文章大纲：

• 1、清理垃圾文件时提示说这个是木马病毒：C:\WINDOWS\SYSTEM32\CMD.EXE,可是删不掉啊，请您指导，谢谢！
• 2、木马病毒在C:\WINDOWS\system32:里面有什么坏处呢？
• 3、木马病毒 C:windowssystem32sfc-os.dll,怎么也删不掉,怎么办啊 ?
• 4、如何清除木马病毒C:\WINDOWS\system32\drivers \flpydisk.sys
• 5、木马病毒是什么意思？
• 6、什么是木马病毒

清理垃圾文件时提示说这个是木马病毒：C:\WINDOWS\SYSTEM32\CMD.EXE,可是删不掉啊，请您指导，谢谢！

cmd.exe病毒进程清除 ***

cmd.exe 病毒是比较头痛的一种占用大量cpu资源的病毒，，不同的机子还需要用不同的解决方案，

cmd.exe病毒进程清除 ***

之一种情况：

开机CPU就是100％，查进程，原来是cmd.exe 占用了绝大部分的CPU。关闭cmd.exe后，CPU实用率恢复正常。但是再次开机的时候，CPU又是100％，cmd.exe 依然占用了绝大部分的CPU。

1.装了ewido 查杀木马，查出了几个感染目标，已删除。但是今

天早上开机，CPU又是100％，cmd.exe 依然占用了绝大部分的CPU。

2.再装“木马清除专家2006”，查杀，结果没有发现木马。

3.查system 32 中的 CMD.EXE 大小，结果如下：

CMD.EXE 大小：459 KB (470,016 字节)

占用空间：460 KB (471,040 字节)

应该没有异常。

解决 *** ：

如果出现这种情况，很不幸，你99％是中了木马了。不过不妨继续验证一下，假定你的windows安装盘位于C:\，并且需要你在文件查看选项中打开查看隐藏文件的选项和显示所有文件扩展名的选项，则

查看你的c:\Program Files\Internet Explorer\PLUGINS\目录，应该会发现有new123.bak和new123.sys两个文件；

查看你的C:\Documents and Settings\Administrator\Local Settings\Temp\目录，应该会发现有MicroSoft.bat这个文件；你可以用记事本打开MicroSoft.bat文件，发现其中提到一个exe文件（具体名称会有不同），你也会在该目录下发现这个exe文件；

如果以上两步你并未发现相应文件，请将你的文件查看改为不隐藏已知文件后缀，并在系统盘内进行文件搜索，确认是否的确没有相关的文件。

木马描述

该木马主要是因为用户安装了嵌入木马程序的安装程序所致，这些安装程序极有可能是你在一些不知名的下载网站上下载的一些应用程序（比如qq的一些版本等）。该木马利用安装程序在没有提醒用户的情况下在IE的插件中安装了实为木马的IE插件。使得一般的杀毒和杀马程序无法识别。并且当你运行一些需要调用IE的一些程序时自动调用该木马插件，所以才出现“症状描述”中所描述的情况。

该木马的母体就是new123.sys，属于Trojan-PSW.Win32.Delf.mc，可能会偷取你的一些应用的帐号和密码。

木马清除

该木马可以很方便的手工清除，过程如下：

打开“任务管理器”，在“进程”中结束cmd.exe的运行，此时CPU占用率会明显下降；

进入C:\Documents and Settings\Administrator\Local Settings\Temp\目录，删除MicroSoft.bat这个文件中所提到的exe文件和该bat文件；（这一步不做也没有问题，但更好清除掉）

进入c:\Program Files\Internet Explorer\PLUGINS\目录，删除new123.bak文件，但此时你无法删除new123.sys文件，因为系统正在使用，你有两种方式处理new123.sys文件：

重启机器并进入安全模式对new123.sys进行删除；

当前状态虽无法删除该文件，但可更改new123.sys的文件名为new123.sysdel，并且重启机器（无需进入安全模式）后，再把new123.sysdel进行删除。

处理完后，如果“症状描述”中的情况消失，则说明清除成功。

第二种情况：

1：XP系统里并没有cmd.exe的进程，cmd.exe是XP系统的命令提示符程序，可以执行一些在DOS下执行的应用程序，但是并不会随系统启动时运行，这有可能是个木马或者其他病毒程序，建议查杀

