如何手动清除那些利用了映像劫持技术的病毒
最近有用户的电脑感染了病毒,开机时就会弹出若干个窗口,也无法关机,只能待内存耗尽,最后导致死机,其实他只是格式化了c分区,重装系统之后开机,还是会出现中病毒的现象。
从上述现象至少得到2个信息:1、病毒会通过自动播放传播;2、病毒可能利用映像劫持。
故障现象
检查故障机,重启时,很自然的想到启动到带命令行的安全模式。运行regedit,结果失败。msconfig一样失败。改regedit.exe为regedit.com,同样失败,没有继续尝试改别的名字。重启电脑进普通模式,想看一下具体中毒的现象。
登录到桌面后,发现一个类似记事本的程序不停打开一个小对话框,速度很快,根本来不及关闭,任务管理器也调不出来。立即拿出我的杀毒U盘,其中常备ProcessExplorer、冰刃、Sreng。发现杀毒U盘没有正常的启动成功。双击冰刃/Sreng都宣告失败。
解决步骤
分别对将icesword和Sreng主程序改名后运行,此时,那个象记事本的病毒程序已经打开近百个对话框,系统变得很慢。在WINXP的任务栏选中这一组窗口,关闭掉,先抢占一些系统资源再说。
然后,双击U盘上的ProcessExplorer,一眼看到有记事本图标的三个进程,尝试结束其中一个,发现结束后,程序会立即重新启动。看来,直接KILL进程是不行的。结束不行,就用下冻结进程,分别选中这三个进程,单击右键,在进程属性中选择Suspend(暂停)进程,病毒就不再弹出新的对话框,杀它就容易了。(参考下图的示例:)
切换到冰刃,简单地通过进程管理,根据病毒进程的程序位置和文件名,轻松使用冰刃内置的文件管理器浏览到这几个文件,复制一个备份到桌面,再单击右键,选择强制删除。
(下图演示冰刃的强制删除):
接下来,再切换到冰刃窗口中的注册表编辑器,浏览到HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options,逐个查看子注册表键中对应的程序名,找到另一个病毒程序。(这里要说明一下,有网友认为只需要保留Your Image File Name Here without a path子键,其它都可以删除。觉得这样做还是有风险的,谨慎的做法还是一个子键一个子键的检查,如果发现键值为病毒程序的路径时,再删除这个子键)。
同样,需要使用冰刃的文件管理器将病毒程序强制删除。这个病毒太恶劣了,我发现几乎所有的杀毒软件、防火墙、系统自带的管理工具(regedit,msconfig,cmd,任务管理器)、第三方的系统辅助工具(Sreng、autoruns、冰刃)全部被劫持。
修复注册表后,双击杀毒U盘中的毒霸,新版杀毒U盘增加了监视功能,在我点击桌面备份的那几个病毒程序时,杀毒U盘的监控立即干掉了病毒。然后打开资源管理器,浏览到其它分区根目录,杀毒U盘又把另几个分区根目录下隐藏的病毒干掉。
另类解决方案
在你没有冰刃、Process Explorer时,可以用其人之道,还治其人之身。编辑一个修改注册表的批处理脚本,把病毒程序也给加到映像劫持的清单中,如下示例:
@echo offecho Windows Registry Editor Version 5.00>ssm.regecho [HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\syssafe.EXE] >>ssm.regecho "Debugger"="syssafe.EXE" >>ssm.reg (如果发现多个病毒程序,就编辑多行)rem regedit /s ssm.reg &del /q ssm.reg (如果发现多个病毒程序,就编辑多行)
重启电脑后,病毒程序也启动不了,比较毒吧,然后把注册表编辑器的程序名regedit.exe为其它的什么名字,双击后对注册表的HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options项进行修改。再升级杀毒软件杀毒。
总结
对普通用户来说,遇到这类对抗杀毒软件很强的病毒,实在很棘手。使用杀毒软件轻松修复的可能性很小,手工修复对普通用户来说,很有难度。
建议
1.使用组策略编辑器,关闭所有驱动器的自动播放功能(自动播放功能传播了太多的病毒)。
2.及时升级杀毒软件,防止被这类病毒袭击,中招后再去处理,需要花更多功夫。
3.一旦中毒,应立即联系专业反病毒工程师协助,重装系统不是好方法。
以上就是脚本之家为大家介绍的如何手动清除那些利用了映像劫持技术的病毒的教程,想了解更多精彩教程,请继续关注脚本之家!
2. 分享目的仅供大家学习和交流,请不要用于商业用途!
3. 如果你也有好源码或者教程,可以到用户中心发布投稿,分享有金币奖励和额外收入!
4. 本站提供的源码、模板、插件等等其他资源,都不包含技术服务 请大家谅解!
5. 如有链接无法下载、失效或广告,请联系站长,可领回失去的金币,并额外有奖!
6. 如遇到加密压缩包,默认解压密码为"www.zyfx8.cn",如遇到无法解压的请联系管理员!
本站部分文章、资源来自互联网,版权归原作者及网站所有,如果侵犯了您的权利,请及时联系我站删除。免责声明
资源分享吧 » 如何手动清除那些利用了映像劫持技术的病毒
常见问题FAQ
- 免费下载或者VIP会员专享资源能否直接商用?
- 本站所有资源版权均属于原作者所有,这里所提供资源均只能用于参考学习用,请勿直接商用。若由于商用引起版权纠纷,一切责任均由使用者承担。更多说明请参考 VIP介绍。
- 织梦模板使用说明
- 你下载的织梦模板并不包括DedeCMS使用授权,根据DedeCMS授权协议,除个人非盈利站点外,均需购买DedeCMS商业使用授权。购买地址: http://www.desdev.cn/service-dedecms.html
