上次我机器中了exeroute,有中过的人也知道,这个后门还不错,也有点变态了。
共产生14个文件和2个文件夹。注册表部分,除了1个Run和System.ini,比较有特点是,非普通地利用了EXE文件关联。先修改了.exe的默认值,改.exe从默认的exefile更改为winfiles,然后再创建winfiles键值,使EXE文件关联与木马挂钩,它的一个可执行体是.com的。当然,清除的方法也很简单,不过需要注意步骤:
一、注册表
先使用注册表修复工具,或者直接使用regedit修正以下部分1.SYSTEM.INI
NT/XP系统在注册表
|
shell = Explorer.exe 1 修改为shell = Explorer.exe。
2.将
|
下的Torjan Program-C:\WINNT\(windows)services.exe删除。
3.HKEY_Classes_root.exe默认值 winfiles 改为exefile。
4.删除以下两个键值:HKEY_Classes_rootwinfiles和HKEY_Local_machinesoft wareclasse swinfiles。
二、重启系统
然后重启系统,删除以下文件部分,注意打开各分区时,先打开“我的电脑”后请使用右键单击分区,选“打开”进入。删除以下文件c:\antorun.inf(如果你有多个分区,请检查其他分区是否有这个文件,有也一并删除)
|
删除以下文件夹:
|
然后重新启动计算机。