1）、如果安装文件就在硬盘上，而且系统是从硬盘的安装目录装的，那先将这个安装目录改个名字

2）、删除c:\winnt\system32\dllcache（没有这个子文俭）\cmd.exe，

3）、然后再删除system32\cmd.exe

4、系统会提示说系统文件丢失要求插入光盘，忽略就行了

禁止运行命令解释器和批处理文件 *** ：通过修改注册表，可以禁止用户使用命令解释器(CMD.exe)和运行批处理文件(.bat文件)。新建一个双字节(REG＿DWORD)执行HKEY＿CURRENT＿USER＼Software＼Policies＼ Microsoft＼Windows＼System＼DisableCMD，修改其值为2，命令解释器和批处理文件都不能被运行。修改其值为1，则只是禁止命令解释器的运行。 就是替换掉系统的cmd.exe文件。但是由于此文件受系统保护，所以必须用一种特殊的办法。

至于那个用来替换cmd.exe的文件，可以随便找一个运行时候没有什么提示的东西就行。C:\Windows\system32下面有很多这样的文件，随便找一个就行。替换 *** 是：首先删除C:\WINDOWS\system32\Dllcache\下面的cmd.exe，然后尽快将C:\WINDOWS\system32\下面的cmd.exe替换成所需的文件。当系统提示要求插入WINDOWS安装光盘的时候，不要理他，直接单击“取消”就可以了。

之后当你开始-〉运行-〉cmd的时候，dos窗口自然不会出现了

第三种情况：

如何解决cmd.exe占CPU资源100%问题

造成机器运行很慢，关闭cmd.exe后，CPU使用率恢复正常。但是再次开机的时候，CPU又是100%，cmd.exe 依然占用了绝大部分的CPU。

问题分析：后经上网查找和后来证实，应该是中了一种传播Viking的 *** 尾巴病毒了，这种木马病毒主要是因为用户安装了嵌入木马程序的安装程序所致，这些安装程序极有可能是你在一些不知名的下载网站上下载的一些应用程序（比如qq的一些版本等）。该木马利用安装程序在没有提醒用户的情况下在IE的插件中安装了实为木马的IE插件。使得一般的杀毒和杀马程序无法识别。并且当你运行一些需要调用IE的一些程序时自动调用该木马插件，所以才出现“问题症状”中所描述的情况。

解决 *** ：我只能讲一下大概的思路了，因为当时没有记录和截图。首先在文件夹查看选项中打开查看隐藏文件的选项、显示所有文件扩展名和显示受保护的操作系统文件的选项。

1、从注册表里删除病毒添加的ShellExecuteHooks信息：打开注册表找到[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]，

在实际情况中，图中应该会出现除{AEB6717E-7E19-11d0-97EE-00C04FD91972}以外的其它可疑键值的，依次按步骤2检查它们；

2、打开到注册表[HKEY_CLASSES_ROOT\CLSID\{这里是步骤1中提到的可疑键值}下，

然后依次检查上图中所示的每一个路径指向的文件，应该会有个文件是以.sys结尾的系统驱动文件，这个文件应该是隐藏文件，并且它的修改时间应该和该电脑出问题的时间差不多，而且在该文件旁边还会有和它的修改时间一样的隐藏文件，可以考虑将它们都删除了，以观后效。记得我当时是删除了三个在C:\Program Files\Internet Explorer\Connection Wizard 下的隐藏文件，就OK了。注：如果删不掉，可以进安全模式删除。

3、清除C:\Documents and Settings\你的用户名\Local Settings\Temp\目录下的所有垃圾文件，因为里面含有病毒释放生成的执行文件，当时我的情况是有两个病毒释放的文件：_xiaran.bat和help.exe(这个是隐藏和系统文件)。

4、重新启动计算机，观察5分钟，如果不再出现“问题症状”中描述的情况，说明清楚成功了。

木马病毒在C:\WINDOWS\system32:里面有什么坏处呢？

这个文件夹是系统的额文件夹，进入后病毒便可以肆无忌惮的修改系统的文件，很危险 建议楼主下载最新的杀毒软件杀毒，如果电脑配置较高的就下载那些世界知名的、数一数二的杀软（比如卡巴斯基，麦咖啡等）就行了，如果配置较低建议用360+east nod（360官网免费下载），如果不想用杀软的话请按下列步骤进行： 如果无法正常进入windows的话则采用之一种方式进入： （1）电脑启动完成自检的时候（启动到读取硬盘的时候），按F8 进入启动菜单。选择带 *** 连接的安全模式； （2）然后在安全模式下进行查毒，并且同时查看在任务管理器中有没有可疑进程，不懂可以去百度搜下，如有可疑进程，则将其删除掉；一般在安全模式下病毒的自启动项不会被Windows加载，但是如果其自启动项加载在windows系统进程中在安全模式下也可以活动，所以建议楼主在注册表自启动项里查找不明程序或者程序后缀为“htm”或“html”的程序，并将其删除。当查毒时发现此病毒的文件路径时，可以直接进入手其文件夹将其删除；在开始菜单栏的运行里输入“msconfig”可以察看启动项和服务是否有不该有的文件启动，regedit进注册表查找病毒相关的值全删了，在这手动杀毒过程中鼠标不要双击，也不要按回车，因为可能会激活病毒。选中我的电脑，按ctrl+f会弹出一个查找的对话框，在里面 输入 “病毒的名字”按F3查找。看到这个名字就删除，一直到查完为止，很快的，最多也就几个。删除上述可疑键在硬盘中的执行文件、一般这种文件都在WINNT，SYSTEM，SYSTEM32这样的文件夹下，他们一般不会单独存在，很可能是有某个母文件复制过来的，检查C、D、E等盘下有没有可疑的.exe，.com或.bat文件，有则删除之。 当然除了这些我还有很多备选方案： 1...重装系统 2...将磁盘进行格式化（包括高级格式化和低级格式化） 3...使用系统还原 …………以上方案不推荐使用！可能会对系统硬盘等造成无法预测的损害

