내 컴퓨터에 "ExERoute.exe - 응용 프로그램 오류"가 계속 나타나는 이유는 무엇입니까?
우선 안전모드에서 백신을 접종하는 것을 권장합니다. 그래도 여전히 작동하지 않는다면 전설적인 비밀훔치기 트로이목마인 exeroute.exe winlogon.exe를 참고해 보세요. 트로이 목마 파일에는 exeRoute.exe, winlogon.exe, 1.com, 2 .com, msconfig.com, regedit.com 등이 포함됩니다. . .
이 트로이 목마는 다양한 사용자 비밀번호를 훔칠 수 있으며 아직 최신 Kappa 바이러스 데이터베이스에서 확인되지 않았습니다!
이 트로이 목마의 주요 파일은 winlogon.exe이고, exeRoute.exe는 트로이 목마 생성 및 부활 프로그램입니다! exeRoute.exe 파일은 시스템 exe 파일 연결을 수정하고, winfiles 새 연결을 만들고, exe 연결이 winfiles의 새 연결을 가리킵니다. 또한 regedit.com, explorer.com, msconfig.com 등과 같이 시스템에서 일반적으로 사용되는 모든 프로그램에 대해 동일한 이름의 COM 파일을 생성하고 1.com, 2.com, winlogon.exe를 생성합니다. 이러한 방식으로 주요 트로이 목마 winlogon.exe를 사용할 수 있는 가능성은 무수히 많습니다. 작가님 고생이 많으셨어요!
이 트로이 목마는 exe와 연관되어 있기 때문에 exe가 실행될 때마다 exeroute.exe 트로이 목마 프로그램을 실행해야 한다는 뜻이므로 시스템 리소스를 많이 소모하고 시스템을 다운시키는 원인이 됩니다. 극도로 불안정하다!
치료 방법 1:
CSRSS.EXE, EXEROUTE.EXE(드래곤 범례 아이콘) 트로이 목마 바이러스 지우기
CSRSS.EXE, EXEROUTE.EXE( Dragon 범례 아이콘) 트로이목마 바이러스
이런 변화는 바이러스 파일명이 지난번 Windowsservices.exe에서 이번에는 Windowscsrss.exe로 변경된 것으로 보입니다.
1. 타사 프로세스 관리 소프트웨어를 사용하여 프로세스를 종료합니다: windirCSRSS.exe 및 windirExERoute.exe
2. 다음 레지스트리 키 값을 rundll32.com finder.com으로 변경합니다. command.pif rundll32.exe로 수정
HKEY_CLASSES_ROOT.lnkShellNewcommand
HKEY_CLASSES_ROOT.bfcShellNewcommand
HKEY_CLASSES_ROOTcplfileShellcpopencommand
HKEY_CLASSES_ROOTdunfileShellopencommand
HKEY_CLASS ES_ROOTfileShellopen 명령
HKEY_CLASSES_ROOThtmlfileShellPrint 명령
HKEY_CLASSES_ROOTinffileShellInstall 명령
HKEY_CLASSES_ROOTInternetShortcutShellopen 명령
HKEY_CLASSES_ROOTscrfileShellInstall 명령
HKEY_CLASSES_ROOTtelnetShell 오픈 명령
HKEY_CLASSES_ROOTInternetShortcutShellopen 명령
HKEY_CLASSES_ROOTscrfileShellInstall명령
HKEY_CLASSES_ROOTscriptletfileShellTypelib 생성 명령
HKEY_CLASSES_ROOTUnknownShellopenas 명령
HKEY_CLASSES_ROOTdunfileShellopen 명령
HKEY_LOCAL_MACHINESOFTWAREMICROSOFTShared ToolsMSInfoToolSetsMSInfohdwwizcommand
3. 다음을 변경합니다. iexplore.com 키 값이 iexplore.exe
HKEY_CLASSES_ROOThtmlfileShellopencommand
HKEY_CLASSES_ROOTApplicationsiexplore.exeShellopencommand
HKEY_CLASSES_ROOTCLSID{871C5380-42A0-로 수정됩니다. 1069-A2EA-08002B30 309D}ShellOpenHomePage 명령
HKEY_CLASSES_ROOTftpShellopen 명령
4. 다음 키 값을 Program FilesInternet Exploreriexplore.exe
HKEY_CLASSES_ROOThtmlfileShellopennewcommand
/p>
5. 다음 키 값의 explorer1.com을 iexplore.exe로 변경합니다.
HKEY_CLASSES_ROOTDriveShellfindcommand
6. 다음 키 값의 기본값을 exefile로 변경합니다.
HKEY_CLASSES_ROOT.exe
7. 다음 키 값 Explorer.exe 1을 Explorer.exe로 변경합니다.
HKEY_LOCAL_MACHINESOFTWAREMICROSOFTWINDOWS NTCURRENTVERSIONWinlogonShell
8. 다음 키 값을 No에서 Yes로 변경합니다.
HKEY_CURRENT_USERSOFTWAREMICROSOFTInternet ExplorerMainCheck_Associations
9. 바이러스의 레지스트리 자동 시작 항목을 삭제합니다.
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
"Torjan 프로그램"="windirCSRSS.exe"
10. 기타 불필요한 데이터 삭제
HKEY_CLASSES_ROOTwinfiles
HKEY_CURRENT_USERSOFTWAREVB 및 VBA 프로그램 설정
11. 다음 파일을 삭제하십시오. 모든 파일 보기 옵션을 여십시오.
windir1.com
windirCSRSS.exe
windirExERoute.exe
windirexplorer1.com
windirfinder.com
windirMSWINSCK.OCX
windirDebugDebugProgram.exe
systemcommand.pif
systemdxdiag.com
systemfinder.com
systemMSCONFIG.com
systemregedit.com
systemrundll32.com
Program FilesInternet Exploreriexplore.com
Program FilesCommon Filesiexplore.pif
시스템 디스크 루트 디렉터리: AUTORUN.INF
컴퓨터 Security Center.lnk
Security Test.lnk
System Information Manager.lnk
참고:
windir은 WINDOWS 디렉터리를 나타냅니다. 9x/ME/XP/2003 ]; WINNT 디렉토리 [2000]
시스템은 SYSTEM32 디렉토리 [2000/XP/2003]를 참조합니다.
