最近,我一台不怎么用的机器上出现了一些恶意软件(部分是故意的)。我已经清理了它,但现在每次我打开任何 .exe 文件时,都会弹出“以...身份运行”对话框,询问我要使用哪个用户来运行该程序。
是什么原因造成这种情况的?如何解决?
編輯>我删除恶意软件的过程如下:
- 已断开网络连接
- 已删除 DisableTaskMgr 注册表项
- 使用进程资源管理器和任务管理器进行检查,发现所有应用程序都在位于 Documents and Settings...\Temp\Some.exe 中的另一个可执行文件中运行
- 系统托盘应用程序也位于 Documents and Settings...\Temp\SomeOther.exe 中
- 我怀疑有一个服务存在,因为如果它被终止,系统托盘应用程序就会重新启动,但是我找不到任何我不认识的服务。
- 删除了 Some.exe 和 SomeOther.exe 的权限(仅限这些文件)
- 重新启动并删除 Some.exe 和 SomeOther.exe
- 删除已创建的启动项
- 运行 AVG Free 和 Windows Defender 来删除其他任何内容(在删除这两个 .exe 之前,它们会被立即杀死)
- 通过 CCleaner 清理注册表
请注意,系统还原会提示“无法还原系统:未进行任何更改”。我尝试还原到一周前,但昨天才收到恶意软件。
答案1
这论坛帖子建议禁用 Explorer 中的 Run As 命令也会修复您不喜欢的行为。但这似乎有点笨拙,因为它还会删除 Explorer 中的 Run As 命令的合法使用。
更有可能的是,运行 EXE 文件的注册表项已被损坏。我相信您想将 HKEY_CLASSES_ROOT\exefile\ 及其子项恢复到正确的信息。这文章建议了一些方法。公平警告:我还没有尝试过,也不知道文章中的信息是否正确。搜索 HKEY_CLASSES_ROOT\exefile 会得到许多其他文章和论坛帖子,听起来像你的问题。同样,我不知道这些信息是否正确。
您还可以将这些注册表项与已知良好的 PC 进行比较。也许只有一两个需要调整才能解决问题。
更改注册表前务必备份。将备份保存在您要修复的 PC 之外的某个地方,以防万一。
答案2
修复这个问题应该比看起来更容易。只需将下面的文本粘贴到记事本中,使用 .reg 扩展名保存文件,然后双击文件并确认。现在尝试重新打开可执行文件...它能正常工作吗?(这是针对 Windows 7 的——如果您有其他版本,可能需要略有不同。)
Windows Registry Editor Version 5.00
[HKEY_CLASSES_ROOT\exefile\shell\open]
"EditFlags"=hex:00,00,00,00
[HKEY_CLASSES_ROOT\exefile\shell\open\command]
@="\"%1\" %*"
"IsolatedCommand"="\"%1\" %*"