[英]CMD.exe closes immediately - unusual line in AutoRun registry entry
我注意到我的命令行不再啟動,它只是立即最小化並在運行時自行關閉。 我懷疑這是由於病毒或至少某種惡意程序已被執行。 我在注冊表中找到了以下代碼。 看起來很清晰,但我對批處理/命令行的了解是有限的。 誰能告訴我它是做什么的?
@mode 20,5 & tasklist /FI "IMAGENAME eq SoundModule.exe" 2>NUL | find /I /N "SoundModule.exe">NUL && exit & if exist "C:\Users\Leon\AppData\Roaming\Microsoft\SoundModule\SoundModule.exe" ( start /MIN "" "C:\Users\Leon\AppData\Roaming\Microsoft\SoundModule\SoundModule.exe" & tasklist /FI "IMAGENAME eq explorer.exe" 2>NUL | find /I /N "explorer.exe">NUL && exit & explorer.exe & exit ) else ( tasklist /FI "IMAGENAME eq explorer.exe" 2>NUL | find /I /N "explorer.exe">NUL && exit & explorer.exe & exit )
根據這個 reddit 線程,它是一個“受 vmprotected 的加密貨幣礦工”。
如果您安裝了從 torrent 網絡下載的任何內容,例如過去幾周發布的流行游戲,您很可能會得到它:^)
以下 SO 線程包含部分解決方案: CMD.exe 在調用后立即關閉 (Win7 64)
惡意方通過注冊表向 Windows 命令處理器(通常為cmd.exe
)添加了一個AutoRun
指令,您需要從它所在的以下任何位置刪除該指令:
Computer\HKEY_CURRENT_USER\Software\Microsoft\Command Processor
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor
該指令的作用是執行SoundModule.exe
,然后執行explorer.exe
(如果尚未啟動)。
根據此線程中的另一個回復,他們將%comspec%
設置為在啟動時通過Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
運行。
所以在啟動時,它正在運行%comspec%
(而不是默認的 Windows Explorer),它本身在啟動時首先運行SoundModule.exe
然后explorer.exe
。 不知道他們為什么這樣做,任何使用cmd.exe
的人一定會弄清楚並傳播這個詞。
我的電腦上有相同的程序,檢查Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
的 shell 值,這很可能是“%comspec%” (這很有意義,為什么它只是 cmd 在啟動時運行%comspec%是cmd.exe
)並將其更改為"explorer.exe"
運行 regedit Go 到 HKLM\Software\Microsoft\Command Processor\ 或 HKEY_CURRENT_USER\Software\Microsoft\Command Processor\ 或 HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor\
由於某種原因,里面有帶有“EXIT”的AUTORUN鍵。
刪除 AutoRun 鍵,cmd 將正常工作。 Then check Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon for the shell value which is most likely "%comspec%" (which makes sense why it was just cmd running on startup since %comspec% is cmd.exe)並將其更改為上述用戶所說的“explorer.exe”。
編輯:我還發現它是一種加密貨幣挖掘病毒,位於我的案例中的 %appdata%\Microsoft\SoundModule 或 SoundMixer。 您可能也應該刪除此文件。
作為參考,我將補充一點,我能夠通過使用Win-R
調出“運行”對話框並鍵入cmd /d
(根據 windows 文檔禁用任何自動運行)來驗證我的問題是自動運行注冊表項 [https ://docs.microsoft.com/en-us/windows-server/administration/windows-commands/cmd]. 這成功打開了命令提示符 window。
檢查注冊表,我的HKEY_CURRENT_USER\Software\Microsoft\Command Processor
具有Autorun
as Type= REG_SZ
和 Data= if exist
。 我創建了一個還原點,然后將該鍵重命名為AutorunOld
... 然后我能夠毫無問題地打開命令提示符。
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.