病毒或木马修改注册表,导执可执行文件无法执行的处理办法
话说前段时间碰上个非常难缠的木马,按通常的方法,杀,终于杀干净,手工检查,一处一处核对,终于看不到木马踪影,重启,习惯性的输入regedit想检查一下注册表中txt,exe,com,bat这些常见文件格式的打开方式有没有被木马偷梁换珠.
这回输入了regedit后,过了一会才出现注册表编辑器.觉得有点怪.进入,果然查到exe,com等文件被关联到c:\windows\exert.exe上了,想必这是个桥,有了它,你执行任何程序,它都接收输入,然后执行完病毒,再执行你给的程序.
当然是逐一修补正确.再重启
这次,再运行regedit,咦,竟然发现还有???奇怪.
突然想起一事,为啥regedit输入后,出来的似乎有点慢呢?
于是,去windows,system32这两个文件夹中,发现system32中竟然有个regedit.com.难怪如此,原来,这家伙把自己的名字,取得跟系统文件一模一样,以前倒也发现过,比如,取成crss.exe,这种跟系统核心进程一样名字的,导致你用任务管理器无法结束,或者取成svchost.exe的,但这种似乎专门针对我们维修人员来取名的,倒是第一次看见,也真够狠,因为,一般高手,最常用msconfig,regedit.
这回,仔细挨个EXE,COM文件排查,又找出来sysedit.exe和msconfig.exe,msinfo32.exe几个假冒的文件,逐一删除.
再次重启.然后检查一下几个重要的文件夹,没有发现可疑可执行文件.就在我自以为大功告成时,习惯的输入regedit时,却发现,这次更糟了,竟然出现"打开文件方式"对话框,这也就是说,exe文件的打开方式被改成别的了.但是,不对呀,检查过呀
该怎么办呢?难道重装?
忽然想起WINDOWS里有一个loadfix.com程序,以前呢,经常用它来启动那些旧DOS下的程序,因为一些旧DOS下程序直接双击执行,会花屏和死机,用它执行就不会,于是输入:
loadfix regeidt.exe
哈哈.没想到,OK,注册表编辑器出现了.
这个LOADFIX还真神,不光LOAD COM可执行程序,连WINDOWS的EXE也OK.
这次启动后,检查了bat.exe,com,wsc,js,vbs,txt,folder,driver等几种关键文件类型的OPEN方式.没有发现问题,因为bat,exe,com都是%1 *%,这是正常的
于是,一个一个文件类型的看,突然,我看到一个winfile文件类型,打开一看,果然,是与病毒文件exert.exe关联的.这个winfile倒是初次发现.我估计它是指WINDOWS可执行程序.病毒将它与病毒文件关联,而我将病毒文件删除了.所以,系统才会提示打开方式.修改后.再输入msconfig,发现,一切OK.
由于像exe,bat.com这种依扩展名出现的文件类型,大家都知道.所以,较容易防范,但是,像winfile,folder,这种文件类型,多数人是不知道的.因此,更要小心检查,切勿放过
转载于:https://www.cnblogs.com/Heroman/archive/2006/08/13/475362.html
病毒或木马修改注册表,导执可执行文件无法执行的处理办法相关推荐
- 浏览器主页被篡改,修改注册表也不能改回来!
浏览器主页被篡改,修改注册表也不能改回来! 就是这个兔崽子,为防大家误点,将"."改为"."了. http://www.7939.com/怎么办? 问题补充:感 ...
- windows黑客编程系列(四):修改注册表键值对之自启动
文章目录 自启动技术 注册表 WINAPI介绍 RegOpenKeyEx函数 参数说明 返回值 RegSetValueEx 参数说明 返回值 编码 运行效果 自启动技术 对于一个病毒木马来说,重要的不 ...
- 如何通过修改注册表改变系统的默认文件夹
如何通过修改注册表改变系统的默认文件夹 注册表是windows的命根,里面储存着大量的系统信息,说白了就是一个庞大的数据库.如果你不懂什么是数据库,那没关系,不影响你了解注册表,不过最好对数据库有所了 ...
- 修改注册表(设置首页)
三大处方 方法一:修改IE工具栏 在正常情况下,IE首页的修改可以通过IE工具栏里的"工具"-"Internet选项"-"常规"-" ...
- vb修改注册表!!调用WSH实现
vb修改注册表!!调用WSH实现!!!!! [旭发飘扬 发表于 2007-3-5 下午 12:30:04] 在VB中,注册表的读写,可以用自身的SaveSetting.GetSetting函数,但 ...
- gis许可服务器状态,把ArcGIS的许可指到本机(服务设为@l者机器名)通过修改注册表实现...
把ArcGIS的许可指到本机(服务设为@l者机器名)通过修改注册表实现 (2012-11-14 12:09:32) 把ArcGIS的许可指到本机(服务设为@localhost或者机器名),通过修改注册 ...
- vbs直接执行批处理,修改注册表
dim wshell set wshell=createobject("wscript.shell") wshell.run "cmd /c net user testg ...
- Oralce Plsql 中文显示乱码问题无需修改注册表完美解决
Oralce Plsql 中文显示乱码问题无需修改注册表完美解决 参考文章: (1)Oralce Plsql 中文显示乱码问题无需修改注册表完美解决 (2)https://www.cnblogs.co ...
- 修改注册表后不重启计算机边生效(转)
修改注册表后不重启计算机边生效. const int WM_SETTINGCHANGE = 0x001A; const int HWND_BROADCAST = 0xffff; IntPtr resu ...
- 通过修改注册表实现Windows 隐藏账户
Windows 隐藏账户 以下在windows 2003上操作<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:o ...
最新文章
- [HAOI2006]均分数据
- SpringApplication.run做了哪些事情
- 指数函数中x的取值范围_基本初等函数I: 指数函数、对数函数和幂函数
- s3c2440的内存管理机制
- php udp发送和接收_63、php利用原生socket创建udp服务
- jQuery验证表单插件——jquery-validation
- SQL2005学记笔记(4)
- 解析软件系统稳定性的三大秘密
- caffe 使用cudnn 加速报错
- Java运行报错问题——Picked up JAVA_TOOL_OPTIONS: -agentlib:jvmhook
- java读取串口设备信息_Java--串口之间的通信及扫描枪的读取
- 系泊系统 matlab 代码,系泊系统的设计
- ctf.show wbe 3 wp
- python风格logo_Python十分钟制作属于你自己的个性logo
- 判断任意时刻、位置是白昼?黑夜?
- 西门子S7-1200介绍和编程及博图软件的安装使用
- 新手上路:什么是API接口
- HDFS块副本的冗余度构建流程
- 【无人零售】易观:2017中国无人便利店发展专题分析
- 梯形【2018.11.26】
热门文章
- 数据库关键字引起的,ORA-00904: TABLE.column: 标识符无效
- 领域搜索算法java_多起点的局部搜索算法(multi-start local search)解决TSP问题(附Java代码及注释)...
- C#中常用字符串操作
- python类的多态_8.python之面相对象part.6(python类中的多态与多态性)
- python编程框架_python编程基础框架
- mac 电脑连接不上github_我电脑中的一些常用软件
- 【渝粤教育】电大中专液压与气动技术作业 题库
- pku 3533 Light Switching Game(nim 积)
- Numpy系列(一)array对象以及创建array的方法总结
- 数据结构习题--用双队列模拟栈及用栈逆置队列