木马程序镜像劫持怎么解除_木马程序镜像劫持

hacker|
213

电脑中木马病毒的症状

本文操作环境:windows7系统、Dell G3电脑。

电脑中木马病毒的症状

(一)文件或文件夹无故消失:

当发现电脑中的部分文件或文件夹无缘无故消失,就可以确定电脑已经中了病毒。部分电脑病毒通过将文件或文件夹隐藏,然后伪造已隐藏的文件或文件夹并生成可执行文件,当用户点击这类带有病毒程序的伪装文件时,将直接造成病毒的运行,从而造成用户信息的泄露。

(二)运行应用程序无反应:

部分电脑病毒采用映像劫持技术,将常用的应用程序运行路径进行更改为病毒运行目录,从而当我们试图运行正常的程序时,其实是运行了病毒程序,导致电脑病毒的启动。

(三)电脑启动项含有可疑的启动项:

检查“系统配置实现程序”窗口,如果发现有不明的可执行目录,则可以确定自己的电脑已经中病毒啦。当然更多时候病毒程序是利用修改注册表项来添加自启动项。

(四)电脑运行极度缓慢:

当电脑运行速度明显变得缓慢时,就及有可能是电脑中病毒所致。中病毒的电脑,通过病毒程序会在后台持续运行,并且绝大多数病毒会占有过多的CPU及内存,而且木马病毒大都会借助 *** 来传播用户隐私信息。

(五)杀毒软件失效:

通过杀毒软件用于对系统进行防护,因此当杀毒软件无法正常运行进行杀毒操作时,就可以确信电脑已中病毒,此时我们需要借助 *** 来实行在线杀毒操作。大部分安全防护软件如360,金山卫士, *** 管家这三款比较主流的国产安全防护软件都有自主防御的防御模块,而病毒或木马更先攻击的就是安全防护软件的自主防御模块。如果您发现主动防御模块被关闭或安全防护软件直接无法启动或内存错误,很有可能是安全防护软件也招架不住这种强悍的病毒而瘫痪了

(六)电脑运行异常:

病毒会占用过多的系统性能,以及造成文件的破坏,甚至严重影响系统的稳定性。当电脑出现无故蓝屏、运行程序异常、运行速度太慢以及出现大量可疑后台运行程序时,就要引起注意,可能电脑已经中病毒啦。

(七)系统语言更改为其他语言

大家的计算机系统语言默认是简体中文,如果开机后发现急速阿吉系统语言被修改为其他语言,很有可能是中了恶意病毒了,可以试用安全防护软件扫描清除病毒

(八)蓝屏黑屏

黑屏比较少见,蓝屏却比较多见了。中了莫名的恶意病毒可能在运行某个游戏或某个软件时突然计算机蓝屏,蓝屏代码可能是某条常见代码,可能是说计算机为了保护系统自动强行重启。

(九)主页篡改,强行刷新或跳转网页,频繁弹广告

主页被篡改是早期病毒的主要攻击对象,计算机操作系统中毒后一般都会发生浏览器主页被篡改的现象,所以当年IE伴侣这款修复主页篡改的小软件挺受欢迎。如果同时伴有浏览器页面不停反复载入/刷新或无缘无故弹出广告,那么很有可能是中毒了

(十)应用程序图标被篡改或空白

计算机桌面的程序快捷方式图标或程序目录的主exe文件的图标被篡改或为空白,那么很有可能这个软件的exe程序被病毒或木马感染。蠕虫病毒会进行此类感染修改

电脑中病毒后简单的处理方式

一、正在上网的用户,发现异常应首先马上断开连接

如果你发现IE经常询问你是否运行某些ACTIVEX控件,或是生成莫明其妙的文件、询问调试脚本什么的,一定要警惕了,你可能已经中招了。典型的上网被入侵有两种情况:

1、是浏览某些带恶意代码的网页时候被修改了浏览器的默认主页或是标题,这算是轻的;还有就是遇到可以格式化硬盘或是令你的windows不断打开窗口,直到耗尽资源死机??这种情况恶劣得多,你未保存和已经放在硬盘上的数据都可能会受到部分或全部的损失。

