上次我機器中了exeroute,有中過的人也知道,這個后門還不錯,也有點變態了。
共產生14個文件和2個文件夾。注冊表部分,除了1個Run和System.ini,比較有特點是,非普通地利用了EXE文件關聯。先修改了.exe的默認值,改.exe從默認的exefile更改為winfiles,然后再創建winfiles鍵值,使EXE文件關聯與木馬掛鉤,它的一個可執行體是.com的。當然,清除的方法也很簡單,不過需要注意步驟:
一、注冊表
先使用注冊表修復工具,或者直接使用regedit修正以下部分1.SYSTEM.INI
NT/XP系統在注冊表
|
shell = Explorer.exe 1 修改為shell = Explorer.exe。
2.將
|
下的Torjan Program-C:\WINNT\(windows)services.exe刪除。
3.HKEY_Classes_root.exe默認值 winfiles 改為exefile。
4.刪除以下兩個鍵值:HKEY_Classes_rootwinfiles和HKEY_Local_machinesoft wareclasse swinfiles。
二、重啟系統
然后重啟系統,刪除以下文件部分,注意打開各分區時,先打開“我的電腦”后請使用右鍵單擊分區,選“打開”進入。刪除以下文件c:\antorun.inf(如果你有多個分區,請檢查其他分區是否有這個文件,有也一并刪除)
|
刪除以下文件夾:
|
然后重新啟動計算機。
