這個現(xiàn)象就比較常見,而且,許多高手高高手都栽在了上面,偶也不例外,所以說,不經(jīng)一事,不長一智
話說前段時間碰上個非常難纏的木馬,按通常的方法,殺,終于殺干凈,手工檢查,一處一處核對,終于看不到木馬蹤影,重啟,習(xí)慣性的輸入regedit想檢查一下注冊表中txt,exe,com,bat這些常見文件格式的打開方式有沒有被木馬偷梁換珠.
這回輸入了regedit后,過了一會才出現(xiàn)注冊表編輯器.覺得有點怪.進入,果然查到exe,com等文件被關(guān)聯(lián)到c:/windows/exert.exe上了,想必這是個橋,有了它,你執(zhí)行任何程序,它都接收輸入,然后執(zhí)行完病毒,再執(zhí)行你給的程序.
當(dāng)然是逐一修補正確.再重啟
這次,再運行regedit,咦,竟然發(fā)現(xiàn)還有???奇怪.
突然想起一事,為啥regedit輸入后,出來的似乎有點慢呢?
于是,去windows,system32這兩個文件夾中,發(fā)現(xiàn)system32中竟然有個regedit.com.難怪如此,原來,這家伙把自己的名字,取得跟系統(tǒng)文件一模一樣,以前倒也發(fā)現(xiàn)過,比如,取成crss.exe,這種跟系統(tǒng)核心進程一樣名字的,導(dǎo)致你用任務(wù)管理器無法結(jié)束,或者取成svchost.exe的,但這種似乎專門針對我們維修人員來取名的,倒是第一次看見,也真夠狠,因為,一般高手,最常用msconfig,regedit.
這回,仔細挨個EXE,COM文件排查,又找出來sysedit.exe和msconfig.exe,msinfo32.exe幾個假冒的文件,逐一刪除.
再次重啟.然后檢查一下幾個重要的文件夾,沒有發(fā)現(xiàn)可疑可執(zhí)行文件.就在我自以為大功告成時,習(xí)慣的輸入regedit時,卻發(fā)現(xiàn),這次更糟了,竟然出現(xiàn)"打開文件方式"對話框,這也就是說,exe文件的打開方式被改成別的了.但是,不對呀,檢查過呀
該怎么辦呢?難道重裝?
忽然想起WINDOWS里有一個loadfix.com程序,以前呢,經(jīng)常用它來啟動那些舊DOS下的程序,因為一些舊DOS下程序直接雙擊執(zhí)行,會花屏和死機,用它執(zhí)行就不會,于是輸入:
loadfix regeidt.exe
哈哈.沒想到,OK,注冊表編輯器出現(xiàn)了.
這個LOADFIX還真神,不光LOAD COM可執(zhí)行程序,連WINDOWS的EXE也OK.
這次啟動后,檢查了bat.exe,com,wsc,js,vbs,txt,folder,driver等幾種關(guān)鍵文件類型的OPEN方式.沒有發(fā)現(xiàn)問題,因為bat,exe,com都是%1 *%,這是正常的
于是,一個一個文件類型的看,突然,我看到一個winfile文件類型,打開一看,果然,是與病毒文件exert.exe關(guān)聯(lián)的.這個winfile倒是初次發(fā)現(xiàn).我估計它是指WINDOWS可執(zhí)行程序.病毒將它與病毒文件關(guān)聯(lián),而我將病毒文件刪除了.所以,系統(tǒng)才會提示打開方式.修改后.再輸入msconfig,發(fā)現(xiàn),一切OK.

由于像exe,bat.com這種依擴展名出現(xiàn)的文件類型,大家都知道.所以,較容易防范,但是,像winfile,folder,這種文件類型,多數(shù)人是不知道的.因此,更要小心檢查,切勿放過