木马病毒 C:windowssystem32sfc-os.dll,怎么也删不掉,怎么办啊 ?

您好

sfc-os.dll是【潜行者病毒】，感染性很强，会隐藏在系统文件夹中

您可以先到腾讯电脑管家官网下载一个电脑管家

然后使用电脑管家——杀毒——全盘查杀

电脑管家拥有2大云杀毒引擎和全国更大的云病毒库，可以根据智能云鉴定和为特征扫描，检测出电脑中隐藏的木马病毒，然后彻底清理掉

如果还有其他疑问和问题，欢迎再次来电脑管家企业平台进行提问，我们将尽全力为您解答疑难

如何清除木马病毒C:\WINDOWS\system32\drivers \flpydisk.sys

您好，

这是一个驱动级病毒

你可以使用电脑管家的杀毒功能清除它

清除之后，直接按主机箱上的重启按钮重启

以清除内存中的病毒，防止病毒再次感染系统

如果以后有其它问题，欢迎再来电脑管家企业平台咨询

木马病毒是什么意思？

什么是木马 特洛伊木马(以下简称木马)，英文叫做“Trojan house”，其名称取自希腊神话的特洛伊木马记。 它是一种基于远程控制的黑客工具，具有隐蔽性和非授权性的特点。 所谓隐蔽性是指木马的设计者为了防止木马被发现，会采用多种手段隐藏木马，这样服务端即使发现感染了木马，由于不能确定其具 *** 置，往往只能望“马”兴叹。 所谓非授权性是指一旦控制端与服务端连接后，控制端将享有服务端的大部分操作权限，包括修改文件，修改注册表，控制鼠标，键盘等等，而这些权力并不是服务端赋予的，而是通过木马程序窃取的。 从木马的发展来看，基本上可以分为两个阶段。 最初 *** 还处于以UNIX平台为主的时期，木马就产生了，当时的木马程序的功能相对简单，往往是将一段程序嵌入到系统文件中，用跳转指令来执行一些木马的功能，在这个时期木马的设计者和使用者大都是些技术人员，必须具备相当的 *** 和编程知识。 而后随着WINDOWS平台的日益普及，一些基于图形操作的木马程序出现了，用户界面的改善，使使用者不用懂太多的专业知识就可以熟练的操作木马，相对的木马入侵事件也频繁出现，而且由于这个时期木马的功能已日趋完善，因此对服务端的破坏也更大了。 所以所木马发展到今天，已经无所不用其极，一旦被木马控制，你的电脑将毫无秘密可言。 什么是木马 特洛伊木马(以下简称木马)，英文叫做“Trojan house”，其名称取自希腊神话的特洛伊木马记。 它是一种基于远程控制的黑客工具，具有隐蔽性和非授权性的特点。 所谓隐蔽性是指木马的设计者为了防止木马被发现，会采用多种手段隐藏木马，这样服务端即使发现感染了木马，由于不能确定其具 *** 置，往往只能望“马”兴叹。 所谓非授权性是指一旦控制端与服务端连接后，控制端将享有服务端的大部分操作权限，包括修改文件，修改注册表，控制鼠标，键盘等等，而这些权力并不是服务端赋予的，而是通过木马程序窃取的。 从木马的发展来看，基本上可以分为两个阶段。 最初 *** 还处于以UNIX平台为主的时期，木马就产生了，当时的木马程序的功能相对简单，往往是将一段程序嵌入到系统文件中，用跳转指令来执行一些木马的功能，在这个时期木马的设计者和使用者大都是些技术人员，必须具备相当的 *** 和编程知识。 而后随着WINDOWS平台的日益普及，一些基于图形操作的木马程序出现了，用户界面的改善，使使用者不用懂太多的专业知识就可以熟练的操作木马，相对的木马入侵事件也频繁出现，而且由于这个时期木马的功能已日趋完善，因此对服务端的破坏也更大了。 所以所木马发展到今天，已经无所不用其极，一旦被木马控制，你的电脑将毫无秘密可言。 瑞星杀毒,金山毒霸,木马克星，卡巴斯基杀毒，江民杀毒都可以 木马--并不是一种对自己不利的“病毒”，能够应用和奴驾它的人，就将它看为是一种资源，像一些黑客用木马盗取某些国家或公司的机密文件等等…… 它是一种基于远程控制的黑客工具，具有隐蔽性和非授权性的特点。 