这个现象就比较常见,而且,许多高手高高手都栽在了上面,偶也不例外,所以说,不经一事,不长一智
话说前段时间碰上个非常难缠的木马,按通常的方法,杀,终于杀干净,手工检查,一处一处核对,终于看不到木马踪影,重启,习惯性的输入regedit想检查一下注册表中txt,exe,com,bat这些常见文件格式的打开方式有没有被木马偷梁换珠.
这回输入了regedit后,过了一会才出现注册表编辑器.觉得有点怪.进入,果然查到exe,com等文件被关联到c:\windows\exert.exe上了,想必这是个桥,有了它,你执行任何程序,它都接收输入,然后执行完病毒,再执行你给的程序.
当然是逐一修补正确.再重启
这次,再运行regedit,咦,竟然发现还有???奇怪.
突然想起一事,为啥regedit输入后,出来的似乎有点慢呢?
于是,去windows,system32这两个文件夹中,发现system32中竟然有个regedit.com.难怪如此,原来,这家伙把自己的名字,取得跟系统文件一模一样,以前倒也发现过,比如,取成crss.exe,这种跟系统核心进程一样名字的,导致你用任务管理器无法结束,或者取成svchost.exe的,但这种似乎专门针对我们维修人员来取名的,倒是第一次看见,也真够狠,因为,一般高手,最常用msconfig,regedit.
这回,仔细挨个EXE,COM文件排查,又找出来sysedit.exe和msconfig.exe,msinfo32.exe几个假冒的文件,逐一删除.
再次重启.然后检查一下几个重要的文件夹,没有发现可疑可执行文件.就在我自以为大功告成时,习惯的输入regedit时,却发现,这次更糟了,竟然出现"打开文件方式"对话框,这也就是说,exe文件的打开方式被改成别的了.但是,不对呀,检查过呀
该怎么办呢?难道重装?
忽然想起WINDOWS里有一个loadfix.com程序,以前呢,经常用它来启动那些旧DOS下的程序,因为一些旧DOS下程序直接双击执行,会花屏和死机,用它执行就不会,于是输入:
loadfix regeidt.exe
哈哈.没想到,OK,注册表编辑器出现了.
这个LOADFIX还真神,不光LOAD COM可执行程序,连WINDOWS的EXE也OK.
这次启动后,检查了bat.exe,com,wsc,js,vbs,txt,folder,driver等几种关键文件类型的OPEN方式.没有发现问题,因为bat,exe,com都是%1 *%,这是正常的
于是,一个一个文件类型的看,突然,我看到一个winfile文件类型,打开一看,果然,是与病毒文件exert.exe关联的.这个winfile倒是初次发现.我估计它是指WINDOWS可执行程序.病毒将它与病毒文件关联,而我将病毒文件删除了.所以,系统才会提示打开方式.修改后.再输入msconfig,发现,一切OK.

由于像exe,bat.com这种依扩展名出现的文件类型,大家都知道.所以,较容易防范,但是,像winfile,folder,这种文件类型,多数人是不知道的.因此,更要小心检查,切勿放过

转载于:https://www.cnblogs.com/Heroman/archive/2006/08/13/475362.html

病毒或木马修改注册表,导执可执行文件无法执行的处理办法相关推荐

  1. 浏览器主页被篡改,修改注册表也不能改回来!

    浏览器主页被篡改,修改注册表也不能改回来! 就是这个兔崽子,为防大家误点,将"."改为"."了. http://www.7939.com/怎么办? 问题补充:感 ...

  2. windows黑客编程系列(四):修改注册表键值对之自启动

    文章目录 自启动技术 注册表 WINAPI介绍 RegOpenKeyEx函数 参数说明 返回值 RegSetValueEx 参数说明 返回值 编码 运行效果 自启动技术 对于一个病毒木马来说,重要的不 ...

