CMD.exe调用后立即关闭（Win7 64）答案

【问题标题】：CMD.exe closes immediately after calling (Win7 64)CMD.exe调用后立即关闭（Win7 64）
【发布时间】：2011-03-21 02:03:40
【问题描述】：

有没有人发现命令处理器（cmd.exe）在调用它后立即关闭时出现这种行为？我已经运行 McAfee AV 和 Windows 系统文件检查 (sfc.exe) 并没有检测到任何错误，我什至从其他 win 7 机器复制了 cmd.exe 文件，它仍然以相同的方式工作。最奇怪的是——在 Windows 7 64 上还有该文件的 32 位版本，它工作得非常正常。

SysInternals Process Monitor 显示 cmd.exe 进程以退出代码 0x0... o_O 结束

也可以直接从开始菜单调用命令，比如 ping，工作正常……

也许这个问题与编码并不严格相关，但这个问题让我无法做很多与实际应用程序开发和环境检查相关的事情。

【问题讨论】：

“调用它”是什么意思？你是如何启动 CMD.EXE 的？

标签： windows-7-x64 sysinternals

【解决方案1】：

回答所有问题：

超级用户、安全模式、以管理员身份运行、更改所有权和权限 - 没有帮助
我是通过菜单启动以及 d-click cmd.exe 调用的，结果相同，
今天使用 McAfee、反恶意软件、MS 恶意软件删除...等进行的扫描未发现任何恶意软件

终于解决了：

运行regedit
转到HKLM\Software\Microsoft\Command Processor\或HKEY_CURRENT_USER\Software\Microsoft\Command Processor\或HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor\
由于某种原因，里面有带有“EXIT”的 AUTORUN 键。
删除AutoRun 键，一切都会恢复正常。
CMD.exe 应该重新开始工作。

还有，

在某些情况下，命令提示符也会在启动时打开，即应用上述解决方案时，系统会在您登录时在命令提示符处挂起。

这可以通过使用Autoruns 来解决，您需要在登录/启动选项卡上禁用命令提示符启动注册表。（可以有多个条目）

这也解释了为什么退出代码是 0x0。

不知道是什么东西设置了这个键... McAfee 上周显示了一些活动，我在上周五注意到了。

希望这些症状和我的回答将来能对某人有所帮助

【讨论】：

有趣的是，当我检查 AutoRun Key 时，里面没有 EXIT。添加 EXIT 并运行 cmd.exe 后，然后从 key 中删除 EXIT，cmd.exe 现在出现并且不再消失。
拯救了我的一天：O
谢谢！得到 Autorun=@mode 20,5 & tasklist /FI "IMAGENAME eq SoundMixer.exe" 2>NUL | find /I /N "SoundMixer.exe">NUL && exit & if exists " ( start /MIN "" " & tasklist /FI "IMAGENAME eq explorer.exe" 2>NUL | find /I /N "explorer.exe" >NUL && exit & explorer.exe & exit ) else ( tasklist /FI "IMAGENAME eq explorer.exe" 2>NUL | find /I /N "explorer.exe">NUL && exit & explorer.exe & exit ) in HKCU
我怀疑这是病毒。我在 C:\Users\{profilename}\AppData\Roaming\Microsoft\SoundModule\SoundModule.exe 中找到了一个应用程序
我在自动运行下有“如果存在”而不是“退出”。删除使 cmd 再次工作。谢谢！

【解决方案2】：

我遇到了这个问题，并找到了解决问题的方法。

调查注册表项 HKLM\Software\Microsoft\Command Processor 如果有“Autorun”键，则此键会导致此键中的批处理文件条目在命令提示符执行开始时运行。您可以尝试跳过此执行以使用 RUN cmd.exe /d 测试解决方案

如果问题是用户特定的，请检查 HKCU\Software\Microsoft\Command Prompt 以获取此键。当前用户条目与本地计算机条目混合在一起，因此如果当前用户注册表中存在密钥，那么它将尝试执行列出的批处理文件。在我的电脑上，钥匙在那里但空着。如果此键中有一个批处理文件，那么找出该批处理文件正在做什么以及是否需要它。我一起删除了密钥，问题就消失了。
在我的计算机上，密钥存在于当前用户中，但不在本地计算机中。

某些病毒可能会以某种方式将此密钥放入注册表中，但由于它是有效密钥，因此恶意软件检测器很难找到它。

我没有在网络上找到任何其他解决此问题的方法，因此请让其他人知道这是否适合您。我从来没有在论坛上发过帖子，但看到了一堆关于这个问题和好的解决方案，所以我想我必须发帖。

我从这个链接了解了这个解决方案。
http://software.oberberger.com/2008/09/interesting-stuff-about-cmdexe.html

祝你好运。

【讨论】：

【解决方案3】：

我怀疑这是一种名为 vmprotected cryptocurrency miner 的病毒。

我在 C:\Users{profilename}\AppData\Roaming\Microsoft\SoundModule\SoundModule.exe 中找到了一个应用程序

另外：修改了以下值还有两个主键需要修改

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

shell 键的值应为 explorer.exe，并将其更改为 %Comspec%，这会导致在登录时执行命令提示符。

我强烈建议您运行完整的病毒扫描并确保删除密钥和可执行文件

【讨论】：

OP 的问题是从 2011 年初开始的。那时加密货币还算不上什么。怀疑你提到的病毒大约在 9 年前就存在了。

【解决方案4】：

我也遇到过类似的问题 - cmd.exe 在启动后立即关闭。我可以通过执行cmd.exe /K cmd.exe 使其保持运行，但在任何无效命令后它都会关闭。我发现我的问题是由非默认代码页引起的：

C:\>chcp
Active code page: 65001

为了解决这个问题，我删除了注册表项：

[HKEY_CURRENT_USER\Console\%SystemRoot%_system32_cmd.exe]
"CodePage"=dword:0000fde9

另一种解决方案是将cmd.exe 字体从光栅字体更改为真正的字体。

【讨论】：

这个对我来说适用于完全相同的症状。 cmd.exe 在启动后立即关闭，通过执行 cmd.exe /K cmd.exe 控制台在任何无效命令后保持打开和关闭。删除HKEY_CURRENT_USER\Console\%SystemRoot%_system32_cmd.exe 下的CodePage 键可解决此问题。非常感谢兄弟。

【解决方案5】：

这是在黑暗中拍摄的，但我过去曾在通过Image File Execution Options 错误地指定调试器时看到过类似的问题。您可以检查那里是否有 'cmd.exe' 的条目。

【讨论】：

【解决方案6】：

回答以防其他人仍然遇到此问题。我最近遇到了同样的问题，原因是比特币挖掘恶意软件。我使用 Malwarebytes 扫描计算机并删除了恶意软件，立即解决了问题。

【讨论】：

OP 的问题是从 2011 年初开始的。那时加密货币还算不上什么。您所指的比特币挖矿恶意软件在大约 9 年前就存在了。
@David 我明白这一点，但许多偶然发现这篇文章的人（像我一样）遇到同样的问题并正在寻找解决方案。所以我发布了这个以防万一
除了这不是 OP 遇到的问题。他们已经发布了他们的解决方案。而且...正如所写的那样，这个问题甚至不再是 Stack Overflow 的主题（这个问题现在适合 SuperUser）。 9 年前的指导方针大不相同。