高考问答聂远版西游记老鼠精:系统进程莫名其妙加载CMD.EXE,并占满CPU
来源:百度文库 编辑:高考问答 时间:2024/05/11 16:15:03
系统:WIN2000,没打过任何补丁,没安装任何杀毒软件和防火墙
症状:开机系统启动结束后,大约3分钟左右,自动加载进程CMD.EXE,并占满CPU。杀掉这个进程后,偶尔还会出现。我知道这是DOS窗口操作程序,但这种情况发生时,只有cmd.exe运行,不出现DOS窗口
同时,这个现象出现时,用ACTIVE PORTS查看,端口1027有个TCP连接,连到IP地址:211.39.138.218(韩国),路径是“c:winnt/system32/Explorer.exe"
这个现象是昨天早上,我中了一个叫“爱情后门”病毒/木马之后出现的,我当时手动清除了伪装成“winnt/system32/explorer.exe“的病毒/木马程序(正常文件大小约为238K,伪装的为700多K),之后我又把正常的explorer.exe拷了一份到winnt/system32/
出现这种情况时,我仔细观察了显示在右下角的网络连接指示,没有闪烁,说明与211.39.138.218建立的TCP连接并没有从我机器上向外发送数据,只是在cmd.exe出现的一刹那,网络连接指示灯闪烁一下,之后就不再闪
在这之前,系统保证没有任何木马和病毒,很多服务和端口都被我关掉,并且有任何异常我都能注意到,经常根据网上一些信息手动清除一些木马,注册表内的东西我也经常清理
希望有高手帮忙解决,一般水平的就免了。另,我不喜欢用任何杀毒软件,也轻易不会重装系统,这两种解决方式也都免了。如能帮忙解决,愿与你交个朋友
补充:这个木马生成两个文件
C:\Documents and Settings\XXX\Local Settings\Temp>zy.exe(隐藏文件)
C:\Documents and Settings\XXX\Local Settings\Temp>Microsoft.bat
删除后,启动系统,仍然在几分钟后再次生成,此时再删除,再过大约10分钟后,又自动生成
这个木马的手段确实有些高明,没有加载单独的进程,起码在任务管理器里看不到,通过explorer.exe调入bow.sys,每隔10分钟自动检查microsoft.bat和zy.exe文件是否存在,如不存在则重新释放文件,所以即使删除了,也会再次出现。同时,这个机理也是造成cmd.exe运行死循环的原因,microsoft.bat的内容如下:
:try
del "C:\DOCUME~1\XXX\LOCALS~1\Temp\zy.exe"
if exist "C:\DOCUME~1\XXX\LOCALS~1\Temp\zy.exe" goto try
del %0
由于它向系统写入zy.exe时,属性置为SHR,结果是检测到文件存在,但却删除不掉,于是这个.bat进入死循环,而.bat是由cmd.exe在后台执行,所以就出现cpu占到100%。其实也是这个木马的一个BUG。
反查那个IP地址对应的域名:
查询方法:http://whois.webhosting.info/211.39.138.218
对应域名是三个:www.starsd.com;www.1010w.com;www.hbztsm.com
这个木马是盗密码的。
症状:开机系统启动结束后,大约3分钟左右,自动加载进程CMD.EXE,并占满CPU。杀掉这个进程后,偶尔还会出现。我知道这是DOS窗口操作程序,但这种情况发生时,只有cmd.exe运行,不出现DOS窗口
同时,这个现象出现时,用ACTIVE PORTS查看,端口1027有个TCP连接,连到IP地址:211.39.138.218(韩国),路径是“c:winnt/system32/Explorer.exe"
这个现象是昨天早上,我中了一个叫“爱情后门”病毒/木马之后出现的,我当时手动清除了伪装成“winnt/system32/explorer.exe“的病毒/木马程序(正常文件大小约为238K,伪装的为700多K),之后我又把正常的explorer.exe拷了一份到winnt/system32/
出现这种情况时,我仔细观察了显示在右下角的网络连接指示,没有闪烁,说明与211.39.138.218建立的TCP连接并没有从我机器上向外发送数据,只是在cmd.exe出现的一刹那,网络连接指示灯闪烁一下,之后就不再闪
在这之前,系统保证没有任何木马和病毒,很多服务和端口都被我关掉,并且有任何异常我都能注意到,经常根据网上一些信息手动清除一些木马,注册表内的东西我也经常清理
希望有高手帮忙解决,一般水平的就免了。另,我不喜欢用任何杀毒软件,也轻易不会重装系统,这两种解决方式也都免了。如能帮忙解决,愿与你交个朋友
补充:这个木马生成两个文件
C:\Documents and Settings\XXX\Local Settings\Temp>zy.exe(隐藏文件)
C:\Documents and Settings\XXX\Local Settings\Temp>Microsoft.bat
删除后,启动系统,仍然在几分钟后再次生成,此时再删除,再过大约10分钟后,又自动生成
这个木马的手段确实有些高明,没有加载单独的进程,起码在任务管理器里看不到,通过explorer.exe调入bow.sys,每隔10分钟自动检查microsoft.bat和zy.exe文件是否存在,如不存在则重新释放文件,所以即使删除了,也会再次出现。同时,这个机理也是造成cmd.exe运行死循环的原因,microsoft.bat的内容如下:
:try
del "C:\DOCUME~1\XXX\LOCALS~1\Temp\zy.exe"
if exist "C:\DOCUME~1\XXX\LOCALS~1\Temp\zy.exe" goto try
del %0
由于它向系统写入zy.exe时,属性置为SHR,结果是检测到文件存在,但却删除不掉,于是这个.bat进入死循环,而.bat是由cmd.exe在后台执行,所以就出现cpu占到100%。其实也是这个木马的一个BUG。
反查那个IP地址对应的域名:
查询方法:http://whois.webhosting.info/211.39.138.218
对应域名是三个:www.starsd.com;www.1010w.com;www.hbztsm.com
这个木马是盗密码的。
这个问题我最近也才遇到,系统装配和你的一样,懒得重装,所以就特别注意了一下,还好问题解决了!
我的电脑症状最开始是开机过会出现CMD.EXE进程,当初只要结束此任务就可以了,可是后来装了杀毒软件后只要一打开新的窗口或刷新桌面就会出现,还是每个页面出现一个CMD.EXE进程.
还好最近工作少,我就跟踪了一下,发现每当出现CMD.EXE进程之前都会出现bow.dll进程,通过搜索发现是在IE PLUGINS中的一个控件,做好重装机器准备将其删除还有bow.bak和bow.sys结果CMD.EXE进程不见了!
个人不是专业搞杀毒的,希望此方法对你有所帮助,另外我也把注册表中Explorer Bars->{C4EE31F3-4768-11D2-BE5C-00A0C9A83DA1}->FileNamedMRU中有关bow删除掉,顺便搜索一下其它键值是否也包含一起删除,以防万一.