开机跳出DOS窗口,关闭就跟着弹出错误对话框“16位MS-DOS子系统”:c:\windows\system32\ctfmon.exe NTVDM CPU遇到无效指令 CS:xxxx IP:xxxx OP:xx xx xx xx xx 选择关闭结束该程序。同时还有ntsd -d的错误程序提示窗出现。
一看后面的ntsd -d就知道有映像劫持了,现在新的劫持,不再用病毒文件来劫持了,用ntsd或系统文件svchost.exe来劫持(debugger值),可以躲过SREng的扫描(2.5的扫不出,但新的2.6版可以扫出)和杀毒软件的追杀。
进入注册表,如果regedit.exe被劫持的话,可以改个名字运行,或运行regedt32.exe。找到映像劫持项HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options,把下面带有debugger值为ntsd -d的项目全删除(除了Your Image File Name Here without a path这一项,这是示例不用删)。为安全起见,可以在Image File Execution Options上右击,打开权限,把里面的“完全控制”权限全取消。
下面就是解决那个无效指令的问题了。检查ctfmon.exe文件的属性,发现变成了DOS文件的样式,没有正常ctfmon.exe应有的版本信息,肯定是被病毒替换了。建议找个正常的ctfmon.exe文件替换回来,毕竟ctfmon.exe是文字服务的文件。当然你要删它也行,反正不影响什么,只是输入法会不显示而已,但仍可以用键盘来切换(如果要删除的话,记得把启动项中的ctfmon.exe也一起删除了)。
>> 除非说明均为原创,如转载请注明来源于http://www.stormcn.cn/post/66.html
