em todos os lugares nome dos arquivos especiais, execute o CMD [closed]

Navegue suas respostas
0

Meu Windows 2008R2 VPS foi invadido e descobri que na pasta system32 o sethc.exe era uma cópia do cmd.exe Eu substituí o sethc.exe com outro arquivo exe, mas nada mudou e o CMD aparece clicando no novo arquivo sethc.exe. Eu percebi em todos os lugares todos os arquivos que chamaram sethc.exe, execute CMD.exe Como posso consertar isso?

    
por user2431902 09.11.2013 / 19:30

1 resposta

1

Isto é feito para obter um prompt cmd com Alt-Esquerdo + Deslocamento Esquerdo + Printscreen no prompt de login. (que é normalmente usado para as opções de acessibilidade)

Eles fizeram assim: (Você pode ler sobre isso aqui )

Windows has a key in the registry called Image File Execution Options. This key does... stuff. One of the many things it does is allows for a per executable specific debugger. The thing is, it doesn't actually check if the executable is actually a debugger, it just launches it instead. Malware use this key as one of the ways to launch themselves. We're going to use it for a different purpose.

Create a key under HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options. Name it sethc.exe. Under sethc.exe make a new REG_SZ (string) value, name it Debugger. Edit the value to be "C:\windows\system32\cmd.exe"

Então você encontrará uma entrada para sethc.exe (enquanto isso não deveria estar lá). Agora você sabe como se livrar dele, mas eu concordo com Teun e Mattias, você deve reinstalar esta máquina, porque eles poderiam ter deixado muitos outros "presentes".

    
por 09.11.2013 / 20:42

Tags

Como saber quantas exibições uma placa-mãe suporta Iniciar o servidor Js do nó automaticamente no PC Start Up