CMD.exe 立即關閉 - 自動運行注冊表項中的異常行

Question

我注意到我的命令行不再啟動，它只是立即最小化並在運行時自行關閉。 我懷疑這是由於病毒或至少某種惡意程序已被執行。 我在注冊表中找到了以下代碼。 看起來很清晰，但我對批處理/命令行的了解是有限的。 誰能告訴我它是做什么的？

@mode 20,5 & tasklist /FI "IMAGENAME eq SoundModule.exe" 2>NUL | find /I /N "SoundModule.exe">NUL && exit & if exist "C:\Users\Leon\AppData\Roaming\Microsoft\SoundModule\SoundModule.exe" ( start /MIN "" "C:\Users\Leon\AppData\Roaming\Microsoft\SoundModule\SoundModule.exe" & tasklist /FI "IMAGENAME eq explorer.exe" 2>NUL | find /I /N "explorer.exe">NUL && exit & explorer.exe & exit ) else ( tasklist /FI "IMAGENAME eq explorer.exe" 2>NUL | find /I /N "explorer.exe">NUL && exit & explorer.exe & exit )

Answer 1

根據這個 reddit 線程，它是一個“受 vmprotected 的加密貨幣礦工”。

如果您安裝了從 torrent 網絡下載的任何內容，例如過去幾周發布的流行游戲，您很可能會得到它:^)

以下 SO 線程包含部分解決方案： CMD.exe 在調用后立即關閉 (Win7 64)

惡意方通過注冊表向 Windows 命令處理器（通常為cmd.exe ）添加了一個AutoRun指令，您需要從它所在的以下任何位置刪除該指令：

• Computer\HKEY_CURRENT_USER\Software\Microsoft\Command Processor
• Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor

該指令的作用是執行SoundModule.exe ，然后執行explorer.exe （如果尚未啟動）。

根據此線程中的另一個回復，他們將%comspec%設置為在啟動時通過Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon運行。

所以在啟動時，它正在運行%comspec% （而不是默認的 Windows Explorer），它本身在啟動時首先運行SoundModule.exe然后explorer.exe 。 不知道他們為什么這樣做，任何使用cmd.exe的人一定會弄清楚並傳播這個詞。

此文件至少有兩條已確認的 VirusTotal 記錄： [1] 、 [2]

Answer 2

我的電腦上有相同的程序，檢查Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon的 shell 值，這很可能是“%comspec%” （這很有意義，為什么它只是 cmd 在啟動時運行%comspec%是cmd.exe ）並將其更改為"explorer.exe"

Answer 3

運行 regedit Go 到 HKLM\Software\Microsoft\Command Processor\ 或 HKEY_CURRENT_USER\Software\Microsoft\Command Processor\ 或 HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor\

由於某種原因，里面有帶有“EXIT”的AUTORUN鍵。

刪除 AutoRun 鍵，cmd 將正常工作。 Then check Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon for the shell value which is most likely "%comspec%" (which makes sense why it was just cmd running on startup since %comspec% is cmd.exe)並將其更改為上述用戶所說的“explorer.exe”。

編輯：我還發現它是一種加密貨幣挖掘病毒，位於我的案例中的 %appdata%\Microsoft\SoundModule 或 SoundMixer。 您可能也應該刪除此文件。

Answer 4

作為參考，我將補充一點，我能夠通過使用Win-R調出“運行”對話框並鍵入cmd /d （根據 windows 文檔禁用任何自動運行）來驗證我的問題是自動運行注冊表項 [https ://docs.microsoft.com/en-us/windows-server/administration/windows-commands/cmd]. 這成功打開了命令提示符 window。

檢查注冊表，我的HKEY_CURRENT_USER\Software\Microsoft\Command Processor具有Autorun as Type= REG_SZ和 Data= if exist 。 我創建了一個還原點，然后將該鍵重命名為AutorunOld ... 然后我能夠毫無問題地打開命令提示符。