我注意到我的命令行不再启动,它只是立即最小化并在运行时自行关闭。我怀疑这是由于病毒或至少某种恶意程序已被执行。我在注册表中找到了以下代码。看起来很清晰,但我对批处理/命令行的了解是有限的。谁能告诉我它是做什么的?
@mode 20,5 & tasklist /FI "IMAGENAME eq SoundModule.exe" 2>NUL | find /I /N "SoundModule.exe">NUL && exit & if exist "C:\Users\Leon\AppData\Roaming\Microsoft\SoundModule\SoundModule.exe" ( start /MIN "" "C:\Users\Leon\AppData\Roaming\Microsoft\SoundModule\SoundModule.exe" & tasklist /FI "IMAGENAME eq explorer.exe" 2>NUL | find /I /N "explorer.exe">NUL && exit & explorer.exe & exit ) else ( tasklist /FI "IMAGENAME eq explorer.exe" 2>NUL | find /I /N "explorer.exe">NUL && exit & explorer.exe & exit )
最佳答案
根据 this reddit thread ,它是一个“vmprotected cryptocurrency miner”。
如果您安装了从 torrent 网络下载的任何东西,例如过去几周发布的流行游戏,您很可能会得到它 :^)
以下 SO 线程包含部分解决方案:CMD.exe closes immediately after calling (Win7 64)
恶意方通过注册表向 Windows 命令处理器(通常是 cmd.exe
)添加了一个 AutoRun
指令,您需要从以下任何位置删除它存在于:
计算机\HKEY_CURRENT_USER\Software\Microsoft\命令处理器
计算机\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\命令处理器
该指令的作用是执行 SoundModule.exe
,然后执行 explorer.exe
(如果尚未启动)。
根据 the other reply in this thread ,他们通过 Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
将 %comspec%
设置为在启动时运行。
所以在启动时,它运行 %comspec%
(而不是默认的 Windows 资源管理器),它本身在启动时首先运行 SoundModule.exe
,然后是 explorer .exe
。不确定他们为什么这样做,任何使用 cmd.exe
的人都一定会弄清楚并传播信息。
关于windows - CMD.exe 立即关闭 - 自动运行注册表项中的异常行,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/58849884/