上次我机器中了exeroute,有中过的人也知道,这个后门还不错,也有点变态了。
共产生14个文件和2个文件夹。注册表部分,除了1个Run和System.ini,比较有特点是,非普通地利用了EXE文件关联。先修改了.exe的默认值,改.exe从默认的exefile更改为winfiles,然后再创建winfiles键值,使EXE文件关联与木马挂钩,它的一个可执行体是.com的。当然,清除的方法也很简单,不过需要注意步骤:
一、注册表
先使用注册表修复工具,或者直接使用regedit修正以下部分1.SYSTEM.INI
NT/XP系统在注册表
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion/\Winlogon |
shell = Explorer.exe 1 修改为shell = Explorer.exe。
2.将
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run |
下的Torjan Program-C:\WINNT\(windows)services.exe删除。
3.HKEY_Classes_root.exe默认值 winfiles 改为exefile。
4.删除以下两个键值:HKEY_Classes_rootwinfiles和HKEY_Local_machinesoft wareclasse swinfiles。
二、重启系统
然后重启系统,删除以下文件部分,注意打开各分区时,先打开“我的电脑”后请使用右键单击分区,选“打开”进入。删除以下文件c:\antorun.inf(如果你有多个分区,请检查其他分区是否有这个文件,有也一并删除)
%programfiles%common filesiexplore.pif
%programfiles%Internat exploreriexplore.com
%windir%1.com
%windir%exeroute.exe
%windir%explorer.com
%windir%finder.com
%windir%mswinsck.ocx
%windir%services.exe
%windir%system32command.pif
%windir%system32dxdiag.com
%windir%system32finder.com
%windir%system32msconfig.com
%windir%system32
egedit.com
%windir%system32
undll32.com |
删除以下文件夹:
%windir%debug
%windir%system32NtmsData |
然后重新启动计算机。
声明:中国IT运维网登载此文出于传递更多信息之目的,并不意味着本站赞同其观点或证实其描述。其原创性以及文中陈述
文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或
承诺,请网友及读者仅作参考,并请自行核实相关内容。如原作者不同意在本网站刊登内容,请及时通知本站予以删除。凡本网站注明"来源:中国IT运维网"的作品,在授权范围内使用时,请保留注明"来源:中国IT运维网"。
;QQ联络:1360095750。