Variant :
임시 디렉토리에서 내려받은 파일 .exe와 드림파일 .exe 파일을 삭제합니다
시스템에서 temp329.exe를 삭제하면 temp339.exe가 이 이름을 가지고 있는 것 같습니다
p>
프로그램 FilesInt 내
ernet Explorer에는 INTEXPLORE.com이 있습니다.
c 삭제: windowsWINLOGON.EXE
제거 방법 2:
1. 준비, SREng.exe 다운로드, 이름 바꾸기. SREng.com에 다운로드 주소: /sreng/download.html
2. ProceXP를 실행하여 Windows\services.exe 바이러스 프로세스를 종료합니다(ProceXP.exe의 이름을 ProceXP.com으로 바꾸는 것이 가장 좋습니다. 변경하지 않아도 문제가 되지 않으면 바이러스가 시스템을 감염시킨 후 EXE 파일을 Windows\ExERoute.exe와 연결합니다. ProceXP.exe를 실행하면 Windows\ExERoute.exe가 호출됩니다. Windows\services.exe를 실행하면 Windows\ExERoute.exe가 자동으로 종료됩니다. Windows\services.exe를 종료하고 종료합니다. 참고: 종료된 바이러스 프로세스는 System32\services가 아니라 Windows\services.exe라는 점에 유의해야 합니다. .exe(시스템 프로세스) 경로와 해당 아이콘을 통해 찾을 수 있습니다.
3. SREng.com을 실행하고, "시스템 복구" > "파일 연결"에서 ".EXE" 항목을 확인하고, "복구"를 클릭하여 EXE 파일 연결을 복원하세요
4 . 바이러스 프로세스를 종료한 후 다음 바이러스 파일 및 바이러스에 의해 생성된 파일을 찾아 삭제합니다. C:\autorun.inf
ProgramFiles\CommonFiles\iexplore.pif
ProgramFiles \InternetExplorer\iexplore.com
Windows\1.comWindows\ExERoute.exeWindows\explorer.comWindows\finder.comWindows\MSWINSCK.OCX(VB 라이브러리 파일이므로 삭제할 필요가 없습니다.)
Windows\services.exeWindows\Debug\DebugProgram.exe
System\command.pif
System\dxdiag.com
System\finder .comSystem\MSCONFIG.COM
System\regedit.com
System\rundll32.com
시작 메뉴\프로그램\ 아래: 컴퓨터 보안 센터.lnk 보안 Test.lnk System Information Manager.lnk 참고: "내 컴퓨터" 또는 "탐색기"에서 직접 찾거나, "검색"을 통해 찾으십시오. 해당 바이러스 파일이 삭제되기 전에는 다른 불필요한 작업을 수행하지 마십시오.
5. 레지스트리 편집기를 열고 "rundll32.com", "finder.com" 및 "command.pif"를 각각 검색하고 "rundll32.com" 및 "command.pif"를 바꿉니다. 발견된 내용. finder.com"과 "command.pif"가 각각 "Rundll32.exe"로 변경되었습니다.
6. "iexplore.com"의 정보를 검색한 후 "iexplore.com"으로 변경합니다. 검색된 콘텐츠를 " iexplore.exe"로 변경합니다.
7. "explorer.com"에 대한 정보를 검색하고 검색된 콘텐츠의 "explorer.com"을 "explorer.exe"로 변경합니다.
8. "iexplore.pif"를 검색하면 "ProgramFiles\CommonFiles\iexplore.pif"와 유사한 정보를 찾을 수 있습니다. 이 콘텐츠를 "C:\ProgramFiles\InternetExplorer\iexplore.exe"로 변경하세요.
9. 추가된 파일 연결 정보 및 시작 항목을 삭제합니다:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"TorjanProgram"="Windows\services.exe "[HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows\CurrentVersion\RunServices]"TorjanProgram"="Windows\services.exe"[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon]"Shell"="Explorer.exe1"이 다음으로 변경되었습니다. "Shell"="Explorer.exe"
10. 다음은 바이러스에 의해 공개된 VB 라이브러리 파일(MSWINSCK.OCX)에 대한 관련 정보이므로 삭제할 필요가 없습니다: HKEY_CLASSES_ROOT\MSWinsock.WinsockHKEY_CLASSES_ROOT\ MSWinsock.Winsock.1HKEY_CLASSES_ROOT\CLSID\{248DD896 -BB45-11CF-9ABC-0080C7E7B78D}HKEY_CLASSES_ROOT\CLSID\{248DD897-BB45-11CF-9ABC-0080C7E7B78D}HKEY_CLASSES_ROOT\인터페이스\ {248DD892-BB45-11CF-9ABC-0080C7E7B78D}HKEY_CL ASSES_ROOT\Interface\{248DD893-BB45-11CF- 9ABC-0080C7E7B78D}HKEY_CLASSES_ROOT\TypeLib\{248DD890-BB45-11CF-9ABC-0080C7E7B78D} 참고: 바이러스로 인해 관련 정보가 많이 수정되었으므로 불필요한 작업을 수행하지 마십시오. 바이러스 활성화를 방지하기 위해 해당 바이러스 파일을 삭제하기 전에.