疑似病毒木马风险提醒_疑似木马程序正在镜像劫持

电脑被镜像劫持要怎么办？？

.发现病毒。如用杀毒软件查找，或在任务管理器(Ctrl,Alt,Del三键齐按)中发现可疑程序。

2.点击“开始”，“运行”，填写“regedit”，点击确定，进入注册表编辑器。

3.在注册表中路径HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options里面新建立一个项(随便叫什么)，在项内新建一个字串符值，命名为“Debugger”，双击，输入要禁止的文件的路径。

例如，发现进程中有木马或病毒，路径为 C:/aaa/123.exe，则就在刚建立的Debugger中输入C://aaa//123.exe (这里路径斜杠用双斜杠)。

4.关闭注册表编辑器，重新启动电脑。这时病毒无法启动了，然后直接删除就可以了。

第二第二第二第二第二第二第二第二第二第二第二第二

wuaculch.exe,sysloader.exe的清除方法2007-12-05 12:30

1、关闭系统还原(Windows 2000系统可忽略该步)

2、强制删除文件如下文件， 建议采用xdelbox, 或者 powerRMV等工具。如果提示某文件不存在，请忽略之继续填入下一个直到完成。

C:\WINDOWS\system32\wuaculch.exe

C:\Documents and Settings\All Users\Application Data\Microsoft\Office\SYSTEM\sysloader.exe

3、重启后 用工具SRENG操作如下 删除如下各项

启动项目 --注册表

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]

wuaculchC:\WINDOWS\system32\wuaculch.exe [N/A]

==================================

服务

[System Event loader / sysloader][Stopped/Auto Start]

"C:\Documents and Settings\All Users\Application Data\Microsoft\Office\SYSTEM\sysloader.exe"Microsoft

4 最后用windows清理助手或者金山清理专家等工具清理

什么叫映像劫持?如何杀此木马?如何在注册表查杀病毒和木马?

映像劫持：

1、在Windows系统的注册表中，会找到一个项HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options，这个项其实也是系统启动过程中起着重要作用的启动项；

2、系统默认情况下对该项的权限设置并不严格，只要是管理员组用户，就拥有完全控制的权限。

3、而正是这一特点，也让病毒木马看到了进行镜像劫持的机会。它们通过改写该注册表项，在其下添加与各杀毒软件或安全软件进程名称相关的子项，然后在相关的子项右面窗口中会发现一个Debugger键值，并且其键值数据指向了病毒文件的路径，这其实就是看到的镜像劫持，若所安装的杀毒软件进程名称恰恰与被病毒木马创建过相关子键名称相同，那么杀毒软件就无法运行了，但是进程名称若没在木马病毒的名单中，那么这个杀毒软件就可以继续使用并发挥应有的作用。

查杀：万一遭遇这种病毒，可以先试试腾讯电脑管家，如果可以运行，在“杀毒”选项中点击全盘查杀，这时电脑管家将对包括注册表镜像劫持位置在内的所有系统关键位置，以及硬盘中所有文件进行检测，它毕竟拥有4+1核心杀毒引擎，且使用了CPU虚拟执行技术，能够发现病毒木马并对木马病毒予以根除。

镜像劫持是什么病毒，怎么杀？ 360老提示我 ，也杀不掉

镜像劫持的意义在针对杀毒软件方面，OSO病毒还采用了一种新技术，这种技术被成为镜像劫持，通过这种技术也能够将杀毒软件置于死地。

所谓的镜像劫持，就是在注册表的[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\ CurrentVersion\Image File Execution Options]处新建一个以杀毒软件主程序命名的项，例如Rav.exe。然后再创建一个子键“Debugger="C:\WINDOWS\system32\drivers\ceffen.com”。以后只要用户双击 Rav.exe就会运行OSO的病毒文件ceffen.com，类似文件关联的效果。对这个病毒的清除注意几点：（代表个人意见）

