求救!我中了什么毒啊?360安全
[转]“映像劫持”病毒的杀除方法
映像劫持究竟有多么可怕,让我们先看看下面的例子:
·无法运行杀毒软件过防火墙
·打开网页也有“病毒”或“杀毒”等关键字的,网页会立刻被自动关闭。
·无法进入安全模式,出现蓝屏或是重启的现象。
·无法正常显示隐藏文件,即使是勾选了“显示所有文件”,应用后又会被自动改回去。
……
这些症状,相信很多朋友都遇到过,当时一定时束手无策,他们就是现而今大行其道的“映像劫持”病毒作恶的典型症状。 别说我们没有办法,很多杀软都栽在它的手下。杀毒软件根本无法运行,杀毒软件的安装程序也无法运行,就连上网搜索关于“病毒”的网页都会被病毒强行关闭,大部分的人会选择重新安装...全部
[转]“映像劫持”病毒的杀除方法
映像劫持究竟有多么可怕,让我们先看看下面的例子:
·无法运行杀毒软件过防火墙
·打开网页也有“病毒”或“杀毒”等关键字的,网页会立刻被自动关闭。
·无法进入安全模式,出现蓝屏或是重启的现象。
·无法正常显示隐藏文件,即使是勾选了“显示所有文件”,应用后又会被自动改回去。
……
这些症状,相信很多朋友都遇到过,当时一定时束手无策,他们就是现而今大行其道的“映像劫持”病毒作恶的典型症状。
别说我们没有办法,很多杀软都栽在它的手下。杀毒软件根本无法运行,杀毒软件的安装程序也无法运行,就连上网搜索关于“病毒”的网页都会被病毒强行关闭,大部分的人会选择重新安装系统,克刚装好系统后却发现,病毒又回来了。
下面我们就将映像劫持病毒彻底消灭。
[size=6]安全模式的主权必须收回[/size]
安全模式默认夹在最少的服务,且不加载自启动项内的项目。这就是病毒为什么破坏进入安全模式所对应的注册表键值的原因。
因为在安全模式下病毒文件并没有被加载,除了驱动保护的病毒,我们可以对病毒源文件执行任意的操作,此时的病毒就仿佛变成了一只没牙的老虎。那么我们就先恢复安全模式的注册表项吧。在网上时能搜到关于修复安全模式的注册表文件的,也可以在“
[size=6]撤销影响劫持生存的根本[/size]
接下来我们进入安全模式后又该怎样呢?首先,要警告大家一点,进入安全模式后,不要双击打开任何一个磁盘,还是要进入注册表,在“开始——运行”里输入“regedit”回车,打开注册表编辑器,然后
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\windows\NT\CurrentVersion\Image File Execution Options
这一项便是映像劫持技术应用的地方了。
举个例子,如果在这个项下面有一个子键,为kav。exe,你可以看到该项子项的右边,有一个值为debugger的,双击它里面的内容,既是病毒的其中一个子文件,当运行kav。exe时,实际上运行的并不是kav。
exe,它被debugger项内指定的病毒文件给劫持了。这就是所谓的“映像劫持”。
接下来要做的便是手工活了,删除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options下面除“Your Image File Name Here without a
path"之外的所有子键,删到你手酸吧?你可以看一看下面的子项名,其实就是被劫持的应用程序名,其实就是被劫持的应用程序名,像Kaspersky、金山、瑞星、江民、360安全卫士等程序都位列其中,甚至连杀毒软件的安装程序都在其列,现在你应该不难理解为什么不仅杀毒软件无法运行。
就算你想重新安装杀毒软件也不行了吧?
好,至此,你的杀毒软件和其他被劫持的程序已经可以正常运行了。但病毒并未被清除,他随时可能将注册表改回去。所以,我们往下做。
[size=6]病毒拉帮结伙,不能漏掉一个[/size]
刚说到的映像劫持病毒肯定不止一个文件,一般都会用到进程保护,当一个进程被结束的时候,另一个程序会自动调用恢复该进程。
我们获得上面所说到的debugger内的内容后,就知道了其中的一个病毒源文件的绝对地址。当然,第一步实现将它删除,接下来就该查看自启动项了。
在”开始——运行“里输入”msconfig“回车。
在启动那里查找一下。取消病毒的启动项,并记住他的绝对路径,也把它删除。
此步骤靠经验比较多,除非你认识的程序,如ctfmon。exe等。除此之外,你也可以取消除杀毒软件之外的一切正启动项目而不删除该文件,等安装好杀毒软件并把病毒库升级到最新后,再让杀毒软件来查杀。
[size=6]彻底清除,绝不留情[/size]
千万别以为,现在就已经大功告成了,在每个磁盘根目录下,都会有一个名为 f的配置文件,并且还有病毒的源文件在。如果我们以为大功告成,重启以后再打开其他的磁盘,你会发现,病毒又回来了。
所以,除了做上面的工作,还得清除磁盘根目录下面的病毒文件。在这里我们建议大家使用命令提示符来处理:在开始——运行里输入cmd回车调出命令提示符。
比如说:我的d:\下面有着这两个文件, f和xxx。
exe。 f会自动安装,也就会自动运行根目录下的xxx。exe,那么病毒就再次感染了你的电脑,之前所做的一切都白费了,所以这一步骤时一定要的!当然,这两个文件都是有隐蔽属性的。在命令提示符下使用dir命令再加个/a参数可以看到所有的文件。
如果你进入命令提示符直接使用del f的话,会提示找不到文件。所以我们应该先去掉这两个文件的隐蔽属性,我们使用外部命令:attrib-s-h-r d:\ f。这样我们就去掉了 f的所有属性,便可以使用del d:\ f来删除该文件了。
删除xxx。exe也是一样。只需要把上面命令中的 f改成xxx。exe就可以了。
至此,该病毒就已经被清除了。我们接下来要做的就是重新启动,进入正常模式。安装杀毒软件,把病毒库升级到最新,对全盘进行一次彻底的扫描。
把病毒彻底赶出你的电脑!
[size=6]构建防御映像劫持的堡垒[/size]
上面讲了如何杀掉运用“映像劫持”技术的病毒,但是,只要有机会,他们还会死灰复燃的,我们要做好防备,让他没有可乘之机:
1、切断病毒的传播途径,在开着杀毒软件的情况下,是可以拦截大部分病毒的。
感染病毒的主要途径有两个,第一是上网下载的程序,第二就是U盘。大家在上网下载程序的时候,千万别忘了先对下载来的文件进行病毒扫描。关于U盘,最好的办法就是不要双击打开。最好使用资源管理器,在左边的目录树打开。
2、通过权限设置,让病毒无法修改你的注册表,拿映像劫持累病毒来说,注册表内的
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options项是病毒想要写入的地方。
那么我们就从权限入手,右键该项,选择权限,在每个用户下面的权限设置里,把“完全控制”的项取消,只给“读取”的权限。这样可以有效的防止病毒利用映像劫持技术。
举一反三,如果你觉得自启动项目已经够了的话,那么你也可以对自动自动项目对应的注册表项权限进行限制比如:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run。收起