今天我同學(xué)的電腦，開(kāi)始運(yùn)行“cmd regedit msconfig” 這三個(gè)命令都不行 ，提示"找不到文件"。可是文件明明在阿。

直接運(yùn)行system32目錄下的cmd也不行，照樣提示"找不到文件"。把cmd改名為cmd1就能夠運(yùn)行

我的處理過(guò)程：

開(kāi)始我懷疑是中病毒了，是病毒程序在監(jiān)聽(tīng)哪個(gè)程序標(biāo)題為“cmd”，發(fā)現(xiàn)就結(jié)束。

首先用卡巴掃了一下啟動(dòng)項(xiàng)，沒(méi)發(fā)現(xiàn)病毒。又用冰刃查了一下啟動(dòng)項(xiàng)，進(jìn)程，都沒(méi)問(wèn)題。

想了想會(huì)不會(huì)中了rootkit 級(jí)的馬兒，可用冰刃仔細(xì)看了看內(nèi)核，沒(méi)有顯示紅色的阿，剛才殺毒軟件也沒(méi)報(bào)，是的可能性就不怎么大了。

那會(huì)不會(huì)是這個(gè)文件遭病毒感染了，我最討厭感染型的蠕蟲病毒了。我從我自己的電腦上把才cmd.exe拷貝過(guò)來(lái)了，用軟件比較了下（光看大小不行的），一樣的。

Hash.zip (28.61 KB , 下載:6次)

----------------------------------------------------------------------------

文件: C:WINDOWSsystem32cmd.exe
大小: 470528 字節(jié)
文件版本: 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
修改時(shí)間: 2005年12月15日, 8:00:00
MD5: 722A247ACB86960A708528120759266D
SHA1: A859B7173FB0B1786BE07B01F779725EDF9043E7
CRC32: 15544920

----------------------------------------------------------------------------- 

后來(lái)經(jīng)過(guò)詢問(wèn)前幾天中過(guò)病毒，會(huì)不會(huì)是上次病毒修改了注冊(cè)表什么地方，雖然病毒是被殺了，但是修改的地方仍然沒(méi)有改過(guò)來(lái)的呢。結(jié)果證明，這個(gè)判斷是正確的。

具體處理方法：

 用冰刃的修改注冊(cè)表，或者將windeows目錄下的regedit.exe修改一下名字，比如叫regedit1.exe，修改注冊(cè)表。

將HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options  里面的

cmd.exe
msconfig.exe
regedit.exe
regedit32.exe

刪除就可以了。

典型的 映像劫持。

這只是處理病毒后遺癥，具體的處理病毒的方法沒(méi)有寫，因?yàn)橛泻芏嗖《径紩?huì)造成這種狀況，具體病毒具體對(duì)待。