Originally posted by huahua0919 at 2008-9-15 03:20 PM:
你看看影象劫持列表中是否CMD也被劫持?
我的WOW下的名字就是cmdline,并不要修改,值为%SystemRoot%\system32\ntvdm.exe -o
我原来cmdline的值也是%SystemRoot%\system32\ntvdm.exe -o。而且我已经从其它电脑上拷了个ntvdm.exe过来,ntvdm.exe本身应当不为病毒所替换了。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options下没有cmd.exe这一项。