至顶网›安全频道 ›木马防御技巧之Exeroute木马清除方法

木马防御技巧之Exeroute木马清除方法

扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条

中了exeroute木马,共产生14个文件和2个文件夹。注册表部分，除了1个Run和System.ini，比较有特点是，非普通地利用了EXE文件关联。先修改了.exe的默认值，改.exe从默认的exefile更改为winfiles，然后再创建winfiles键值，使EXE文件关联与木马挂钩，它的一个可执行体是.com的。清除的方法也很简单，不过需要注意步骤.

来源：论坛整理 2008年7月3日

关键字：病毒查杀病毒木马

上次我机器中了exeroute，有中过的人也知道，这个后门还不错，也有点变态了。

共产生14个文件和2个文件夹。注册表部分，除了1个Run和System.ini，比较有特点是，非普通地利用了EXE文件关联。先修改了.exe的默认值，改.exe从默认的exefile更改为winfiles，然后再创建winfiles键值，使EXE文件关联与木马挂钩，它的一个可执行体是.com的。当然，清除的方法也很简单，不过需要注意步骤：

一、注册表

先使用注册表修复工具，或者直接使用regedit修正以下部分1.SYSTEM.INI

NT/XP系统在注册表

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion/\Winlogon

shell = Explorer.exe 1 修改为shell = Explorer.exe。

2.将

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

下的Torjan Program-C:\WINNT\(windows)services.exe删除。

3.HKEY_Classes_root.exe默认值 winfiles 改为exefile。

4.删除以下两个键值：HKEY_Classes_rootwinfiles和HKEY_Local_machinesoft wareclasse swinfiles。

二、重启系统

然后重启系统，删除以下文件部分，注意打开各分区时，先打开“我的电脑”后请使用右键单击分区，选“打开”进入。删除以下文件c:\antorun.inf(如果你有多个分区，请检查其他分区是否有这个文件，有也一并删除)

%programfiles%common filesiexplore.pif
%programfiles%Internat exploreriexplore.com
%windir%1.com
%windir%exeroute.exe
%windir%explorer.com
%windir%finder.com
%windir%mswinsck.ocx
%windir%services.exe
%windir%system32command.pif
%windir%system32dxdiag.com
%windir%system32finder.com
%windir%system32msconfig.com
%windir%system32
egedit.com
%windir%system32
undll32.com

删除以下文件夹：

%windir%debug
%windir%system32NtmsData

然后重新启动计算机。

木马防御技巧之Exeroute木马清除方法

业界热点: