救命——广外女生木马清除步骤

老残聊记

[这个贴子最后由一斛酒在 2004/03/08 11:24am 第 1 次编辑]

我跑到3721网站上去在线杀毒，谁知道不小心清除了“DIAGCFG”文件，而我的98系统显示该文件的作用是打开应用程序。现在搞得我的电脑里凡是扩展名为“EXE”的东西都打不开了。
请问高手我该怎么办？

老残聊记

每次想打开凡是扩展名为“EXE”的应用程序，都会跳出一个框子，显示为：windows无法找到DIAGCFG.EXE，该程序用于打开“应用程序”类型文件。

老残聊记

现在已经证实，那个DIAGCFG文件是个木马程序，不知道什么时候中的招，它在我的电脑里承担了打开应用程序的作用，现在已经删除了。
但是我现在的问题就是，我的电脑里凡是EXE的文件都打不开了。我该找什么文件代替DIAGCFG？如何操作？

漠狼

打开系统盘，windows，把你的注册表Regedit.exe改成Regedit.dll然后再改回来。

一斛酒

这是“广外女生”木马。是广东外语外贸大学“广外女生”网络小组制作的，它能运行于Win98/WinME/WinNT/Win2000，而且会破坏金山毒霸及天网防火墙。它会在系统的SYSTEM目录下生成一份自己的拷贝Diagcfg.exe，并关联.EXE文件的打开方式，如果直接删除了该文件，将会导致Windows系统中所有.EXE文件无法打开。正确清除步骤是：
（假设您的操作系统装在C:\WINDOWS下）:
(1)首先点击"开始"->"运行"运行注册表编辑器regedit.exe，打开：HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command，（先不要作修改，否则这时DIAGCFG.EXE进程仍然会立刻把它改回来）。
(2)打开Windows进程监控器wwd.exe，找到当前系统中来自C:\WINDOWS\SYSTEM\Diagcfg.exe的进程，选定并终止这个进程。
(3)回到注册表编辑器，将HKEY_CLASSES_ROOT\exefile\shell\open\command的默认键值由原来的“C:\WINDOWS\SYSTEM\DIAGCFG.EXE %1 %*”改成“%1" %*”
(4)删除注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices里名称为“Diagnostic Configuration”的键值。
(5)最后进入C:\WINDOWS\SYSTEM目录，删除文件Diagcfg.exe。
具体手工清除方法如下（楼主请留意）：
1、由于该木马程序运行时无法删除该文件，因此启动到纯DOS模式下，找到System目录下的Diagcfg.exe，删除它；
2、由于Diagcfg.exe文件已经被删除了，因此在Windows环境下任何EXE文件都将无法运行。我们找到Windows目录中的注册表编辑器“Regedit.exe”，将它改名为“Regedit.com”；
3、回到Windows模式下，运行Windows目录下的Regedit.com程序(就是我们刚才改名的文件)；
4、找到HKEY_CLASSES_ROOT＼exefile＼shell＼open＼command，将其默认键值改成"%1 %*"；
5、找到HKEY_LOCAL_MACHINE＼Software＼Microsoft＼Windows＼Current-Version＼RunServices，删除其中名称为“Diagnostic Configuration”的键值；
6、关掉注册表编辑器，回到Windows目录，将“Regedit.com”改回“Regedit.exe"。
7、完成。