上次我機(jī)器中了exeroute，有中過的人也知道，這個后門還不錯，也有點(diǎn)變態(tài)了。

共產(chǎn)生14個文件和2個文件夾。注冊表部分，除了1個Run和System.ini，比較有特點(diǎn)是，非普通地利用了EXE文件關(guān)聯(lián)。先修改了.exe的默認(rèn)值，改.exe從默認(rèn)的exefile更改為winfiles，然后再創(chuàng)建winfiles鍵值，使EXE文件關(guān)聯(lián)與木馬掛鉤，它的一個可執(zhí)行體是.com的。當(dāng)然，清除的方法也很簡單，不過需要注意步驟：

一、注冊表

先使用注冊表修復(fù)工具，或者直接使用regedit修正以下部分1.SYSTEM.INI

NT/XP系統(tǒng)在注冊表

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion/\Winlogon

2.將

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

3.HKEY_Classes_root.exe默認(rèn)值 winfiles 改為exefile。

4.刪除以下兩個鍵值：HKEY_Classes_rootwinfiles和HKEY_Local_machinesoft wareclasse swinfiles。

二、重啟系統(tǒng)

然后重啟系統(tǒng)，刪除以下文件部分，注意打開各分區(qū)時(shí)，先打開“我的電腦”后請使用右鍵單擊分區(qū)，選“打開”進(jìn)入。刪除以下文件c:\antorun.inf(如果你有多個分區(qū)，請檢查其他分區(qū)是否有這個文件，有也一并刪除)

%programfiles%common filesiexplore.pif
%programfiles%Internat exploreriexplore.com
%windir%1.com
%windir%exeroute.exe
%windir%explorer.com
%windir%finder.com
%windir%mswinsck.ocx
%windir%services.exe
%windir%system32command.pif
%windir%system32dxdiag.com
%windir%system32finder.com
%windir%system32msconfig.com
%windir%system32
egedit.com
%windir%system32
undll32.com

刪除以下文件夾：

%windir%debug
%windir%system32NtmsData