病毒或木马修改注册表,导执可执行文件无法执行的处理办法
来源:互联网 发布:坚果js蓝牙迷你音箱 编辑:程序博客网 时间:2024/05/22 15:18
这个现象就比较常见,而且,许多高手高高手都栽在了上面,偶也不例外,所以说,不经一事,不长一智
话说前段时间碰上个非常难缠的木马,按通常的方法,杀,终于杀干净,手工检查,一处一处核对,终于看不到木马踪影,重启,习惯性的输入regedit想检查一下注册表中txt,exe,com,bat这些常见文件格式的打开方式有没有被木马偷梁换珠.
这回输入了regedit后,过了一会才出现注册表编辑器.觉得有点怪.进入,果然查到exe,com等文件被关联到c:/windows/exert.exe上了,想必这是个桥,有了它,你执行任何程序,它都接收输入,然后执行完病毒,再执行你给的程序.
当然是逐一修补正确.再重启
这次,再运行regedit,咦,竟然发现还有???奇怪.
突然想起一事,为啥regedit输入后,出来的似乎有点慢呢?
于是,去windows,system32这两个文件夹中,发现system32中竟然有个regedit.com.难怪如此,原来,这家伙把自己的名字,取得跟系统文件一模一样,以前倒也发现过,比如,取成crss.exe,这种跟系统核心进程一样名字的,导致你用任务管理器无法结束,或者取成svchost.exe的,但这种似乎专门针对我们维修人员来取名的,倒是第一次看见,也真够狠,因为,一般高手,最常用msconfig,regedit.
这回,仔细挨个EXE,COM文件排查,又找出来sysedit.exe和msconfig.exe,msinfo32.exe几个假冒的文件,逐一删除.
再次重启.然后检查一下几个重要的文件夹,没有发现可疑可执行文件.就在我自以为大功告成时,习惯的输入regedit时,却发现,这次更糟了,竟然出现"打开文件方式"对话框,这也就是说,exe文件的打开方式被改成别的了.但是,不对呀,检查过呀
该怎么办呢?难道重装?
忽然想起WINDOWS里有一个loadfix.com程序,以前呢,经常用它来启动那些旧DOS下的程序,因为一些旧DOS下程序直接双击执行,会花屏和死机,用它执行就不会,于是输入:
loadfix regeidt.exe
哈哈.没想到,OK,注册表编辑器出现了.
这个LOADFIX还真神,不光LOAD COM可执行程序,连WINDOWS的EXE也OK.
这次启动后,检查了bat.exe,com,wsc,js,vbs,txt,folder,driver等几种关键文件类型的OPEN方式.没有发现问题,因为bat,exe,com都是%1 *%,这是正常的
于是,一个一个文件类型的看,突然,我看到一个winfile文件类型,打开一看,果然,是与病毒文件exert.exe关联的.这个winfile倒是初次发现.我估计它是指WINDOWS可执行程序.病毒将它与病毒文件关联,而我将病毒文件删除了.所以,系统才会提示打开方式.修改后.再输入msconfig,发现,一切OK.
由于像exe,bat.com这种依扩展名出现的文件类型,大家都知道.所以,较容易防范,但是,像winfile,folder,这种文件类型,多数人是不知道的.因此,更要小心检查,切勿放过
话说前段时间碰上个非常难缠的木马,按通常的方法,杀,终于杀干净,手工检查,一处一处核对,终于看不到木马踪影,重启,习惯性的输入regedit想检查一下注册表中txt,exe,com,bat这些常见文件格式的打开方式有没有被木马偷梁换珠.
这回输入了regedit后,过了一会才出现注册表编辑器.觉得有点怪.进入,果然查到exe,com等文件被关联到c:/windows/exert.exe上了,想必这是个桥,有了它,你执行任何程序,它都接收输入,然后执行完病毒,再执行你给的程序.
当然是逐一修补正确.再重启
这次,再运行regedit,咦,竟然发现还有???奇怪.
突然想起一事,为啥regedit输入后,出来的似乎有点慢呢?
