病毒或木马修改注册表,导执可执行文件无法执行的处理办法
2007-04-14 16:19
525 查看
这个现象就比较常见,而且,许多高手高高手都栽在了上面,偶也不例外,所以说,不经一事,不长一智
话说前段时间碰上个非常难缠的木马,按通常的方法,杀,终于杀干净,手工检查,一处一处核对,终于看不到木马踪影,重启,习惯性的输入regedit想检查一下注册表中txt,exe,com,bat这些常见文件格式的打开方式有没有被木马偷梁换珠.
这回输入了regedit后,过了一会才出现注册表编辑器.觉得有点怪.进入,果然查到exe,com等文件被关联到c:/windows/exert.exe上了,想必这是个桥,有了它,你执行任何程序,它都接收输入,然后执行完病毒,再执行你给的程序.
当然是逐一修补正确.再重启
这次,再运行regedit,咦,竟然发现还有???奇怪.
突然想起一事,为啥regedit输入后,出来的似乎有点慢呢?
于是,去windows,system32这两个文件夹中,发现system32中竟然有个regedit.com.难怪如此,原来,这家伙把自己的名字,取得跟系统文件一模一样,以前倒也发现过,比如,取成crss.exe,这种跟系统核心进程一样名字的,导致你用任务管理器无法结束,或者取成svchost.exe的,但这种似乎专门针对我们维修人员来取名的,倒是第一次看见,也真够狠,因为,一般高手,最常用msconfig,regedit.
这回,仔细挨个EXE,COM文件排查,又找出来sysedit.exe和msconfig.exe,msinfo32.exe几个假冒的文件,逐一删除.
再次重启.然后检查一下几个重要的文件夹,没有发现可疑可执行文件.就在我自以为大功告成时,习惯的输入regedit时,却发现,这次更糟了,竟然出现"打开文件方式"对话框,这也就是说,exe文件的打开方式被改成别的了.但是,不对呀,检查过呀
该怎么办呢?难道重装?
忽然想起WINDOWS里有一个loadfix.com程序,以前呢,经常用它来启动那些旧DOS下的程序,因为一些旧DOS下程序直接双击执行,会花屏和死机,用它执行就不会,于是输入:
loadfix regeidt.exe
哈哈.没想到,OK,注册表编辑器出现了.
这个LOADFIX还真神,不光LOAD COM可执行程序,连WINDOWS的EXE也OK.
这次启动后,检查了bat.exe,com,wsc,js,vbs,txt,folder,driver等几种关键文件类型的OPEN方式.没有发现问题,因为bat,exe,com都是%1 *%,这是正常的
于是,一个一个文件类型的看,突然,我看到一个winfile文件类型,打开一看,果然,是与病毒文件exert.exe关联的.这个winfile倒是初次发现.我估计它是指WINDOWS可执行程序.病毒将它与病毒文件关联,而我将病毒文件删除了.所以,系统才会提示打开方式.修改后.再输入msconfig,发现,一切OK.
