这个现象就比较常见,而且,许多高手高高手都栽在了上面,偶也不例外,所以说,不经一事,不长一智
话说前段时间碰上个非常难缠的木马,按通常的方法,杀,终于杀干净,手工检查,一处一处核对,终于看不到木马踪影,重启,习惯性的输入regedit想检查一下注册表中txt,exe,com,bat这些常见文件格式的打开方式有没有被木马偷梁换珠.
这回输入了regedit后,过了一会才出现注册表编辑器.觉得有点怪.进入,果然查到exe,com等文件被关联到c:\windows\exert.exe上了,想必这是个桥,有了它,你执行任何程序,它都接收输入,然后执行完病毒,再执行你给的程序.
当然是逐一修补正确.再重启
这次,再运行regedit,咦,竟然发现还有???奇怪.
突然想起一事,为啥regedit输入后,出来的似乎有点慢呢?
于是,去windows,system32这两个文件夹中,发现system32中竟然有个regedit.com.难怪如此,原来,这家伙把自己的名字,取得跟系统文件一模一样,以前倒也发现过,比如,取成crss.exe,这种跟系统核心进程一样名字的,导致你用任务管理器无法结束,或者取成svchost.exe的,但这种似乎专门针对我们维修人员来取名的,倒是第一次看见,也真够狠,因为,一般高手,最常用msconfig,regedit.
这回,仔细挨个EXE,COM文件排查,又找出来sysedit.exe和msconfig.exe,msinfo32.exe几个假冒的文件,逐一删除.
再次重启.然后检查一下几个重要的文件夹,没有发现可疑可执行文件.就在我自以为大功告成时,习惯的输入regedit时,却发现,这次更糟了,竟然出现"打开文件方式"对话框,这也就是说,exe文件的打开方式被改成别的了.但是,不对呀,检查过呀
该怎么办呢?难道重装?
忽然想起WINDOWS里有一个loadfix.com程序,以前呢,经常用它来启动那些旧DOS下的程序,因为一些旧DOS下程序直接双击执行,会花屏和死机,用它执行就不会,于是输入:
loadfix regeidt.exe
哈哈.没想到,OK,注册表编辑器出现了.
这个LOADFIX还真神,不光LOAD COM可执行程序,连WINDOWS的EXE也OK.
这次启动后,检查了bat.exe,com,wsc,js,vbs,txt,folder,driver等几种关键文件类型的OPEN方式.没有发现问题,因为bat,exe,com都是%1 *%,这是正常的
于是,一个一个文件类型的看,突然,我看到一个winfile文件类型,打开一看,果然,是与病毒文件exert.exe关联的.这个winfile倒是初次发现.我估计它是指WINDOWS可执行程序.病毒将它与病毒文件关联,而我将病毒文件删除了.所以,系统才会提示打开方式.修改后.再输入msconfig,发现,一切OK.
由于像exe,bat.com这种依扩展名出现的文件类型,大家都知道.所以,较容易防范,但是,像winfile,folder,这种文件类型,多数人是不知道的.因此,更要小心检查,切勿放过