于是,去windows,system32这两个文件夹中,发现system32中竟然有个regedit.com.难怪如此,原来,这家伙把自己的名字,取得跟系统文件一模一样,以前倒也发现过,比如,取成crss.exe,这种跟系统核心进程一样名字的,导致你用任务管理器无法结束,或者取成svchost.exe的,但这种似乎专门针对我们维修人员来取名的,倒是第一次看见,也真够狠,因为,一般高手,最常用msconfig,regedit.
这回,仔细挨个EXE,COM文件排查,又找出来sysedit.exe和msconfig.exe,msinfo32.exe几个假冒的文件,逐一删除.
再次重启.然后检查一下几个重要的文件夹,没有发现可疑可执行文件.就在我自以为大功告成时,习惯的输入regedit时,却发现,这次更糟了,竟然出现"打开文件方式"对话框,这也就是说,exe文件的打开方式被改成别的了.但是,不对呀,检查过呀
该怎么办呢?难道重装?
忽然想起WINDOWS里有一个loadfix.com程序,以前呢,经常用它来启动那些旧DOS下的程序,因为一些旧DOS下程序直接双击执行,会花屏和死机,用它执行就不会,于是输入:
loadfix regeidt.exe
哈哈.没想到,OK,注册表编辑器出现了.
这个LOADFIX还真神,不光LOAD COM可执行程序,连WINDOWS的EXE也OK.
这次启动后,检查了bat.exe,com,wsc,js,vbs,txt,folder,driver等几种关键文件类型的OPEN方式.没有发现问题,因为bat,exe,com都是%1 *%,这是正常的
于是,一个一个文件类型的看,突然,我看到一个winfile文件类型,打开一看,果然,是与病毒文件exert.exe关联的.这个winfile倒是初次发现.我估计它是指WINDOWS可执行程序.病毒将它与病毒文件关联,而我将病毒文件删除了.所以,系统才会提示打开方式.修改后.再输入msconfig,发现,一切OK.
由于像exe,bat.com这种依扩展名出现的文件类型,大家都知道.所以,较容易防范,但是,像winfile,folder,这种文件类型,多数人是不知道的.因此,更要小心检查,切勿放过
发表于 2006-08-13 03:11 菩提树 阅读(2617) 评论(6) 编辑 收藏 引用 网摘 所属分类: 网络管理
评论
- 病毒或木马修改注册表,导执可执行文件无法执行的处理办法
- 修改注册表对付病毒木马后门及黑客
- 修改注册表对付病毒、木马、后门及黑客程序
- 遭遇另类无法删除病毒的处理办法
- 反病毒木马笔记之jpg可执行文件的exe
- 修改权限防止病毒或木马等破坏您的系统
- Atitit. 注册表操作查询 修改 api与工具总结 java c# php js python 病毒木马的原理
- 处理病毒木马的一般步骤
- 修改 SELINUX导致无法进入图形界面的处理办法
- “注册表修改start page 时,显示无法编辑startpage”的对应办法
- 修改注册表隐藏硬盘分区的解除办法
- 修复被木马或病毒隐藏的文件夹
- 修复被木马或病毒隐藏的文件
- 处理Desktop_1.ini病毒的办法
- CAD2007 病毒 处理办法
- 木马爱修改的常见注册表项及其功能
- 解决无法修改注册表的情况
- 移动硬盘"文件或目录损坏且无法读取"可能的处理办法
- 静心
- .net Remoting小结1
- 【转贴】麻省理工教授箴言:怎样做研究生!
- 我写的视频显示程序
- 固网运营商逼宫 联通失语电信重组传言
- 病毒或木马修改注册表,导执可执行文件无法执行的处理办法
- 一个男人日记片断,笑翻
- 程序错误总结
- 人脉决定成败 一名董事长给大学生的18条忠告
- Alexa统计在网络营销中的应用
- 链接大全
- 图象处理的程序
- Alexa的排名机制
- 如何实现动易官方网站内容页的移动菜单效果?
这个病毒好像没什么其它症状(或者我没发现,或者是木马)。最麻烦的是我的VC使用调试运行的话变得非常的慢,需要系统无响应5分钟或更长才能进入运行状态。开机后关闭前面提到的进程则不会出现这样的情况,所以怀疑是这个病毒引起的。
使用瑞星未检测到病毒信息,有什么解决方案