如何手动清除那些映像劫持技术的病毒

在用电脑的过程中,经常会遇到一些病毒,那么怎么样才能彻底查杀电脑中的木马病毒呢?安全防御教你如何查杀映像劫持技术的病毒。

解决步骤

分别对将icesword和Sreng主程序改名后运行,此时,那个象记事本的病毒程序已经打开近百个对话框,系统变得很慢。在WINXP的任务栏选中这一组窗口,关闭掉,先抢占一些系统资源再说。

然后,双击U盘上的ProcessExplorer,一眼看到有记事本图标的三个进程,尝试结束其中一个,发现结束后,程序会立即重新启动。看来,直接KILL进程是不行的。结束不行,就用下冻结进程,分别选中这三个进程,单击右键,在进程属性中选择Suspend(暂停)进程,病毒就不再弹出新的对话框,杀它就容易了。

切换到冰刃,简单地通过进程管理,根据病毒进程的程序位置和文件名,轻松使用冰刃内置的文件管理器浏览到这几个文件,复制一个备份到桌面,再单击右键,选择强制删除。

接下来,再切换到冰刃窗口中的注册表编辑器,浏览到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options,逐个查看子注册表键中对应的程序名,找到另一个病毒程序。(这里要说明一下,有网友认为只需要保留Your Image File Name Here without a path子键,其它都可以删除。觉得这样做还是有风险的,谨慎的做法还是一个子键一个子键的检查,如果发现键值为病毒程序的路径时,再删除这个子键)。

同样,需要使用冰刃的文件管理器将病毒程序强制删除。这个病毒太恶劣了,我发现几乎所有的杀毒软件、防火墙、系统自带的管理工具(regedit,msconfig,cmd,任务管理器)、第三方的系统辅助工具(Sreng、autoruns、冰刃)全部被劫持。

修复注册表后,双击杀毒U盘中的毒霸,新版杀毒U盘增加了监视功能,在我点击桌面备份的那几个病毒程序时,杀毒U盘的监控立即干掉了病毒。然后打开资源管理器,浏览到其它分区根目录,杀毒U盘又把另几个分区根目录下隐藏的病毒干掉。

如果用户还遇到其他类型的病毒,可以访问安全防御解决问题。

时间: 2024-11-05 19:35:17

如何手动清除那些映像劫持技术的病毒的相关文章

映像劫持技术(1):简单介绍

映像劫持,即Image File Execution Option.在深入了解这个概念之前,可以简单地认为,它可以令应用程度重定向.这是注册表里的一个功能,可以做这样的尝试: 打开注册表——定位到 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options,右键,新建项,将其重命名为notepad.exe.在右边空白处点击右键,新建”字符串值“,将其重命名为”Debugg

映像劫持技术(2):实例

在Image File Execution Options下创建cmd.exe项,将其“重定向”到我们自己编写的程序 1 #include<stdio.h> 2 #include<windows.h> 3 4 int main() 5 { 6 HKEY hKey; 7 DWORD dwDisposition=REG_CREATED_NEW_KEY; //新建一个子项 8 if((::RegCreateKeyEx(HKEY_LOCAL_MACHINE, 9 "SOFTWAR

映像劫持

因使用电脑不当,这周电脑默默地不知道中了什么毒.每当电脑进入“是否允许该应用更改计算机”时就会发生黑屏然后死机,打开杀毒软件一查,发现问题是一个叫做“映像劫持项出现异常,部分软件不能正常使用”的什么鬼.于是乎我就上网百度了一下什么是映像劫持和解决方法,可是,呵呵,并没有用...... 映像劫持 就是Image File Execution Options(其实应该称为“Image Hijack”.)是为一些在默认系统环境中运行时可能引发错误的程序执行体提供特殊的环境设定.由于这个项主要是用来调试

利用映像劫持替换记事本

Image File Execution Options就是映像劫持技术,通过此种方式替换记事本,非常地绿色环保. Image File Execution Options是CreateProcess函数中的一个功能,即在可执行程序运行时,Windows会先检测对应IFEO中的Debugger值,如果 存在这个参数的话,就运行这个参数中指定的程序,好像是程序调试之用,具体可以见这里. 原理:通过修改 Image File Execution Options 键值后,在有 notepad.exe

C#实现映像劫持

“映像劫持”,也被称为“IFEO”(Image File Execution Options),在WindowsNT架构的系统里,IFEO的本意是为一些在默认系统环境中运行时可能引发错误的程序执行体提供特殊的环境设定.当一个可执行程序位于IFEO的控制中时,它的内存分配则根据该程序的参数来设定,而WindowsN T架构的系统能通过这个注册表项使用与可执行程序文件名匹配的项目作为程序载入时的控制依据,最终得以设定一个程序的堆管理机制和一些辅助机制等.出于简化原因,IFEO使用忽略路径的方式来匹配

映像劫持IFEO

类似标签:映像劫持.(Image File Execution Options).“Image Hijact" "如果我想在双击程序‘notepad.exe' 程序时,系统执行的确是 'cmd.exe' ,该怎么实现?” 我们应该先探索一下 当我们点击了 'notepad.exe'时,发生了什么:我们双击了'notepad.exe',系统判断'notepad.exe'是一个可执行体,然后为程序申请内存空间/加载程序/执行程序. 不对,其实在为程序申请内存空间之前,系统还对'notepa

Windows AD残留信息手动清除

              下面整理之前做过的清除AD残留信息的操作步骤分享给大家: 1 使用命令netdom query fsmo查看AD角色 2       使用命令检查当前域控的复制状态 通过命令repadmin /showrepl查看到目前存在一台域控DC-SD存在域信息同步问题. 3       通过命令repadmin /replsummary 命令repadmin /replsummary查看域信息同步队列,发现域控DC-SD已经超过60天没有和其他域控进行信息同步了. 4    

手动清除memcached缓存方法

1.查memcache状态/usr/bin/perl /usr/local/src/memcached-1.4.5/scripts/memcached-tool localhost:11211或者telnet localhost 11211 2.手动清除memcached测试 1). flush_all  echo "flush_all" | nc localhost 11211 # telnet localhost 11211Trying 127.0.0.1...Connected

SDWebImage手动清除缓存的方法

1.找到SDImageCache类 2.添加如下方法: [objc] view plaincopyprint? - (float)checkTmpSize { float totalSize = 0; NSDirectoryEnumerator *fileEnumerator = [[NSFileManager defaultManager] enumeratorAtPath:diskCachePath]; for (NSString *fileName in fileEnumerator) {