今天我同学的电脑,开始运行“cmd regedit msconfig” 这三个命令都不行 ,提示"找不到文件"。可是文件明明在阿。
直接运行system32目录下的cmd也不行,照样提示"找不到文件"。把cmd改名为cmd1就能够运行
我的处理过程:
开始我怀疑是中病毒了,是病毒程序在监听哪个程序标题为“cmd”,发现就结束。
首先用卡巴扫了一下启动项,没发现病毒。又用冰刃查了一下启动项,进程,都没问题。
想了想会不会中了rootkit 级的马儿,可用冰刃仔细看了看内核,没有显示红色的阿,刚才杀毒软件也没报,是的可能性就不怎么大了。
那会不会是这个文件遭病毒感染了,我最讨厌感染型的蠕虫病毒了。我从我自己的电脑上把才cmd.exe拷贝过来了,用软件比较了下(光看大小不行的),一样的。
Hash.zip (28.61 KB , 下载:6次)
----------------------------------------------------------------------------
文件: C:WINDOWSsystem32cmd.exe
大小: 470528 字节
文件版本: 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
修改时间: 2005年12月15日, 8:00:00
MD5: 722A247ACB86960A708528120759266D
SHA1: A859B7173FB0B1786BE07B01F779725EDF9043E7
CRC32: 15544920
-----------------------------------------------------------------------------
后来经过询问前几天中过病毒,会不会是上次病毒修改了注册表什么地方,虽然病毒是被杀了,但是修改的地方仍然没有改过来的呢。结果证明,这个判断是正确的。
具体处理方法:
用冰刃的修改注册表,或者将windeows目录下的regedit.exe修改一下名字,比如叫regedit1.exe,修改注册表。
将HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options 里面的
cmd.exe
msconfig.exe
regedit.exe
regedit32.exe
删除就可以了。
典型的 映像劫持。
这只是处理病毒后遗症,具体的处理病毒的方法没有写,因为有很多病毒都会造成这种状况,具体病毒具体对待。