1、重启进入安全模式下后所有硬盘操作都要右键打开，切记不要双击打开各个分区！

2、进入后要去掉隐藏的系统属性。（这一步要先编辑注册表否则实现不了，病毒已经更改注册表使隐藏的文件选项失效）

3、找到隐藏的文件后删除即可！

4、手动删除添加的非法 IFEO 劫持项目，重启后即可. 镜像劫持的简单解决方法 如果电脑上有杀毒软件或360什么的但是中了镜像劫持是安全软件无法运行的话，

其实只需要更改一下安全软件的名字就能不被镜像劫持利用，个人认为这是最适合初学者的最简单办法。

首先找到安全软件的位置大部分都放在program files文件夹下。 找到名字例如拿360做例子原文件路径X:\Program Files\360safe原名为360Safe.exe 你把名字改为36015safe.exe(名字什么都行不过就不能是安全软件的名字)然后双击此安全软件就会过镜像劫持开始运行，后面的查杀就不需要说什么了吧。这小操作可以解决燃眉之急啦。

电脑里的杀毒软件检测到“映像劫持”，要求清楚该项，请问映像劫持是什么？有着怎样的威胁？

所谓的映像劫持（IFEO）就是Image File Execution Options，位于注册表的[HKEY_LOCAL MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]由于这个项主要是用来调试程序用的，对一般用户意义不大。默认是只有管理员和local system有权读写修改。 通俗一点来说，就是比如我想运行QQ.exe(记事本），结果运行的却是运行了notepad.exe(记事本），也就是说在这种情况下，QQ程序被notepad给劫持了，即你想运行的程序被另外一个程序代替了。 映像劫持病毒 虽然映像劫持是系统自带的功能，对我们一般用户来说根本没什么用的必要，但是就有一些病毒通过映像劫持来做文章，表面上看起来是运行了一个程序，实际上病毒已经在后台运行了。 但是与一般的木马，病毒不同的是，就有一些病毒偏偏不通过这些来加载自己，不随着系统的启动运行，而是等到你运行某个特定的程序的时候运行，这也抓住了一些用户的心理，一般的用户，只要发觉自己的机子中了病毒，首先要察看的就是系统的加载项，很少有人会想到映像劫持，这也是这种病毒高明的地方。 映像劫持病毒主要通过修改注册表中的[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution options] 项来劫持正常的程序，比如有一个病毒 vires.exe 要劫持 qq 程序，它会在上面注册表的位置新建一个qq.exe项，再这个项下面新建一个字符串的键值 debugger 内容是：C:\WINDOWS\SYSTEM32\ABC.EXE(这里是病毒藏身的路径)即可。当然如果你把该字符串值改为任意的其他值的话，系统就会提示找不到该文件。 映像胁持的基本原理 WINDOWS NT系统在试图执行一个从命令行调用的可执行文件运行请求时，先会检查运行程序是不是可执行文件，如果是的话，再检查格式的，然后就会检查是否存在。如果不存在的话，它会提示系统找不到文件或者是“指定的路径不正确”等等。把这些键删除后，程序就可以运行！ 映像劫持的应用 ★禁止某些程序的运行 先看一段代码： Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\qq.exe] "Debugger"="notepad.exe" 使用记事本，把上面这段代码复制到记事本中，并另存为 ABC.reg，双击导入注册表，打开你的QQ看一下效果！ 这段代码的作用是双击运行QQ的时候，系统都打开记事本，原因就是QQ被重定向了。如果要让QQ继续运行的话，把notepad.exe改为QQ.exe的绝对路径就可以了。 ★偷梁换柱恶作剧 每次我们按下CTRL+ALT+DEL键时，都会弹出任务管理器，想不想在我们按下这些键的时候让它弹出命令提示符窗口，下面就教你怎么玩： Windows Registry Editor Version 5.00 [HKEY_LOCAL MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe] "Debugger"="C:\WINDOWS\pchealth\helpctr\binaries\msconfig.exe" 将上面的代码在记事本中另存为 task_cmd.reg，双击导入注册表。按下那三个键看是什么效果，不用我说了吧，是不是很惊讶啊！精彩的还在后头呢！