2、是黑客的潜在的木马发作,或是蠕虫类病毒发作,让你的机器不断地向外界发送你的隐私、或是利用你的名义和邮件地址发送垃圾,进一步传播病毒;还有就是黑客的手工入侵,窥探你的隐私或是删除破坏你的文件。

处理办法:马上断开连接,这样能将自己的损失降低的同时,也避免了病毒向更多的在线电脑传播。

二、中毒后,应马上备份转移文档和邮件等

中毒后运行杀毒软件清除是不在话下的了,但为了防止杀毒软件误杀或是删掉你还处理完的文档和重要的邮件,你应该首先将它们转移备份到其他储存媒体上。有些长文件名的文件和未处理的邮件要求在windows下备份,所以之一点这里笔者建议您先不要退出windows,因为病毒一旦发作,可能就不能进入windows了。

不管这些文件是否带毒了,你都应该备份,用标签纸标记为待查即可。因为有些病毒是专门针对某个杀毒软件设计的,一运行就会破坏其他的文件,所以先备份是以防万一的措施。等你清除完硬盘内的病毒后,再来慢慢分析处理这些额外备份的文件较为妥善。

三、需要在windows下先运行一下杀CIH的软件(即使是带毒环境)

如果是发现了CIH病毒的,要注意不能完全按平时报刊和手册建议的措施,先关机、冷启动用系统盘来引导再杀毒,应在带毒的环境下也运行一次专杀CIH的软件。这样做,杀毒软件可能会报告某些文件在受读写保护无法清理,但带毒运行的实际目的不在于完全清除病毒,而是在于把CIH下次开机时候的破坏减到更低,以防它再次开机破坏主板的BIOS硬件,那么就会黑屏,让你的下一步杀毒无法进行。

四、需要干净的DOS启动盘和DOS下面进行杀毒

到现在,就应该按很多杀毒软件的标准手册去按步就班地做,即关机后冷启动,用一张干净的DOS启动盘引导是不能少的了;另外由于中毒后可能windows已经被破坏了部分关键文件,会频繁地非法操作,所以windows下的杀毒软件可能会无法运行。所以请你也准备一个DOS下面的杀毒软件来以防万一。

即使能在windows下运行杀毒软件的,也请用两种以上工具交叉清理。在多数情况下windows可能要重装,因为病毒会破坏掉一部分文件让系统变慢或出现频繁的非法操作。比如即使杀了CIH,微软的outlook邮件程序也是反应较慢的。建议不要对某种杀毒软件带偏见,由于开发时候侧重点不同、使用的杀毒引擎不同,各种杀毒软件都是有自己的长处和短处的,交叉使用效果较理想。

五、如果有Ghost和分区表、引导区的备份,用之来恢复一次最保险

如果你在平时作了windows的Ghost备份,用之来镜像一次,得到的操作系统是最保险的。这样连潜在的未杀光的木马程序也顺便清理了,当然,这要求你的GHOST备份是绝对可靠的,呵呵,要是作Ghost的时候把木马也“备份”了就……

六、再次恢复系统后,更改你的 *** 相关密码

包括登录 *** 的用户名、密码,邮箱的密码和 *** 的等等,防止黑客已经在上次入侵过程中知道了你的密码。另外因为很多蠕虫病毒发作会向外随机发送你的信息,所以适当的更改是必要的。

什么叫映像劫持?如何杀此木马?如何在注册表查杀病毒和木马?

