这个
cmdexe
后的字串,如果包括一个文件路径,那么这个文件很有问题)
cmd命令窗口输入:start+空格+要运行的程序的绝对路径和程序名, 如:start D:\PHOTOSHOP(文件夹名)\Photoshopexe ;
以Windows 7为例,步骤如下:
1、点击桌面右下角开始,在搜索程序和文件中键入:cmd,打开cmd命令窗口;
2、找到要打开的EXE文件所在文件夹路径,如:Photoshopexe 所在文件夹路径D:\PHOTOSHOP;
3、在cmd命令窗口输入:start+空格+D:\PHOTOSHOP\Photoshopexe ,即可运行EXE程序。
XP系统里并没有cmdexe的进程,cmdexe是XP系统的命令提示符程序,可以执行一些在DOS下执行的应用程序,但是并不会随系统启动时运行,这有可能是个木马或者其他病毒程序,建议查杀1、如果安装文件就在硬盘上,而且系统是从硬盘的安装目录装的,那先将这个安装目录改个名字
2、删除c:\winnt\system32\dllcache\cmdexe,
3、然后再删除system32\cmdexe
4、系统会提示说系统文件丢失要求插入光盘,忽略就行了
禁止运行命令解释器和批处理文件方法:通过修改注册表,可以禁止用户使用命令解释器(CMDexe)和运行批处理文件(bat文件)。新建一个双字节(REG_DWORD)执行HKEY_CURRENT_USER\Software\Policies\ Microsoft\Windows\System\DisableCMD,修改其值为2,命令解释器和批处理文件都不能被运行。修改其值为1,则只是禁止命令解释器的运行。
就是替换掉系统的cmdexe文件。但是由于此文件受系统保护,所以必须用一种特殊的办法。至于那个用来替换cmdexe的文件,可以随便找一个运行时候没有什么提示的东西就行。C:\Windows\system32下面有很多这样的文件,随便找一个就行。替换方法是:首先删除C:\WINDOWS\system32\Dllcache\下面的cmdexe,然后尽快将C:\WINDOWS\system32\下面的cmdexe替换成所需的文件。当系统提示要求插入WINDOWS安装光盘的时候,不要理他,直接单击“取消”就可以了。之后当你开始-〉运行-〉cmd的时候,dos窗口自然不会出现了
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)