我电脑中了镜像劫持病毒怎么办

ati2evxx.exe —— 这个东西是我遇到的第三个强毒 ，先声明，它是伪装显卡驱动的一个程序，表说我没常识！！！

网上针对此毒的查杀方法我都看过，但效果真的不怎么理想……

很不幸 该病毒的生成路径和网上有出入，不在C:\Program Files\Common Files目录下，而是C:\WINDOWS\Fonts 目录——也就是Windows字体类型存放目录， 在C:\WINDOWS\Fonts下还有一个文件夹：C:\WINDOWS\Fonts\system ，这个病毒很有个性啊。。。 因为 C:\WINDOWS\Fonts 下手动根本无法新建文件夹。

我试过网上的方法，安全模式（自然要进）——Windows优化大师（我就瞧准了它有一个文件粉碎和注册表信息优化）——360安全卫士根本用不了（你想用也可以，去把注册表改回来，在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options 项下，删掉你看到的所有360项，它即可启动，但我劝你还是放弃这种徒劳的举动……呵呵 听我说完）—— IceSword （这个东西用来结束进程，强制删除病毒） —— 启动项 （把被篡改的修正） 。

起初，本人不太了解ati2evxx.exe 的原理…… 亏大了！ Ghost还原了两次，还有毒——为什么？？？ 呵呵，我还没考虑要重装，岂不和Ghost一样，而且重装那个久啊···

经过一番“研究” ，找到关键的三个地方：1，映像劫持——我的理解是能感染部分EXE文件，看了上面注册表的位置我可以清楚的知道是什么文件被感染…… 2，userinit.exe 这个东西也会被感染。 3，每个硬盘下都有 autorun.inf 和 ntldr.exe

那为什么ghost恢复后还有毒？ 原来 我ghost备份时连带有360safe作为启动项，原本它装在E盘，恢复后C盘当然是干净的，E盘360safe.exe被感染，ghost 还原后360safe是其中一个启动项，所以等同于恢复的同时随机启动项间接启动了病毒。。。 病毒一启动 原本干净的 userinit.exe 立刻被感染 ！！！ 一切都白做···

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

杀ati2evxx.exe 一般 步骤：

1，到别的机子拷一个userinit.exe 过来，在C:\WINDOWS\system32目录下；

2，进安全模式，这是必然的 （除非你还中了AV终结者之类的东西，不然一定可以进 ）

3，任务管理器，结束进程 ati2evxx.exe。你用优化大师也好，用Icesword也好（庆幸吧 ，ati2evxx.exe没有劫持这两个程序），找到C:\WINDOWS\Fonts\system这个目录，将它整个删掉！ 接着，显示所有隐藏文件 将每个盘下的 autorun.inf 和 ntldr.exe 删掉 ！ 肯定有，用Icesword，文件——单击盘符即可见！

4，打开注册表（别说你不会）找到 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options ，（我建议）手动删掉和ati2evxx.exe有关的一切 （注册表右侧的名称和数据会写的很清楚）；当然，你可以用优化大师，查找目标ati2evxx ， 搜索整个注册表，删掉它搜到的所有东西。如此，注册表就干净了。

5，启动你想启动的任何程序吧，杀软，360安全卫士 …… 全盘扫描，你会扫出很多很多很多很多……的木马， 呵呵，痛快的杀吧，它们都是ati2evxx.exe带出来的。。。

6，去掉多余启动项，我个人建议：除了ctfmon.exe之外，其他的 杀软，防火墙，迅雷，QQ，无关紧要的驱动程序等一律不要随机启动！！！

7，将userinit.exe 复制 粘贴在C:\WINDOWS\system32目录下；

8，正常重启。祈祷你所做的一切不是白费的吧！如果你好运的话系统已经恢复正常。

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

呵呵，如果不幸 ati2evxx.exe还在的话（不该说“还在”，应该说它又出现了）。 格盘吧！

做好重要文件的备份，格掉所有硬盘（不只是C盘）。 我个人建议不要重装，否则你会后悔的！

啊哈！！！