映像劫持:

1、在Windows系统的注册表中,会找到一个项HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options,这个项其实也是系统启动过程中起着重要作用的启动项;

2、系统默认情况下对该项的权限设置并不严格,只要是管理员组用户,就拥有完全控制的权限。

3、而正是这一特点,也让病毒木马看到了进行镜像劫持的机会。它们通过改写该注册表项,在其下添加与各杀毒软件或安全软件进程名称相关的子项,然后在相关的子项右面窗口中会发现一个Debugger键值,并且其键值数据指向了病毒文件的路径,这其实就是看到的镜像劫持,若所安装的杀毒软件进程名称恰恰与被病毒木马创建过相关子键名称相同,那么杀毒软件就无法运行了,但是进程名称若没在木马病毒的名单中,那么这个杀毒软件就可以继续使用并发挥应有的作用。

查杀:万一遭遇这种病毒,可以先试试腾讯电脑管家,如果可以运行,在“杀毒”选项中点击全盘查杀,这时电脑管家将对包括注册表镜像劫持位置在内的所有系统关键位置,以及硬盘中所有文件进行检测,它毕竟拥有4+1核心杀毒引擎,且使用了CPU虚拟执行技术,能够发现病毒木马并对木马病毒予以根除。

什么叫镜像劫持?为什么病毒和木马能镜像劫持?

你好,在Windows系统的注册表中,你会找到一个项HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options,这个项其实也是系统启动过程中起着重要作用的启动项,系统默认情况下对该项的权限设置并不严格,只要是管理员组用户,就拥有完全控制的权限。而正是这一特点,也让病毒木马看到了进行镜像劫持的机会。它们通过改写该注册表项,在其下添加与各杀毒软件或安全软件进程名称相关的子项,然后在相关的子项右面窗口中你会发现一个Debugger键值,并且其键值数据指向了病毒文件的路径,这其实就是你看到的镜像劫持,若你所安装的杀毒软件进程名称恰恰与被病毒木马创建过相关子键名称相同,那么你的杀毒软件就无法运行了,但是进程名称若没在木马病毒的名单中,那么这个杀毒软件就可以继续使用并发挥应有的作用。

万一遭遇这种病毒,你可以先试试腾讯电脑管家,如果可以运行,在“杀毒”选项中点击全盘查杀,这时电脑管家将对包括注册表镜像劫持位置在内的所有系统关键位置,以及硬盘中所有文件进行检测,它毕竟拥有4+1核心杀毒引擎,且使用了CPU虚拟执行技术,能够发现病毒木马并对木马病毒予以根除。万一连电脑管家也无法运行了,你可以在下载专杀工具来试试,它能够处理包括电脑管家在内的所有杀毒软件无法运行,即遭遇映像劫持的情况。

如果你还有其它电脑问题,欢迎你在电脑管家企业平台提出,我们将尽力为你解答。

镜像劫持是什么病毒,怎么杀? 360老提示我 ,也杀不掉

镜像劫持的意义在针对杀毒软件方面,OSO病毒还采用了一种新技术,这种技术被成为镜像劫持,通过这种技术也能够将杀毒软件置于死地。

所谓的镜像劫持,就是在注册表的[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\ CurrentVersion\Image File Execution Options]处新建一个以杀毒软件主程序命名的项,例如Rav.exe。然后再创建一个子键“Debugger="C:\WINDOWS\system32\drivers\ceffen.com”。以后只要用户双击 Rav.exe就会运行OSO的病毒文件ceffen.com,类似文件关联的效果。对这个病毒的清除注意几点:(代表个人意见)

1、重启进入安全模式下后所有硬盘操作都要右键打开,切记不要双击打开各个分区!

2、进入后要去掉隐藏的系统属性。(这一步要先编辑注册表否则实现不了,病毒已经更改注册表使隐藏的文件选项失效)

3、找到隐藏的文件后删除即可!

4、手动删除添加的非法 IFEO 劫持项目,重启后即可. 镜像劫持的简单解决 *** 如果电脑上有杀毒软件或360什么的但是中了镜像劫持是安全软件无法运行的话,

其实只需要更改一下安全软件的名字就能不被镜像劫持利用,个人认为这是最适合初学者的最简单办法。

首先找到安全软件的位置大部分都放在program files文件夹下。 找到名字例如拿360做例子原文件路径X:\Program Files\360safe原名为360Safe.exe 你把名字改为36015safe.exe(名字什么都行不过就不能是安全软件的名字)然后双击此安全软件就会过镜像劫持开始运行,后面的查杀就不需要说什么了吧。这小操作可以解决燃眉之急啦。

0条大神的评论

发表评论