1、杀毒软件、防火墙甚至是一些辅助工具全报瘫痪。
2、打开网页搜索“病毒”、“杀毒”等关键字时,网页自动关闭。
3、休想进入安全模式!
4、无法显示隐藏文件。
为什么网页会自动关闭 以上症状均是所谓的镜像病毒的“丰功伟绩”,很多人在感叹这种病毒如此牛X的同时,只好无奈地选择重系统,但有谁会料想到“看家本领”都使出来了结构仍无济于事,于是菜菜们请“高人”将自己的爱机低格一下!OK!那久违的常见进程终于浮现在了你面前...不过这样的话你的确为此付出了惨痛的代价,我们能不能想出一个两全其美的办法:既不重装系统也不格盘呢?要知道,你可能装过2次系统就学会了装系统是怎么回事,但你如果每次中毒-〉装系统-〉中毒...这样恶性循环下去,结果浪费你的精力不说,你手动杀毒的经验确实丝毫没与积累,这可能就是老鸟和菜鸟的区别了吧!通常老鸟会充分发扬DIY精神!今天我们也看看老鸟是怎么炼成的?
一、“破镜重圆”——让“安全模式”振作起来!
安全模式默认加载最少的服务,且不加载启动项,这给手动杀毒爱好者带来了福音,也是他们能手动杀毒的制胜法宝:进入安全模式杀毒;就和杀毒软件一样难逃厄运,我们的安全模式
2、打开网页搜索“病毒”、“杀毒”等关键字时,网页自动关闭。
3、休想进入安全模式!
4、无法显示隐藏文件。
为什么网页会自动关闭 以上症状均是所谓的镜像病毒的“丰功伟绩”,很多人在感叹这种病毒如此牛X的同时,只好无奈地选择重系统,但有谁会料想到“看家本领”都使出来了结构仍无济于事,于是菜菜们请“高人”将自己的爱机低格一下!OK!那久违的常见进程终于浮现在了你面前...不过这样的话你的确为此付出了惨痛的代价,我们能不能想出一个两全其美的办法:既不重装系统也不格盘呢?要知道,你可能装过2次系统就学会了装系统是怎么回事,但你如果每次中毒-〉装系统-〉中毒...这样恶性循环下去,结果浪费你的精力不说,你手动杀毒的经验确实丝毫没与积累,这可能就是老鸟和菜鸟的区别了吧!通常老鸟会充分发扬DIY精神!今天我们也看看老鸟是怎么炼成的?
一、“破镜重圆”——让“安全模式”振作起来!
安全模式默认加载最少的服务,且不加载启动项,这给手动杀毒爱好者带来了福音,也是他们能手动杀毒的制胜法宝:进入安全模式杀毒;就和杀毒软件一样难逃厄运,我们的安全模式
已经不再安全——它被病毒干掉了!这时,我们就想:如果能恢复我们的安全模式,使得病毒无法加载,除了驱动保护的病毒,我们还可以对病毒源文件执行任意操作,此时的病毒仿佛一只没牙的老虎...那我们可就可以到突破点,进而剿杀。那还等什么呢?心动不如行动,网上搜索修改/恢复安全模式的注册表文
件:whua/cfan/200714/fixsafemode.rar下载该文件导入,即可进入安全模式了!
二、“釜底抽薪”——撤掉镜像劫持生存之本,给杀毒软件一救命稻草!
进入安全模式,千万不要急着打开盘符先...在注册表里到下面这一注册表项:
_MACHINE/SOFTWARE/Microsoft/WindowsNT/CurrentVersion/Image File Execution Options此项便是毒巢——镜像技术的“应用”一览无余。举个例子,如果在下面有个子键,可以看到子键的右边有一值为debugger的,双击它!里面的容即是其中病毒的一个子键的一个文件。当运行时,实际上运行的 并不是,它被debugger项内指定的病毒给劫持了即所谓“镜像劫持”。删除刚才路径下除了“Your Image File Name Here Wit
件:whua/cfan/200714/fixsafemode.rar下载该文件导入,即可进入安全模式了!
二、“釜底抽薪”——撤掉镜像劫持生存之本,给杀毒软件一救命稻草!
进入安全模式,千万不要急着打开盘符先...在注册表里到下面这一注册表项:
_MACHINE/SOFTWARE/Microsoft/WindowsNT/CurrentVersion/Image File Execution Options此项便是毒巢——镜像技术的“应用”一览无余。举个例子,如果在下面有个子键,可以看到子键的右边有一值为debugger的,双击它!里面的容即是其中病毒的一个子键的一个文件。当运行时,实际上运行的 并不是,它被debugger项内指定的病毒给劫持了即所谓“镜像劫持”。删除刚才路径下除了“Your Image File Name Here Wit
hout a Path”之外的所有子键,这些子键想必你也早都猜出来了吧!不错,它们就是一些被劫持的合法软件,如Kaspersky、金山、瑞星、江民、360安全卫士等程序均列入“黑名单”,甚至连杀软的安装进程都在其中(这就是为什么我们从新安装杀软叶无济于事的原因)。至此,你的杀毒软件可以工作了,但先别急,病毒还没删除呢!
三、“株连九族”——病毒拉帮结派,一个都不能漏!
刚说的镜像劫持病毒肯定不止一个,一般都会受到进程保护,当一个进程被结束时,另一个程序会自动调用恢复进程。获得debugger内的内容后,即知道了一个病毒的绝对地址。当然第一步是先将它删除,接下来就是查看该启动项了.Msconfig下的取消启动项,并记住它们绝对地址将其删除。然后只剩下硬盘了:哈哈,我们的auto批处理终于派上大用场了,好的,全盘批处理一下即可!要是还是不放心,就将C:/Windows/System32下搜索关键名,并查注册表,把相关项均删除掉即大功告成!
四、“论持久战”——将防毒进行到底!
1、切断病毒传播途径
三、“株连九族”——病毒拉帮结派,一个都不能漏!
刚说的镜像劫持病毒肯定不止一个,一般都会受到进程保护,当一个进程被结束时,另一个程序会自动调用恢复进程。获得debugger内的内容后,即知道了一个病毒的绝对地址。当然第一步是先将它删除,接下来就是查看该启动项了.Msconfig下的取消启动项,并记住它们绝对地址将其删除。然后只剩下硬盘了:哈哈,我们的auto批处理终于派上大用场了,好的,全盘批处理一下即可!要是还是不放心,就将C:/Windows/System32下搜索关键名,并查注册表,把相关项均删除掉即大功告成!
四、“论持久战”——将防毒进行到底!
1、切断病毒传播途径
2、通过权限设置,使得病毒无法修改你的注册表
_MACHINE/SOFTWARE/Microsoft/WindowsNT/;CurrentVersion/Image File Execution Options项是病毒要写入的入口,右键该项-〉选择权限-〉可选为“读取”。举一反三,你如果觉得不需要再添加启动项了,那你可以对自启动项进行权限设置
_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
_MACHINE/SOFTWARE/Microsoft/WindowsNT/;CurrentVersion/Image File Execution Options项是病毒要写入的入口,右键该项-〉选择权限-〉可选为“读取”。举一反三,你如果觉得不需要再添加启动项了,那你可以对自启动项进行权限设置
_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论