电脑中了ALBUS.SYS和CMD.EXE的病毒后的解决方法
源代码在线查看: 关于cmd.exe病毒的一些基本预防知识.txt
关于cmd.exe病毒的一些基本预防知识:
前一段时间不幸中了一个与cmd.exe有关的病毒。
郁闷的不行,曾经还在论坛中发过帖子寻求帮助。但一直没有得到彻底的解决!
这段时间一直都在不断搜索和整理一些与之有关的东西,也许这些并不能解决根本性的问题,只是希望能让各位本友提高警惕,增强防范意识,只要能给大家带来些许的帮助也就达到笔者的目的了!
由于精力和水平有限,如有错误或不妥之处还请各位不吝指正!
1、基础知识
cmd.exe是微软Windows系统的命令行程序,类似于微软的DOS操作系统。cmd.exe是一个纯32位的命令行程序,运行在WindowsNT/2000/XP/2003系统上。而cmd是一个系统程序的同时又是一个程序平台。FTP、TFTP、FORMAT一些小工具都是基于cmd平台运行的!
2、症状描述
开机cmd.exe程序自动运行,大量占用CPU(90~100%)!结束进程无效,重启还在!
一般杀毒软件和木马专杀都无法检测的到!同时可能引起大量未知的并发症!!!
3、原理
进程cmd.exe是和漏洞有着非常紧密的关系的。而漏洞的被利用正是各种病毒的起因。
漏洞的利用是由漏洞利用工具(是由一组可以完成黑客想要的功能的机器代码编译成的)完成的。常见的方法就是打开CMD窗口的代码,从而使黑客得到一个可以进行远程交互式操作的shell,这样就完成了系统漏洞的利用。(所以cmd除了被系统漏洞利用外,更多时候会很容易的被恶意利用!)
4、危害性
有了上述中这个远程cmd窗口后黑客就可以在本地计算机上安装程序,查看、更改、删除数据或创建一个拥有完全用户权限的新帐户。即本地cmd窗口能实现的这个远程cmd窗口都能实现。换句话说此时这台本地计算机已经完全被主宰了!已经不完全属于你一个人了!
如:“爱情后门”该病毒就自带FTP服务器端口,它会在15436端口提供一个FTP服务,这样病毒就可以通过建立一个下载脚本文件来从被感染的计算机上下载病毒可执行文件。而病毒会使Windows的程序cmd.exe写文本文件,并使用该文件来下载病毒可执行文本文件,病毒就会不停调用cmd.exe程序。剩下的大家就都知道了!!!
5、防范措施
(1、编写一个批处理文件对cmd.exe进行加密处理
这只是我了解到的一种解决方法。这种加密方法我不太懂,也不想照本宣科的搬上来丢给大家!!!还请各路高手能够加以详细补充!在这先谢谢了!!!
(2、通过策略组的设置来禁止cmd.exe的使用
由于这种方法简单明了更适合大多数用户(尤其是我这种菜鸟级的选手)进行操作在这详细介绍一下:
首先打开开始菜单中的‘运行’命令窗口,输入'gpedit.msc'(不含单引号),回车打开策略组编辑器,
在组策略控制台中找到‘用户配置’,选择‘管理模板’下的‘系统’,找到‘阻止访问命令提示符’
(在右侧窗口)双击打开。在弹出的属性窗口中选择‘启用’,同时在‘也停用命令提示符脚本处理吗?’
一项中选择‘是’。点击‘确定’并退出。这样以后你的计算机上就不能运行cmd和.bat批处理文件了!
也就从根本上杜绝了病毒利用cmd的入侵!同时此操作是可逆的,如有不妥或需继续调用cmd.exe可恢复操作!
(唉!早知道这样当初干嘛要在安全模式下把cmd.exe直接删除了呢!)
上面的叙述好象有点罗嗦其实过程是这样的
开始》运行...》输入‘gpebit.mse’》策略组编辑器》用户配置》管理模块》系统》阻止访问命令提示符》启用》‘也停用命令提示符脚本处理吗?’》是。OK啦!!!(附图)
此主题相关图片
提示:单纯的在安全模式下删除cmd.exe可能导致一些小程序的无法使用,如上述中的FTP、TFTP、FORMAT等一些小工具!!!
小结:如上述,如果真的因为cmd中了病毒或木马确实很让人挠头,而且极不容易查杀!
