上次我機(jī)器中了exeroute,有中過(guò)的人也知道,這個(gè)后門(mén)還不錯(cuò),也有點(diǎn)變態(tài)了。
共產(chǎn)生14個(gè)文件和2個(gè)文件夾。注冊(cè)表部分,除了1個(gè)Run和System.ini,比較有特點(diǎn)是,非普通地利用了EXE文件關(guān)聯(lián)。先修改了.exe的默認(rèn)值,改.exe從默認(rèn)的exefile更改為winfiles,然后再創(chuàng)建winfiles鍵值,使EXE文件關(guān)聯(lián)與木馬掛鉤,它的一個(gè)可執(zhí)行體是.com的。當(dāng)然,清除的方法也很簡(jiǎn)單,不過(guò)需要注意步驟:
一、注冊(cè)表
先使用注冊(cè)表修復(fù)工具,或者直接使用regedit修正以下部分1.SYSTEM.INI
NT/XP系統(tǒng)在注冊(cè)表
|
shell = Explorer.exe 1 修改為shell = Explorer.exe。
2.將
|
下的Torjan Program-C:\WINNT\(windows)services.exe刪除。
3.HKEY_Classes_root.exe默認(rèn)值 winfiles 改為exefile。
4.刪除以下兩個(gè)鍵值:HKEY_Classes_rootwinfiles和HKEY_Local_machinesoft wareclasse swinfiles。
二、重啟系統(tǒng)
然后重啟系統(tǒng),刪除以下文件部分,注意打開(kāi)各分區(qū)時(shí),先打開(kāi)“我的電腦”后請(qǐng)使用右鍵單擊分區(qū),選“打開(kāi)”進(jìn)入。刪除以下文件c:\antorun.inf(如果你有多個(gè)分區(qū),請(qǐng)檢查其他分區(qū)是否有這個(gè)文件,有也一并刪除)
|
刪除以下文件夾:
|
然后重新啟動(dòng)計(jì)算機(jī)。
