系统里出现多个CMD，资源占用100% bbs.ikaka.com

武装党卫队 - 2010-5-30 12:54:00

　　我的系统最近经常出现多个CMD，开机后不出现，一般往往是半小时不用电脑后进程里就出现多个CMD.exe反复运行然后结束之后再运行，因为速度很快，都是反复开和关，我都来不及在进程中点取来获取文件的路径，所以非常头痛，一旦出现这个情况CPU资源占用就100%，然后只有重新启动才能消除，很是麻烦，我的电脑上装的是瑞星杀毒和卡卡，希望各位高手帮忙，不知是否有专杀软件。

同时，电脑每天还会数次跳出如下对话框。

　　随后使用“金山急救箱”扫描，但每次扫描到98%的时候会扫描出异常，此时“金山急救箱”也会无响应，最后只能结束程序，扫描到98%的时候图片如下，之后“金山急救箱”就歇菜了。

现在遇到的情况是并没有在c:\program files\里找到tencent\这个文件夹，虽然我已经选择了显示隐藏文件和系统文件的选项，但还是找不到这个文件夹，此外SRENG扫描日志过程中在最后时刻也歇菜了，最后只能结束任务。

而c:\windows\tasks这个目录下类似atxxx.job文件有3万多个，几十个一起删就无响应，只能10多个一起删，现在删到剩余18500个，之后没有再新增加atxxx.job文件。

以下3图是CMD.exe发作时的任务管理器截图，CMD.exe反复出现又关闭一会多一会少，但CPU使用率一直是100%

此外，在瑞星杀毒的系统加固中看到，C\D\E\F盘里都有AUTORUN.INF一天之内访问了无数次的explorer.exe，但都被阻止了，但我搜查了这些夹却又没找到AUTORUN.INF这个文件，是否这个AUTORUN.INF就是病毒？

狙剑的扫描日志和一个atxxx.job的压缩文件现在上传给各位高手。

附件: At23502.rar

附件: SystemLog.rar

超级游戏迷 - 2010-5-30 15:50:00

请按版规要求，扫描并上传SRENG日志……

另：图文貌似没啥联系的说……

超级游戏迷 - 2010-5-30 16:30:00

请按照路径找到c:\program files\tencent\qqupdate\myat.cmd这个文件，用WINRAR压缩后，上传压缩包。

之后，请按步骤做：
1、删除:\program files\tencent\qqupdate\myat.cmd这个文件；
2、删除c:\windows\tasks这个目录下类似atxxx.job类型的所有文件；
3、重启电脑。

武装党卫队 - 2010-5-30 16:36:00

现在遇到的情况是并没有在c:\program files\里找到tencent\这个文件夹，虽然我已经选择了显示隐藏文件和系统文件的选项，但还是找不到这个文件夹，此外SRENG扫描日志过程中在最后时刻也歇菜了，最后只能结束任务。

而c:\windows\tasks这个目录下类似atxxx.job文件有3万多个，几十个一起删就无响应，只能10多个一起删。

超级游戏迷 - 2010-5-30 16:51:00

置顶帖下个冰刃，再在那个位置上找一下，如果找不到，可能该文件释放计划任务后自毁了。

局域网的话，可能是因为别的计算机不断向你机c:\program files\tencent\qqupdate目录下释放myat.cmd这个文件导致，可断网检测下。

装瑞星杀软的话，利用“系统加固”，监控什么进程在不断访问c:\windows\system32\cmd.exe这个系统程序。

我机啥杀软也没装，残念……

byxxdrls - 2010-5-30 16:55:00

不知用DOS命令来删除JOB文件是不是比较合适些。

超级游戏迷 - 2010-5-30 16:56:00

引用:

原帖由 武装党卫队 于 2010-5-30 16:36:00 发表
现在遇到的情况是并没有在c:\program files\里找到tencent\这个文件夹，虽然我已经选择了显示隐藏文件和系统文件的选项，但还是找不到这个文件夹，此外SRENG扫描日志过程中在最后时刻也歇菜了，最后只能结束任务。

而c:\windows\tasks这个目录下类似atxxx.job文件有3万多个，多个一起删就无响应，只能一个个删。

这个很正常，同时删除过多文件，系统响应延迟。

断网状态下再尝试那些计划任务文件，删完后再联网，如果一联网后又发作，说明你机里有一个病毒源文件没删除，或者某台远程计算机向你机释放病毒，继而不断调用CMD.EXE文件生成病毒计划任务文件。

武装党卫队 - 2010-5-30 16:57:00

我的机器是家用机怎么办啊？

超级游戏迷 - 2010-5-30 17:08:00

5楼第一行字先看一下，置顶有下载链接……

武装党卫队 - 2010-5-30 17:21:00

下了 IceSword122cn.rar解压一运行机器自动重启，重新开机后 IceSword122cn文件都不见了。
IceSword120_cn.zip 打开并运行了，但不知道怎么用，似乎没见到与扫描这个键。

武装党卫队 - 2010-5-30 20:29:00

我进行了一系列的检查，并更新了顶楼的内容，请各位高手看下。

超级游戏迷 - 2010-5-30 20:47:00

那就对了，你机“文件夹选项”对应的注册表项，可能已被病毒监视了，所以找不到文件；冰刃无法运行，估计也和中毒有关。

建议到http://bbs.ikaka.com/showtopic-8442813.aspx这个帖子的5楼下载个狙剑，用它扫个日志发上来，感觉有点怪。

byxxdrls - 2010-5-30 21:30:00

把windows\tasks下的一个AT*.job压缩一下发上来。建议先禁用计划任务，重启一下再扫描日志。

liangqi20001 - 2010-5-30 22:56:00

如果你有系统盘的话，用系统盘进入PE环境删除cdef盘的autorun.inf文件（先看看里面有什么，最好发上来），然后再把windows\tasks下所有文件删除并发一个上来看看

武装党卫队 - 2010-5-30 23:34:00

引用:

原帖由 byxxdrls 于 2010-5-30 21:30:00 发表
把windows\tasks下的一个AT*.job压缩一下发上来。建议先禁用计划任务，重启一下再扫描日志。

c:\windows\tasks这个目录下类似atxxx.job文件有3万多个，几十个一起删就无响应，只能10多个一起删，现在删到剩余18500个，之后没有再新增加atxxx.job文件。

武装党卫队 - 2010-5-30 23:35:00

狙剑的扫描日志和一个atxxx.job的压缩文件现在上传给各位高手。

附件: At23502.rar

附件: SystemLog.rar

过客2007 - 2010-5-30 23:54:00

楼主加QQ:476186923远程帮楼主解决吧...

这个可能是木马群,

武装党卫队 - 2010-5-31 10:25:00

感谢版主，我加你QQ。

超级游戏迷 - 2010-5-31 17:32:00

引用:

进程：C:\ddownsae\Help\Tours\GomezPEERabc111\ctfmon.exe.exe

楼主还在么？用WINRAR找到并压缩上面这个文件，以附件方式传上来。

引用:

进程：C:\WINDOWS\system32\svchost

日志里这个没扩展名的svchost文件，不知是狙剑本身原因，还是确实就有这么个文件。

瑞星卡卡安全论坛