扫一扫
关注微信公众号

Exeroute木马清除方法
2007-02-01   赛迪网安全社区

上次我机器中了exeroute,有中过的人也知道,这个后门还不错,也有点变态了。

共产生14个文件和2个文件夹。注册表部分,除了1个Run和System.ini,比较有特点是,非普通地利用了EXE文件关联。先修改了.exe的默认值,改.exe从默认的exefile更改为winfiles,然后再创建winfiles键值,使EXE文件关联与木马挂钩,它的一个可执行体是.com的。当然,清除的方法也很简单,不过需要注意步骤:

一、注册表

先使用注册表修复工具,或者直接使用regedit修正以下部分1.SYSTEM.INI

NT/XP系统在注册表

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion/\Winlogon

shell = Explorer.exe 1 修改为shell = Explorer.exe。

2.将

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

下的Torjan Program-C:\WINNT\(windows)services.exe删除。

3.HKEY_Classes_root.exe默认值 winfiles 改为exefile。

4.删除以下两个键值:HKEY_Classes_rootwinfiles和HKEY_Local_machinesoft wareclasse swinfiles。

二、重启系统

然后重启系统,删除以下文件部分,注意打开各分区时,先打开“我的电脑”后请使用右键单击分区,选“打开”进入。删除以下文件c:\antorun.inf(如果你有多个分区,请检查其他分区是否有这个文件,有也一并删除)

%programfiles%common filesiexplore.pif
%programfiles%Internat exploreriexplore.com
%windir%1.com
%windir%exeroute.exe
%windir%explorer.com
%windir%finder.com
%windir%mswinsck.ocx
%windir%services.exe
%windir%system32command.pif
%windir%system32dxdiag.com
%windir%system32finder.com
%windir%system32msconfig.com
%windir%system32
egedit.com
%windir%system32
undll32.com

删除以下文件夹:

%windir%debug
%windir%system32NtmsData

然后重新启动计算机。

热词搜索:

上一篇:真实IP带来的安全隐患
下一篇:解开被恶意锁上的注册表

分享到: 收藏