无法打开CMD和注册表的解决!!!!
前天中电脑中毒后我再次打开电脑,在运行框中输入CMD,不是吧,系统居然提示找不到CMD文件,如下图示:<A href="http://uimg.qihoo.com/qhimg/quc//711_136/10/01/56/100156qaeeeb.7720e6.jpg" target=_blank><IMG src="http://uimg.qihoo.com/qhimg/quc//711_136/10/01/56/100156qaeeeb.7720e6.jpg" onload="if(this.width>600){this.resize=true;this.width = 600;}"></A><BR><BR>点击<FONT color=#ff6600>确定</FONT>又会弹出另外一个框:<BR><BR>原以为是系统变量设置出了问题,直接打开我的电脑,进入<FONT color=#ff6600>C:\WINDOWS\SYSTEM32\</FONT>目录下,找到CMD.EXE直接运行,也是这样的情况!<BR><BR>马上进入到<FONT color=#ff6600>C:\WINDOWS\SYSTEM32\DLLCATCH\</FONT>目录下,运行CMD.EXE文件,也是同样的提示:<BR><BR>运行<FONT color=#ff6600>command</FONT>命令,虽然能弹出提示符状态,但是几乎所有的命令都不能用。用 <FONT color=#ff6600>GHOSTEXP.EXE </FONT>把原来备份中的CMD.EXE提取出来把 <FONT color=#ff6600>%SYSTEM% </FONT>和 <FONT color=#ff6600>%SYSTEM%\DLLCATCH </FONT>下的CMD.EXE文件覆盖掉,双击运行之后仍然是这样的提示。准备退出来的时候突然发现在<FONT color=#ff6600>C:\WINDOWS</FONT>下有一个<FONT color=#ff6600>CDE.EXE.EXE</FONT>莫非这个就是原来的CMD.EXE文件,只是被修改了名字换了个地方,但是双击之后仍旧不能运行。<BR><BR><FONT color=#ff0000>注:%system%指的是C:\WINDOWS\SYSTEM32或者是C:\WINNT\SYSTEM32目录。更多的请参考:</FONT><A href="http://baike.360.cn/3230174/4035636.html" target=_blank><FONT color=#0000ff>系统exe文件关联被修改,如何恢复exe文件关联</FONT></A><BR><BR>糟了,中毒了,用咔吧查,什么病毒都没查出来,具体的什么病毒都不知道,看来只能自己找资料手动解决这个问题了。很有可能就是一些病毒修改了注册表,于是在运行框中输入REGEDIT,居然弹出现面的提示:<BR><BR>连注册表业打不开了,会不会是系统的<FONT color=#ff6600>EXE文件关联</FONT>被修改了,这个需要通过修改注册表来恢复。但是注册表现在又打不开,用记事本编辑注册表文件,再导入不就可以了么?<BR><BR>于是打开记事本文档,在里面输入以下内容(<FONT color=#ff0000>目的是允许当前用户运行cmd命令</FONT>):<BR><BR><FONT color=#3366ff>============================================<BR><BR>Windows Registry Editor Version 5.00</FONT><FONT color=#3366ff> <BR><BR>[HKEY_CLASSES_ROOT\exefile\shell\open\command]<BR><BR>@="\"%1\" %*"</FONT><BR><BR>============================================<BR><BR>保存为cmd.reg(文件名可以任意),运行导入,结果弹出下面提示:<BR><BR>看来这个也不能用了,会不会是自己编辑注册表文件的时候输错了呢?带着这个疑问,我打开了另外一个注册表文件,也是同样的提示:<BR><BR><BR>看来是病毒的原因了。<BR><BR>想通过批处理命令来对注册表操作,随便找了一个批处理命令双击,也不行:<BR><BR><BR>头都有点大了,不知道该这么办了,突然想起来EXE文件虽然不可以运行,但是COM文件中应该可以运行吧!于是进入 <FONT color=#ff6600>C:\WINDOWS\</FONT> 把 <FONT color=#ff6600>regedit.exe</FONT> 改名为 <FONT color=#ff6600>regedit.com</FONT> 双击运行,即可打开注册表编辑器。<BR><BR>这下就可以修复文件关联了,具体的操作<FONT color=#ff0000>请参考:<A href="http://baike.360.cn/3230174/4035469.html" target=_blank><FONT color=#0000ff>系统exe文件关联被修改,如何恢复exe文件关联一文</FONT></A></FONT>。<BR><BR>EXE文件关联修复之后,问题依旧,看来问题没有那么简单,不是EXE文件关联,那能是什么原因呢?<BR><BR>会不会是因为用户权限被修改的原因呢(<FONT color=#ff0000>在注册表中可以设置禁止用户运行批处理文件和CMD</FONT>),于是打开注册表编辑器,进入HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System<BR><BR>新建一个<FONT color=#ff6600>双字节值项DisableCMD</FONT>(<FONT color=#ff0000>如果没有的话,有的话直接修改其值就可以了,但要注意的是必须是双字节值,不是的话需要删掉重建</FONT>),将其值设为 0 (这里的作用就是<FONT color=#ff0000>使用户可以运行cmd和批处理文件</FONT>),当然它也有其它的参数:修改其值为2,则命令解释器和批处理文件都不能够被运行;如果只是禁止命令解释器的运行,而运行批处理文件的运行,则修改DisableCMD的值为1。这些大家可以自行试试!<BR><BR>当然也可以通过下面的注册表文件导入方法来实现(前提是等到注册表修复之后):<BR><BR><FONT color=#3366ff>============================================<BR><BR>Windows Registry Editor Version 5.00</FONT><BR><BR><FONT color=#3366ff>[HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System]<BR><BR>"DisableCMD"=dword:00000000 <BR><BR>============================================<BR><BR></FONT><FONT color=#000000>虽然权限也设置过了,但是问题依旧没有解决。真的有点不知道该怎么办了?呜呜…………<BR><BR>虽然还没找到彻底解决的办法,但是可以先给大家提供一个临时解决的办法,将系统中的CMD.EXE,REGEDIT.EXE,MSCONFIG.EXE文件的扩展名都改为COM基本上就可以暂时使用了!只不过要在运行框中输入命令时要带上COM扩展名。</FONT><BR><BR><BR><BR>找了这么久,终于找到原因了,原来是中了<FONT color=#ff0000>映像劫持</FONT>病毒了,对于这种病毒只需要把映像劫持给关了就行了,可以通过修改注册表来实现:把<FONT color=#ff0000>[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]</FONT>项删除即可。<BR><BR>好了,问题解决了,你改名的那些文件也该改过来了(把 <FONT color=#ff6600>COM </FONT>改回 <FONT color=#ff6600>EXE </FONT>),嘎嘎~~关于<B><FONT color=#ff0000>映像劫持</FONT></B>方面的问题,过两天会给大家贴出来的!<BR>页:
[1]
