我的 Windows 2008R2 VPS 被黑客入侵了,我发现在 system32 文件夹中 sethc.exe 是 cmd.exe 的副本,我用另一个 exe 文件替换了 sethc.exe,但没有任何变化,单击新的 sethc.exe 文件时会出现 CMD。我发现每个名为 sethc.exe 的文件都运行 CMD.exe,我该如何修复它?
答案1
这样做是为了在登录提示符下获得带有 ++Left-Alt的cmd 提示符。(通常用于辅助功能选项)Left-ShiftPrintscreen
他们是这样做的:(你可以阅读有关它的内容这里)
Windows 在注册表中有一个名为“Image File Execution Options”的键。该键的作用是……做一些事情。它所做的许多事情之一是允许每个可执行文件都使用一个特定的调试器。问题是,它实际上并不检查可执行文件是否真的是调试器,而是直接启动它。恶意软件使用这个键作为启动自身的一种方式。我们将把它用于不同的目的。
在 HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options 下创建一个键。将其命名为 sethc.exe。在 sethc.exe 下创建一个新的 REG_SZ(字符串)值,将其命名为 Debugger。将值编辑为“C:\windows\system32\cmd.exe”
因此,您将找到一个条目sethc.exe(虽然它不应该在那里)。现在您知道如何摆脱它,但我同意 Teun 和 Mattias 的观点,您应该重新安装这台机器,因为他们可能留下了许多其他“好东西”。