[replyview][Post=10]
木马的问题!~大家经常遇到的问题,我下面来讲一讲!~在现在的网络中木马泛滥,什么希奇古怪的木马 都有!~
经常我们在中了木马,并且清除掉木马,重启计算机!~进入windows,但只要启动任何一个应用程序,
就会出现“无法找到windows.exe文件,该程序用于打开“应用程序”类型文件”的提示。
很多朋友都会以为,是在杀毒的时候损坏了某个程序,于是就只有从装系统!~麻烦!~ 其实这只是你在中木马的时候,木马已经修改了注册表中exe和com相关的文件关联,从而导致应用程序 找不到相应关联对象而无法正常运行。
解决方法:(很简单)
1.修改注册表。由于所有的exe和com的关联都已被改动,所以我们现在无法运行regedit.exe(注册
表编辑器)。现在,我们开机按F8进入MS-DOS方式,然后键入Edit c:\windows\system.ini,然后将
“[boot]”下的“shell=explorer.exe”改
为“shell=regedit.exe”,这样就能以注册表编辑器取代原来的shell程序,使系统重启后直接进入注
册表编辑器!~其实,我并不赞同大家使用这种方法来打开注册表,因为,这种方法很麻烦!~而且对2000和
XP没有用!~
其实有一个很简单的方法,直接把注册表编辑器的后缀名,由exe,改为com!~呵呵,怎么样啊!~是不是成功 的打开了!~
2.打开[HKEY_CLASSES_ROOT\exefile\shell\open\command]和[HKEY_CLASSES_ROOT\comfile\shell\open\command]两项!
~呵呵,怎么样看到没有两项的值都已经被更改,现在我们只需要把默认值改为
"%l" %* 就ok了!~(特别注意,%l这个里面的l是大写字母的L的小写,而不是阿拉伯数字1。呵呵,很象吧!~现
在很多木马,的作者都非常的聪明,现在有很多木马你中了以后,修改了你的注册表,但是当你打开注
册表后看到的键值"%1" %*
呵呵,这给很多人造成了一个视觉假象,以为你的注册表并没有被修改!~呵呵,其实他已经修改过了,把l换成了1,所以请
大家一定要注意!~)
3.修改后,重启计算机再将shell程序还原即可(shell=explorer.exe),或者把后缀名改回.exe就ok了!~
呵呵,用这么简单的方法就解决了!~捆饶我们很久的问题!~以前,在论坛我看到很多朋友都在问为什么我的电脑杀了毒以后,打不开任何一个应用程序。。。。。。。。。。所以我就把这个问题的解决方法写出来了!~
现在,我把最常用的4种文件关联的默认值写出来!~以后,要是怀疑自己中了木马,你可以查看这5种文
件的关联,在注册表中是不是被改,如果被改的话,一定要马上把他们还原!~
exe关联:
[HKEY_CLASSES_ROOT\exefile\shell\open\command] 默认值是:%l %*
txt关联:
[HKEY-CLASSES-ROOT\txtfile\shell\open\command],默认值是:%SystemRoot%\system32\NOTEPAD.EXE %1
com关联:
[HKEY_CLASSES_ROOT\comfile\shell\open\command], 默认值是:%l %*
ini关联:
[HKEY-CLASSES-ROOT\Inifile\shell\Open\Cpmmand],默认值是:%SystemRoot%\System32\NOTEPAD.EXE %1
inf关联:
[HKEY-CLASSES-ROOT\Inffile\shell\Open\Cpmmand],默认值是:%SystemRoot%\System32\NOTEPAD.EXE %1
还有我说说注册表中的启动项!~启动项里,有你自己装的程序的位置!~那些程序是你自己装的,你应该知道
那么剩下的,那当然就是可疑的了啊!~
我现在给菜鸟们说说一般的启动项在注册表中的位置!~
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurtentVersion\Run]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurtentVersion\RunOnce][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurtentVersion\RunOnceEx]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurtentVersion\Run]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurtentVersion\Runonce]
呵呵,以后大家如果怀疑自己的电脑中了木马可以根据上述方法,知道到底是不是中了木马!~
不要太依赖杀毒软件了,因为有些加壳工具如果给木马加了一个壳的话,一般杀毒软件是查不出来的!~
上次我做了一个实验,我用YC加壳工具给我们大家非常熟悉的“广外女生”加了一个壳,结果刚刚升了级的正版瑞星,竟然
认为“广外女生”不是病毒,提示并没有发现病毒!~晕!~所以,大家千万记住了,不要太依靠杀毒软件!~
如果有什么地方写的不对的话,希望大家提出来!~
[/Post]
[此贴子已经被作者于2006-7-18 14:09:10编辑过]