由于像exe,bat.com这种依扩展名出现的文件类型,大家都知道.所以,较容易防范,但是,像winfile,folder,这种文件类型,多数人是不知道的.因此,更要小心检查,切勿放过
发表于 2006-08-13 03:11 菩提树 阅读(2617) 评论(6) 编辑 收藏 引用 网摘 所属分类: 网络管理
![](http://www.cnblogs.com/Heroman/aggbug/475362.html?webview=1)
//Sys.WebForms.PageRequestManager._initialize('AjaxHolder$scriptmanager1', document.getElementById('Form1'));
Sys.WebForms.PageRequestManager.getInstance()._updateControls(['tAjaxHolder$UpdatePanel1'], [], [], 90);
//]]>
评论
这种面上的病毒都好解决,更怕人的是DLL注入型的rootkit,查不到的才是最可怕的,所以,我一般装好系统刻一张DVD的Ghost文件,遇到问题,直接恢复,懒得和这些流氓,病毒玩
丁丁 评论于 2006-08-13 10:45 回复 更多评论
# re: 病毒或木马修改注册表,导执可执行文件无法执行的处理办法
我碰到一个不知道是木马还是懦虫的病毒,每次开机在windows/temp目录下生成一个AA0A0A.exe的文件(A为大写字母,0为数字,应该是随机组合产生的,每次重启文件名都不同),在任务管理器里可以直接看到这个进程,结束这个进程的则temp目录里的exe文件自动删除。
这个病毒好像没什么其它症状(或者我没发现,或者是木马)。最麻烦的是我的VC使用调试运行的话变得非常的慢,需要系统无响应5分钟或更长才能进入运行状态。开机后关闭前面提到的进程则不会出现这样的情况,所以怀疑是这个病毒引起的。
使用瑞星未检测到病毒信息,有什么解决方案
.Live 评论于 2006-08-17 11:11 回复 更多评论
# re: 病毒或木马修改注册表,导执可执行文件无法执行的处理办法
请教一下,有什么办法可以跟踪启动时什么进程创建了临时文件吗,有没有碰到类似的问题,该怎么解决。
# re: 病毒或木马修改注册表,导执可执行文件无法执行的处理办法
话说前段时间碰上个非常难缠的木马,按通常的方法,杀,终于杀干净,手工检查,一处一处核对,终于看不到木马踪影,重启,习惯性的输入regedit想检查一下注册表中txt,exe,com,bat这些常见文件格式的打开方式有没有被木马偷梁换珠.
这回输入了regedit后,过了一会才出现注册表编辑器.觉得有点怪.进入,果然查到exe,com等文件被关联到c:/windows/exert.exe上了,想必这是个桥,有了它,你执行任何程序,它都接收输入,然后执行完病毒,再执行你给的程序.
当然是逐一修补正确.再重启
这次,再运行regedit,咦,竟然发现还有???奇怪.
突然想起一事,为啥regedit输入后,出来的似乎有点慢呢?
于是,去windows,system32这两个文件夹中,发现system32中竟然有个regedit.com.难怪如此,原来,这家伙把自己的名字,取得跟系统文件一模一样,以前倒也发现过,比如,取成crss.exe,这种跟系统核心进程一样名字的,导致你用任务管理器无法结束,或者取成svchost.exe的,但这种似乎专门针对我们维修人员来取名的,倒是第一次看见,也真够狠,因为,一般高手,最常用msconfig,regedit.
这回,仔细挨个EXE,COM文件排查,又找出来sysedit.exe和msconfig.exe,msinfo32.exe几个假冒的文件,逐一删除.
再次重启.然后检查一下几个重要的文件夹,没有发现可疑可执行文件.就在我自以为大功告成时,习惯的输入regedit时,却发现,这次更糟了,竟然出现"打开文件方式"对话框,这也就是说,exe文件的打开方式被改成别的了.但是,不对呀,检查过呀
该怎么办呢?难道重装?
忽然想起WINDOWS里有一个loadfix.com程序,以前呢,经常用它来启动那些旧DOS下的程序,因为一些旧DOS下程序直接双击执行,会花屏和死机,用它执行就不会,于是输入:
loadfix regeidt.exe
哈哈.没想到,OK,注册表编辑器出现了.
这个LOADFIX还真神,不光LOAD COM可执行程序,连WINDOWS的EXE也OK.
这次启动后,检查了bat.exe,com,wsc,js,vbs,txt,folder,driver等几种关键文件类型的OPEN方式.没有发现问题,因为bat,exe,com都是%1 *%,这是正常的
于是,一个一个文件类型的看,突然,我看到一个winfile文件类型,打开一看,果然,是与病毒文件exert.exe关联的.这个winfile倒是初次发现.我估计它是指WINDOWS可执行程序.病毒将它与病毒文件关联,而我将病毒文件删除了.所以,系统才会提示打开方式.修改后.再输入msconfig,发现,一切OK.
