|
s11ss
银牌会员
积分 2098
发帖 566
注册 2007-9-11
状态 离线
|
『楼 主』:
控制台程序运行不正常,如何解决(xp下)
打开控制台程序,如32位程序cmd.exe,其界面上会有乱码显示,chcp变为437,还会多出ntvdm.exe进程。
打开16位程序command.com也一样,还有如net和ipconfig等,
应当是所有控制台程序都这样,没一一试过。
如何解决啊~
[ Last edited by s11ss on 2008-9-14 at 06:36 PM ]
|
|
 2008-9-14 18:33 |
|
|
huahua0919
银牌会员
积分 1608
发帖 780
注册 2007-10-7
状态 离线
|
『第
2 楼』:
最起码先检查是否中毒啊.
多出的进程可疑性很大.如果是你自己的电脑就很容易判断.
病毒修改CHCP可能是让 显示在控制台上的信息让人无法辨别.
[ Last edited by huahua0919 on 2008-9-14 at 11:26 PM ]
|
|
|
2008-9-14 23:22 |
|
|
s11ss
银牌会员
积分 2098
发帖 566
注册 2007-9-11
状态 离线
|
『第
3 楼』:
| Quote: | Originally posted by huahua0919 at 2008-9-14 11:22 PM:
最起码先检查是否中毒啊.
多出的进程可疑性很大.如果是你自己的电脑就很容易判断.
病毒修改CHCP可能是让 显示在控制台上的信息让人无法辨别.
[ Last edited by huahua0919 on 2008-9-14 at 11:26 PM ] |
|
是中毒了,发帖时我没说。我是自认为把毒清除完了再发帖的。
|
|
|
2008-9-15 00:47 |
|
|
chenall
银牌会员
积分 1276
发帖 469
注册 2002-12-23
来自 福建泉州
状态 离线
|
『第
4 楼』:
病毒没有清理干净.
记得注册表有一个地方可以设置控制台的自动运行的(每次启动CMD.都会运行)可能和这个有关,可以自己找找看.
| Quote: | 两个都存在,这两个变量会先被执行。
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor\AutoRun
和/或
HKEY_CURRENT_USER\Software\Microsoft\Command Processor\AutoRun |
|
|
QQ:366840202
http://chenall.net |
|
|
2008-9-15 01:31 |
|
|
s11ss
银牌会员
积分 2098
发帖 566
注册 2007-9-11
状态 离线
|
『第
5 楼』:
| Quote: | Originally posted by chenall at 2008-9-15 01:31 AM:
病毒没有清理干净.
记得注册表有一个地方可以设置控制台的自动运行的(每次启动CMD.都会运行)可能和这个有关,可以自己找找看.
|
|
看了,值都是空。唉!
我摸索着把
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WOW下的
cmdline重命名为-cmdline。
发现好像16位的程序如command.com和debug.exe等还是不能正常运行。
|
|
|
2008-9-15 14:21 |
|
|
huahua0919
银牌会员
积分 1608
发帖 780
注册 2007-10-7
状态 离线
|
『第
6 楼』:
你看看影象劫持列表中是否CMD也被劫持?
我的WOW下的名字就是cmdline,并不要修改,值为%SystemRoot%\system32\ntvdm.exe -o
|
|
|
2008-9-15 15:20 |
|
|
s11ss
银牌会员
积分 2098
发帖 566
注册 2007-9-11
状态 离线
|
『第
7 楼』:
| Quote: | Originally posted by huahua0919 at 2008-9-15 03:20 PM:
你看看影象劫持列表中是否CMD也被劫持?
我的WOW下的名字就是cmdline,并不要修改,值为%SystemRoot%\system32\ntvdm.exe -o |
|
我原来cmdline的值也是%SystemRoot%\system32\ntvdm.exe -o。而且我已经从其它电脑上拷了个ntvdm.exe过来,ntvdm.exe本身应当不为病毒所替换了。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options下没有cmd.exe这一项。
|
|
|
2008-9-15 16:07 |
|
