标题: 控制台程序运行不正常，如何解决（xp下） [打印本页]

---

作者: s11ss     时间: 2008-9-14 18:33    标题: 控制台程序运行不正常，如何解决（xp下）

打开控制台程序，如32位程序cmd.exe，其界面上会有乱码显示，chcp变为437，还会多出ntvdm.exe进程。

打开16位程序command.com也一样，还有如net和ipconfig等，
应当是所有控制台程序都这样，没一一试过。

如何解决啊~

[ Last edited by s11ss on 2008-9-14 at 06:36 PM ]

---

作者: huahua0919     时间: 2008-9-14 23:22
最起码先检查是否中毒啊.
多出的进程可疑性很大.如果是你自己的电脑就很容易判断.
病毒修改CHCP可能是让 显示在控制台上的信息让人无法辨别.

[ Last edited by huahua0919 on 2008-9-14 at 11:26 PM ]

---

作者: s11ss     时间: 2008-9-15 00:47

Quote:

Originally posted by huahua0919 at 2008-9-14 11:22 PM: 最起码先检查是否中毒啊. 多出的进程可疑性很大.如果是你自己的电脑就很容易判断. 病毒修改CHCP可能是让 显示在控制台上的信息让人无法辨别. [ Last edited by huahua0919 on 2008-9-14 at 11:26 PM ]

是中毒了，发帖时我没说。我是自认为把毒清除完了再发帖的。

---

作者: chenall     时间: 2008-9-15 01:31
病毒没有清理干净.
记得注册表有一个地方可以设置控制台的自动运行的(每次启动CMD.都会运行)可能和这个有关,可以自己找找看.

Quote:

两个都存在，这两个变量会先被执行。     HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor\AutoRun         和/或     HKEY_CURRENT_USER\Software\Microsoft\Command Processor\AutoRun

---

作者: s11ss     时间: 2008-9-15 14:21

Quote:

Originally posted by chenall at 2008-9-15 01:31 AM: 病毒没有清理干净. 记得注册表有一个地方可以设置控制台的自动运行的(每次启动CMD.都会运行)可能和这个有关,可以自己找找看.

看了，值都是空。唉！

我摸索着把
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WOW下的
cmdline重命名为-cmdline。
发现好像16位的程序如command.com和debug.exe等还是不能正常运行。

---

作者: huahua0919     时间: 2008-9-15 15:20
你看看影象劫持列表中是否CMD也被劫持?
我的WOW下的名字就是cmdline,并不要修改,值为%SystemRoot%\system32\ntvdm.exe -o

---

作者: s11ss     时间: 2008-9-15 16:07

Quote:

Originally posted by huahua0919 at 2008-9-15 03:20 PM: 你看看影象劫持列表中是否CMD也被劫持? 我的WOW下的名字就是cmdline,并不要修改,值为%SystemRoot%\system32\ntvdm.exe -o

我原来cmdline的值也是%SystemRoot%\system32\ntvdm.exe -o。而且我已经从其它电脑上拷了个ntvdm.exe过来，ntvdm.exe本身应当不为病毒所替换了。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options下没有cmd.exe这一项。