由于像exe,bat.com这种依扩展名出现的文件类型,大家都知道.所以,较容易防范,但是,像winfile,folder,这种文件类型,多数人是不知道的.因此,更要小心检查,切勿放过
发表于 2006-08-13 03:11 菩提树 阅读(2617) 评论(6) 编辑 收藏 引用 网摘 所属分类: 网络管理
//Sys.WebForms.PageRequestManager._initialize('AjaxHolder$scriptmanager1', document.getElementById('Form1'));
Sys.WebForms.PageRequestManager.getInstance()._updateControls(['tAjaxHolder$UpdatePanel1'], [], [], 90);
//]]>
评论
这种面上的病毒都好解决,更怕人的是DLL注入型的rootkit,查不到的才是最可怕的,所以,我一般装好系统刻一张DVD的Ghost文件,遇到问题,直接恢复,懒得和这些流氓,病毒玩
丁丁 评论于 2006-08-13 10:45 回复 更多评论
# re: 病毒或木马修改注册表,导执可执行文件无法执行的处理办法
我碰到一个不知道是木马还是懦虫的病毒,每次开机在windows/temp目录下生成一个AA0A0A.exe的文件(A为大写字母,0为数字,应该是随机组合产生的,每次重启文件名都不同),在任务管理器里可以直接看到这个进程,结束这个进程的则temp目录里的exe文件自动删除。
这个病毒好像没什么其它症状(或者我没发现,或者是木马)。最麻烦的是我的VC使用调试运行的话变得非常的慢,需要系统无响应5分钟或更长才能进入运行状态。开机后关闭前面提到的进程则不会出现这样的情况,所以怀疑是这个病毒引起的。
使用瑞星未检测到病毒信息,有什么解决方案
.Live 评论于 2006-08-17 11:11 回复 更多评论
# re: 病毒或木马修改注册表,导执可执行文件无法执行的处理办法
请教一下,有什么办法可以跟踪启动时什么进程创建了临时文件吗,有没有碰到类似的问题,该怎么解决。
# re: 病毒或木马修改注册表,导执可执行文件无法执行的处理办法
相关文章推荐
- 网管知识[病毒木马修改注册表,导致可执行文件无法执行处理办法]
- 病毒或木马修改注册表,导执可执行文件无法执行的处理办法
- exe打开方式被木马或病毒修改,无法打开任何可执行文件的解决办法
- MS SQL执行大脚本文件时,提示“未能完成操作,存储空间不足,无法处理此命令”的解决办法
- MySQL的配置文件无法修改的解决办法(Win10)
- Atitit. 注册表操作查询 修改 api与工具总结 java c# php js python 病毒木马的原理
- 修改.bashrc文件错误导致root无法登录的解决办法
- 修改 SELINUX导致无法进入图形界面的处理办法
- Ubuntu在恢复模式下无法修改系统文件解决办法
- 无法打开exe任何可执行文件的解决办法
- Spark集群工作异常,无法读取Hadoop集群文件处理办法
- Spark集群工作异常,无法读取Hadoop集群文件处理办法
- 通过文件配置Oracle网络服务,提示无法修改tnsname.ora文件解决办法
- Linux下的.sh文件在windows下修改后无法执行
- 修改注册表对付病毒、木马、后门及黑客程序
- 修改注册表对付病毒木马后门及黑客
- linux错误修改inittab文件,无法启动,进入单用户模式进行修复的办法
- Linux下修改配置文件导致系统无法启动问题解决办法
- 修改虚拟机的grub.cfg文件后无法启动的解决办法
- 说明: 在处理向该请求提供服务所需的配置文件时出错。请检查下面的特定错误详细信息并适当地修改配置文件。 分析器错误信息: 无法识别的属性“type”。