1、用改名大法将system32和dllcache目录下的cmd.exe临时改名为cm.dll(为安全起见,笔者使用了WinRAR的资源管理功能),再重启系统看看。
用WinRAR的资源管理功能改名
2、重启系统后,检查system32和dllcache目录。发现改名后的cm.dll都还在,但system32目录下出现了一个怪怪的cmd.exe(见下图)。这个cmd.exe的logo不同于正常的cmd.exe,这个就是病毒现从I386目录里找出来的!
3、不管这些,先看看病毒文件能否手工删除(如果那个cmd.exe管用,那么NetApi000.sys即可加载,病毒就会运行),结果所有病毒文件都可以被一一删除了。
4、删除system32目录下那个异常的cmd.exe。将system32和dllcache目录下的cm.dll改回cmd.exe。
注:此测试电脑只有一个分区,处理到这里,就完事了。但多分区系统(一般用户都会有多个分区),非系统分区还会有病毒的,记得删除其他几个分区里的病毒,打开其他分区时点鼠标右键—>打开进入,而不是直接双击。最重要的,还是要用最新病毒库的杀毒软件全盘杀毒,切记!