|
 | 作者: yyf [yyf]
 论坛用户 |
登录 |
| 不小心自己运行了冰河木马的服务端,虽然杀掉了,可倒霉事来了~~~ 当我凡是打开以TXT为后缀名的文件时,系统提示"找不到c;\windows\system\Kernel132.exe,请选一个可以运行的对象",后面是有路径给你选的.) 中了冰河木马一般会生成2个服务端,Kernel132.exe和Sysexplr.exe,后者是为前者做修 复 用的并修改了文本文件,也就是*.TXT文件,当Kernel132.exe被删去时,你只要运行文 本文件,Sysexplr.exe则会又再生成Kernel132.exe 虽然2个木马都删了,可当打开文本文件时就出现了上面所说的那样,而且,更倒霉的是我把那个路径写上了瑞星杀毒软件的安装程序,之后,每次打开文本文件,就出现了安装瑞星的界面.我改怎么解决啊,是不是改注册表?那又如何改呢? |
| 地主 发表时间: 04-04-12 08:47 |
 | 回复: wenyunbo [wenyunbo]  论坛用户 |
登录 |
可能是你没有把木马删光吧,或者是在你删的时候删掉了系统文件造成的呀 |
| B1层 发表时间: 04-04-12 19:23 |
 | 回复: chiru [chiru]  论坛用户 |
登录 |
|
按住SHIFT键的同时鼠标右击任何一个TXT文件,选择打开方式,选中<始终用该程序打开......>,然后找到notepad,点一下就OK了 |
| B2层 发表时间: 04-04-12 19:27 |
| 回复: lqfrla [lqfrla]  论坛用户 |
登录 |
|
你怎么卸载的啊,他可是关联EXE和TXT文件的, |
| B3层 发表时间: 04-04-12 19:38 |
| 回复: yyf [yyf] 论坛用户 |
登录 |
谢谢拉,现在问题解决了 |
| B4层 发表时间: 04-04-12 22:27 |
 | 回复: abctm [abctm]  版主 |
登录 |
|
如何检测一个系统中是否有木马程序呢?现仅以一些简单的木马惯用伎俩做说明: 1、启动任务管理器,看其中是否有陌生进程,记录下来,暂时别动它 2、启动注册表编辑器,查看以下几个地方: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ... HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run ... 看看启动表项里是否有可疑的程序 HKEY_CLASSES_ROOT\exefile\shell\open\command 看看是否有 exe 文件关联型木马程序,正确的键值应该是:"%1" %* HKEY_CLASSES_ROOT\inffile\shell\open\command 看看是否有 inf 文件关联型木马程序,正确的键值应该是:%SystemRoot%\system32\NOTEPAD.EXE %1 HKEY_CLASSES_ROOT\inifile\shell\open\command 看看是否有 ini 文件关联型木马程序,正确的键值应该是:%SystemRoot%\system32\NOTEPAD.EXE %1 HKEY_CLASSES_ROOT\txtfile\shell\open\command 看看是否有 txt 文件关联型木马程序,正确的键值应该是:%SystemRoot%\system32\NOTEPAD.EXE %1 记录下来,暂时不要更改 3、启动一个 cmd 窗口,netstat -an 看看是否有异常端口,建议去www.sometips.com 下载一个 Active Ports 用来看端口与进程的关系,找出使用异常端口的进程 4、用资源管理器查看winnt\ 及 winnt\system32 的文件(记得显示全部文件,包括受保护文件),按时间排序,找出建立时间或修改时间异常的程序,记录下来 5、开始->程序->启动中是否有奇怪的启动文件 综合以上5步的结果,应该能排出来一个可疑程序的清单,下面就是照单杀马了 :D 6、清除木马的顺序是: 先停止进程 -> 清理注册表相关表项 -> 删除硬盘上木马文件 注:对于有些木马,使用了线程注入或三线程保护方式,需要使用相关工具进行清除(或者自己写写试试,就当是练习 coding) 另外,曾经见过一只马,采用了 autorun 文件关联,在每个分区的根下都有一个 autorun 文件,只要访问这个分区,就会加载木马文件 一个小技巧:exe 文件被关联后,当出现 exe 文件无法打开时,可将regedit.exe 复制为 regedit.com,并运行 regedit.com,将 exe 文件关联改回来即可,前提是系统中没有相关进程在监视这个表项。 以上只是简单说了一下怎么用简单的方法自己判断系统中是否有马,更重要的是预防,最基本的预防方式就是给MS点颜面,勤打补丁,另外就是尽量不要运行可疑程序,还有就是最好有一个强大的防病毒软件,推荐 Norton Antivirus |
| B5层 发表时间: 04-04-12 22:43 |
|
20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon
粤ICP备05087286号
论坛: 电脑门诊
标题: 中了木马后,文本文件不能打开~~~救