一般自己中了木马病毒，首先要认清这是个什么病毒 有的很简单也很好解决，像Trojan.DL.Agent.dqi Trojan/Agent.ls都是很好解决的--先断开 *** ，然后打开IE浏览器，点工具里的INTERNET选项，然后把INTERNET临时文件夹中的所有文件都删除，最后再用瑞星就可以杀掉了。 参考资料 ;pagelist=171 其实 Trojan是某些防毒软件对后门木马的一种统称，它并不代表着固定的一个，而是一类，所以即使遇到同样名子的木马可能它们也并不相同。 费尔托斯特安全是一款可以清除木马和病毒的软件，并且有很强的清除能力，如果您有它的正式版可以在升级到最新病毒库后尝试用它扫描清除一下，但这里需要特别提醒一点： 由于这类木马新变种层出不穷，所以不能保证费尔托斯特安全能够识别出目前所有的或者您遇到的。 那么除此之外难道就没有其他办法了吗？有的，下面就介绍一个借助免费工具“费尔木马强力清除助手”(此工具已经集成到费尔托斯特安全新版本中了)来清除这种顽固性 Trojan 木马的 *** ： 使用这个 *** 前必须要先知道这个木马的文件名是什么。防毒软件在发现木马后一般都会报告它的完整文件名，您需要先准确的记录下这个文件名。比如：如果防毒软件提示 C:\Windows\hello.dll 是 Trojan/Agent.l，则记下 C:\Windows\hello.dll 这个名字。这里需要注意文件名一定要记准确，因为有许多木马会把自己的文件名故意伪装成和正常的文件名很接近，比如 svch0st.exe(木马)-svchost.exe(正常)、Expl0rer.exe(木马)-Explorer.exe(正常)、intrenat.exe / internet.exe(木马)-internat.exe(正常)等等。特别是数字0几乎和大写字母O一样，很容易让人看错，所以一定要注意区分它们，否则万一记错将有可能把正常的文件清除掉，那就麻烦了； 暂停防毒软件的实时监控，这一点很重要，否则在清除时可能会被阻止而无法成功。比如如果当初是你的诺顿发现了这个木马，那么请先暂停诺顿的实时监控或实时扫描； 下载费尔木马强力清除助手 ； 释放 PowerRmv.zip 到一个目录，然后执行其中的 PowerRmv.exe 启动“费尔木马强力清除助手”。在“文件名”中输入要清除的木马文件名。比如如果您在第1步中记下的文件名是 C:\Windows\hello.dll，那么这时就输入它； 按“清除”。这时程序会询问你是否要举报此病毒到费尔安全实验室，建议点“是”表示同意。接着程序会继续提示是否确定要清除它，仍然选“是”； 之后，如果此木马被成功清除程序会提示成功；或者也可能提示此木马无法被立即删除需要重启电脑。无论是哪种情况请点击“确定”，这时如果您在前面同意了举报此木马那么程序会自动创建并打开一个“病毒举报”的电子邮件，其中会包含这个木马的样本文件，如果您看到了这个邮件请把它直接发送给 virus@filseclab.com 。如果您并没有看到这封邮件也没有关系，可以忽略。 最后，如果程序前面提示了重启电脑后才能清除那么请一定重启您的电脑，在电脑重启后这个木马应该就被清除掉了。 也有稍顽固的木马，你可以进入DOS彻底删除！

什么是木马病毒

木马病毒源自古希腊特洛伊战争中著名的“木马计”而得名，顾名思义就是一种伪装潜伏的 *** 病毒，等待时机成熟就出来害人。

传染方式:通过电子邮件附件发出，捆绑在其他的程序中。

病毒特性:会修改注册表、驻留内存、在系统中安装后门程序、开机加载附带的木马。

木马病毒的破坏性:木马病毒的发作要在用户的机器里运行客户端程序，一旦发作，就可设置后门，定时地发送该用户的隐私到木马程序指定的地址，一般同时内置可进入该用户电脑的端口，并可任意控制此计算机，进行文件删除、拷贝、改密码等非法操作。

防范措施:用户提高警惕，不下载和运行来历不明的程序，对于不明来历的邮件附件也不要随意打开。