辨明是非 文件关联型木马的特殊化查杀

核心提示：有时候杀掉或删除某个木马后，系统也出了故障，所有益用程序都打不开了。此时，若用户对计算机技术的了解未几的话，那末终极就只能选择重装系统解决题目了...

有时候杀掉或删除某个木马后，系统也出了故障，所有益用程序都打不开了。此时，若用户对计算机技术的了解未几的话，那末终极就只能选择重装系统解决题目了！

1、甚么是并联方式

使人费解的是，自己明明已删除木马文件和相应的启动项，却为甚么不能恢复正常呢？很多用户都很迷惑，难道删除的木马居然恶意修改了操纵系统核心吗？要想解开这些迷惑，我们就不能不从甚么是文件的“并联方式”说起，由于这类木马修改了利用程叙文件（通常是EXE）的并联方式。说起Windows系统，就不能不谈到注册表，注册表在Windows系统中的地位是高高在上的，假设用户使用的是Windows系统，而至今还不知道甚么注册表的话，那末还是先找些注册表和Windows系统原理的资料好好补习补习吧！

在Windows系统中，几近所有文件的打开操纵都是通过注册表内相应键值指定的利用程序来履行的，这个部份位于注册表的“HKEY_CLASSES_ROOT”主键内。当系统收到1个文件名要求时，就会根据这个文件的后缀名结合注册表里存储的相应键值来辨认文件类型，从而调用相应的程序将其打开、履行。不论是文件夹、文档还是利用程序，Windows系统都将其视为1个文件，固然也具有文件类型，一样可以用其他方式开启。例如：各种音频、视频文件（如：rm、avi、wmv、mp3等）都可使用两种以上的程序将其打开播放。只不过Windows系统将利用程序（EXE）设置它的调用程序为“"%1" %*”，让系统内核理解为“可履行要求”，它就会为使用这类打开方式的文件创建进程，终极文件就被加载履行了。假设有其他的程序更改了这个键值，Windows就会调用那个指定的文件来开启它。

2、木马原理

那些文件并联木马程序会把EXE后缀名对应的exefile类型的“打开方式”改成为“木马程序”%1" %*”，运行程序时系统就会先为“木马程序”创建进程，把紧随着的文件名作为参数传递给木马履行，这样用户就被木马欺骗了，用户会觉得程序已被正常启动了。由于木马程序被作为所有EXE文件的调用程序，使得它可以长时间驻留内存，每次都能恢复本身文件，所以在1般用户看来，这个木马就做到了“永生不死”或以为是又“死灰复燃”了，实在用户了解这些木马的原理后，就知道它既不能“长命百岁”，也没有“死而复生”的能力。

3、后果严重

但是，用户1旦将木马程序删除，Windows系统就会找不到相应的调用程序，因而正常程序就没法履行了，这就是所谓的“所有程序都没法运行”的情况来源。其实不是木马更改了系统核心，固然用户也就没必要因此重装全部操纵系统啦。

4、根除方法

根除这类木马的最简单方法只需要查看EXE文件的打开方式被指向了甚么程序，立即停止这个程序的进程，假设它还产生了其他木马文件的话，也1起停止。紧随其后，在保持注册表编辑器开启着的情况下（否则你的所有程序都会打不开了）删除掉所有木马文件（条件是用户知道哪些是目木马文件，所以还不熟习系统的用户抓紧时间恶补吧），把exefile的“打开方式”项（HKEY_CLASSES_ROOT\exefile\shell\open\command）改回原来的“”%1” %*”即可。

注册表键值

假设删除木马前忘记把并联方式改回来，就会发现程序打不开了，这时候候千万不要乱了方寸。假设你是Win9x用户，请使用“外壳替换***”：重启系统后，按F8进进启动菜单选择MS-DOS模式，把Explorer.exe随便改个名字，再把REGEDIT.EXE改名为Explorer.exe，再次重启后会发现进进Windows只剩下1个注册表编辑器了，赶快把并联方式改回来吧！再次重启的时候，别忘记恢复之前的Explorer.exe程序名。

对Win200用户而言，这个操纵就更简单了，只要在开机时按F8进进启动菜单，选择“命令提示符的安全模式”进行启动，系统就会自动调用命令提示符界面作为外壳，直接在里面输进REGEDIT即可打开注册表编辑器！

而XP用户乃至不需要重启系统，便可以够直接在“打开方式”里输进“CMD”后回车，便可以打开“命令提示符”界面，然后运行注册表编辑器REGEDIT.EXE就OK了。接下来需要做的就是把程序的打开方式改成“”%1” %*”即可。

结束语：很多刚接触计算机的用户都会碰到1些题目，此时需要静下心来仔细分析自己碰到的现象，多向“高手”请教，不断进步自己的“功力”才是最根本的解决之道！

评论加载中... 内容： 评论者： 验证码：