  3. 如何通过修改注册表改变系统的默认文件夹

    如何通过修改注册表改变系统的默认文件夹 注册表是windows的命根,里面储存着大量的系统信息,说白了就是一个庞大的数据库.如果你不懂什么是数据库,那没关系,不影响你了解注册表,不过最好对数据库有所了 ...

  4. 修改注册表(设置首页)

    三大处方 方法一:修改IE工具栏 在正常情况下,IE首页的修改可以通过IE工具栏里的"工具"-"Internet选项"-"常规"-" ...

  5. vb修改注册表!!调用WSH实现

    vb修改注册表!!调用WSH实现!!!!! [旭发飘扬 发表于 2007-3-5 下午 12:30:04]   在VB中,注册表的读写,可以用自身的SaveSetting.GetSetting函数,但 ...

  6. gis许可服务器状态,把ArcGIS的许可指到本机(服务设为@l者机器名)通过修改注册表实现...

    把ArcGIS的许可指到本机(服务设为@l者机器名)通过修改注册表实现 (2012-11-14 12:09:32) 把ArcGIS的许可指到本机(服务设为@localhost或者机器名),通过修改注册 ...

  7. vbs直接执行批处理,修改注册表

    dim wshell set wshell=createobject("wscript.shell") wshell.run "cmd /c net user testg ...

  8. Oralce Plsql 中文显示乱码问题无需修改注册表完美解决

    Oralce Plsql 中文显示乱码问题无需修改注册表完美解决 参考文章: (1)Oralce Plsql 中文显示乱码问题无需修改注册表完美解决 (2)https://www.cnblogs.co ...

  9. 修改注册表后不重启计算机边生效(转)

    修改注册表后不重启计算机边生效. const int WM_SETTINGCHANGE = 0x001A; const int HWND_BROADCAST = 0xffff; IntPtr resu ...

  10. 通过修改注册表实现Windows 隐藏账户

    Windows 隐藏账户  以下在windows 2003上操作<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:o ...

最新文章

  1. [HAOI2006]均分数据
  2. SpringApplication.run做了哪些事情
  3. 指数函数中x的取值范围_基本初等函数I: 指数函数、对数函数和幂函数
  4. s3c2440的内存管理机制
  5. php udp发送和接收_63、php利用原生socket创建udp服务
  6. jQuery验证表单插件——jquery-validation
  7. SQL2005学记笔记(4)
  8. 解析软件系统稳定性的三大秘密
  9. caffe 使用cudnn 加速报错
  10. Java运行报错问题——Picked up JAVA_TOOL_OPTIONS: -agentlib:jvmhook
  11. java读取串口设备信息_Java--串口之间的通信及扫描枪的读取
  12. 系泊系统 matlab 代码,系泊系统的设计
  13. ctf.show wbe 3 wp
  14. python风格logo_Python十分钟制作属于你自己的个性logo
  15. 判断任意时刻、位置是白昼?黑夜?
  16. 西门子S7-1200介绍和编程及博图软件的安装使用
  17. 新手上路:什么是API接口
  18. HDFS块副本的冗余度构建流程
  19. 【无人零售】易观:2017中国无人便利店发展专题分析
  20. 梯形【2018.11.26】

热门文章

  1. 数据库关键字引起的,ORA-00904: TABLE.column: 标识符无效
  2. 领域搜索算法java_多起点的局部搜索算法(multi-start local search)解决TSP问题(附Java代码及注释)...
  3. C#中常用字符串操作
  4. python类的多态_8.python之面相对象part.6(python类中的多态与多态性)
  5. python编程框架_python编程基础框架
  6. mac 电脑连接不上github_我电脑中的一些常用软件
  7. 【渝粤教育】电大中专液压与气动技术作业 题库
  8. pku 3533 Light Switching Game(nim 积)
  9. Numpy系列(一)array对象以及创建array的方法总结
  10. 数据结构习题--用双队列模拟栈及用栈逆置队列