Мой Windows 2008R2 VPS был взломан, и я обнаружил в папке system32, что sethc.exe был копией cmd.exe. Я заменил sethc.exe другим exe-файлом, но ничего не изменилось, и CMD появляется при нажатии на новый файл sethc.exe. , Я везде осознавал, что каждый файл с именем sethc.exe запускает CMD.exe. Как это исправить?
1 ответ
Это сделано, чтобы получить приглашение cmd с Left-Alt + Left-Shift + Printscreen в приглашении входа в систему. (который обычно используется для опций доступности)
Они сделали это так:(Вы можете прочитать об этом здесь)
В реестре Windows есть ключ, который называется «Параметры выполнения файла образа». Этот ключ делает ... вещи. Одна из многих вещей, которые он делает, - это позволяет отладчик для каждого исполняемого файла. Дело в том, что он на самом деле не проверяет, является ли исполняемый файл отладчиком, а просто запускает его. Вредоносные программы используют этот ключ как один из способов запуска себя. Мы собираемся использовать его для других целей.
Создайте ключ в разделе HKLM\Software\Microsoft\Windows NT\CurrentVersion\ Параметры выполнения файла изображения. Назовите его sethc.exe. В sethc.exe создайте новое значение REG_SZ (string), назовите его Debugger. Измените значение на «C:\ windows\ system32\ cmd.exe»
Таким образом, вы найдете запись для sethc.exe
(хотя этого не должно быть). Теперь вы знаете, как от него избавиться, но я согласен с Теуном и Маттиасом, вам следует переустановить эту машину, потому что они могли оставить много других "вкусностей".