上次我機器中了exeroute，有中過的人也知道，這個后門還不錯，也有點變態了。

共產生14個文件和2個文件夾。注冊表部分，除了1個Run和System.ini，比較有特點是，非普通地利用了EXE文件關聯。先修改了.exe的默認值，改.exe從默認的exefile更改為winfiles，然后再創建winfiles鍵值，使EXE文件關聯與木馬掛鉤，它的一個可執行體是.com的。當然，清除的方法也很簡單，不過需要注意步驟：

一、注冊表

先使用注冊表修復工具，或者直接使用regedit修正以下部分1.SYSTEM.INI

NT/XP系統在注冊表

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion/\Winlogon

2.將

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

3.HKEY_Classes_root.exe默認值 winfiles 改為exefile。

4.刪除以下兩個鍵值：HKEY_Classes_rootwinfiles和HKEY_Local_machinesoft wareclasse swinfiles。

二、重啟系統

然后重啟系統，刪除以下文件部分，注意打開各分區時，先打開“我的電腦”后請使用右鍵單擊分區，選“打開”進入。刪除以下文件c:\antorun.inf(如果你有多個分區，請檢查其他分區是否有這個文件，有也一并刪除)

%programfiles%common filesiexplore.pif
%programfiles%Internat exploreriexplore.com
%windir%1.com
%windir%exeroute.exe
%windir%explorer.com
%windir%finder.com
%windir%mswinsck.ocx
%windir%services.exe
%windir%system32command.pif
%windir%system32dxdiag.com
%windir%system32finder.com
%windir%system32msconfig.com
%windir%system32
egedit.com
%windir%system32
undll32.com

刪除以下文件夾：

%windir%debug
%windir%system32NtmsData