瑞星卡卡安全论坛

今天在同事的电脑上发现了Backdoor.Win32.RWX.l，用瑞星清除后发现cmd.exe、regedit.exe、regedt32.exe都不能运行，后来发现是被映像劫持了，用IceSword的注册表编辑功能删除[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cmd.exe]、[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe]、[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedt32.exe]等键值，这些程序都能运行了，希望瑞星以后加上修复映像劫持的功能，这样就完美了。

[用户系统信息]Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; SV1; .NET CLR 1.1.4322; MAXTHON 2.0)