這個現象就比較常見,而且,許多高手高高手都栽在了上面,偶也不例外,所以說,不經一事,不長一智
話說前段時間碰上個非常難纏的木馬,按通常的方法,殺,終于殺干凈,手工檢查,一處一處核對,終于看不到木馬蹤影,重啟,習慣性的輸入regedit想檢查一下注冊表中txt,exe,com,bat這些常見文件格式的打開方式有沒有被木馬偷梁換珠.
這回輸入了regedit后,過了一會才出現注冊表編輯器.覺得有點怪.進入,果然查到exe,com等文件被關聯到c:/windows/exert.exe上了,想必這是個橋,有了它,你執行任何程序,它都接收輸入,然后執行完病毒,再執行你給的程序.
當然是逐一修補正確.再重啟
這次,再運行regedit,咦,竟然發現還有???奇怪.
突然想起一事,為啥regedit輸入后,出來的似乎有點慢呢?
于是,去windows,system32這兩個文件夾中,發現system32中竟然有個regedit.com.難怪如此,原來,這家伙把自己的名字,取得跟系統文件一模一樣,以前倒也發現過,比如,取成crss.exe,這種跟系統核心進程一樣名字的,導致你用任務管理器無法結束,或者取成svchost.exe的,但這種似乎專門針對我們維修人員來取名的,倒是第一次看見,也真夠狠,因為,一般高手,最常用msconfig,regedit.
這回,仔細挨個EXE,COM文件排查,又找出來sysedit.exe和msconfig.exe,msinfo32.exe幾個假冒的文件,逐一刪除.
再次重啟.然后檢查一下幾個重要的文件夾,沒有發現可疑可執行文件.就在我自以為大功告成時,習慣的輸入regedit時,卻發現,這次更糟了,竟然出現"打開文件方式"對話框,這也就是說,exe文件的打開方式被改成別的了.但是,不對呀,檢查過呀
該怎么辦呢?難道重裝?
忽然想起WINDOWS里有一個loadfix.com程序,以前呢,經常用它來啟動那些舊DOS下的程序,因為一些舊DOS下程序直接雙擊執行,會花屏和死機,用它執行就不會,于是輸入:
loadfix regeidt.exe
哈哈.沒想到,OK,注冊表編輯器出現了.
這個LOADFIX還真神,不光LOAD COM可執行程序,連WINDOWS的EXE也OK.
這次啟動后,檢查了bat.exe,com,wsc,js,vbs,txt,folder,driver等幾種關鍵文件類型的OPEN方式.沒有發現問題,因為bat,exe,com都是%1 *%,這是正常的
于是,一個一個文件類型的看,突然,我看到一個winfile文件類型,打開一看,果然,是與病毒文件exert.exe關聯的.這個winfile倒是初次發現.我估計它是指WINDOWS可執行程序.病毒將它與病毒文件關聯,而我將病毒文件刪除了.所以,系統才會提示打開方式.修改后.再輸入msconfig,發現,一切OK.

由于像exe,bat.com這種依擴展名出現的文件類型,大家都知道.所以,較容易防范,但是,像winfile,folder,這種文件類型,多數人是不知道的.因此,更要小心檢查,切勿放過