一、电脑被镜像劫持要怎么办
.发现病毒。如用杀毒软件查找,或在任务管理器(Ctrl,Alt,Del三键齐按)中发现可疑程序。
2.点击“开始”,“运行”,填写“regedit”,点击确定,进入注册表编辑器。
3.在注册表中路径HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options里面新建立一个项(随便叫什么),在项内新建一个字串符值,命名为“Debugger”,双击,输入要禁止的文件的路径。
例如,发现进程中有木马或病毒,路径为 C:/aaa/123.exe,则就在刚建立的Debugger中输入C://aaa//123.exe(这里路径斜杠用双斜杠)。
4.关闭注册表编辑器,重新启动电脑。这时病毒无法启动了,然后直接删除就可以了。
第二第二第二第二第二第二第二第二第二第二第二第二
wuaculch.exe,sysloader.exe的清除方法2007-12-05 12:30
1、关闭系统还原(Windows 2000系统可忽略该步)
2、强制删除文件如下文件,建议采用xdelbox,或者 powerRMV等工具。如果提示某文件不存在,请忽略之继续填入下一个直到完成。
C:\WINDOWS\system32\wuaculch.exe
C:\Documents and Settings\All Users\Application Data\Microsoft\Office\SYSTEM\sysloader.exe
3、重启后用工具SRENG操作如下删除如下各项
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
<wuaculch><C:\WINDOWS\system32\wuaculch.exe>[N/A]
==================================
[System Event loader/ sysloader][Stopped/Auto Start]
<"C:\Documents and Settings\All Users\Application Data\Microsoft\Office\SYSTEM\sysloader.exe"><Microsoft>
4最后用windows清理助手或者金山清理专家等工具清理
二、什么叫镜像劫持为什么病毒和木马能镜像劫持
你好,在Windows系统的注册表中,你会找到一个项HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options,这个项其实也是系统启动过程中起着重要作用的启动项,系统默认情况下对该项的权限设置并不严格,只要是管理员组用户,就拥有完全控制的权限。而正是这一特点,也让病毒木马看到了进行镜像劫持的机会。它们通过改写该注册表项,在其下添加与各杀毒软件或安全软件进程名称相关的子项,然后在相关的子项右面窗口中你会发现一个Debugger键值,并且其键值数据指向了病毒文件的路径,这其实就是你看到的镜像劫持,若你所安装的杀毒软件进程名称恰恰与被病毒木马创建过相关子键名称相同,那么你的杀毒软件就无法运行了,但是进程名称若没在木马病毒的名单中,那么这个杀毒软件就可以继续使用并发挥应有的作用。
万一遭遇这种病毒,你可以先试试腾讯电脑管家,如果可以运行,在“杀毒”选项中点击全盘查杀,这时电脑管家将对包括注册表镜像劫持位置在内的所有系统关键位置,以及硬盘中所有文件进行检测,它毕竟拥有4+1核心杀毒引擎,且使用了CPU虚拟执行技术,能够发现病毒木马并对木马病毒予以根除。万一连电脑管家也无法运行了,你可以在http://dlied6.qq.com/invc/xfspeed/tools/RootkitRemover.exe下载专杀工具来试试,它能够处理包括电脑管家在内的所有杀毒软件无法运行,即遭遇映像劫持的情况。
如果你还有其它电脑问题,欢迎你在电脑管家企业平台提出,我们将尽力为你解答。
三、镜像劫持是什么病毒,怎么杀
所谓的镜像劫持,就是在注册表的[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\ CurrentVersion\Image File Execution Options]处新建一个以杀毒软件主程序命名的项,例如Rav.exe。
然后再创建一个键“Debugger="C:\WINDOWS\system32\drivers\ceffen.com”。以后只要用户双击 Rav.exe就会运行OSO的病毒文件ceffen.com,类似文件关联的效果。对这个病毒的清除注意几点:
1、重启进入安全模式下后所有硬盘操作都要右键打开,切记不要双击打开各个分区;
2、进入后要去掉隐藏的系统属性。(这一步要先编辑注册表否则实现不了,病毒已经更改注册表使隐藏的文件选项失效);
4、手动删除添加的非法 IFEO劫持项目,重启后即可.镜像劫持的简单解决方法如果电脑上有杀毒软件或360什么的但是中了镜像劫持是安全软件无法运行的话其实只需要更改一下安全软件的名字就能不被镜像劫持利用,个人认为这是最适合初学者的最简单办法。
找到安全软件的位置大部分都放在program files文件夹下。找到名字例如拿360做例子原文件路径X:\Program Files\360safe原名为360Safe.exe你把名字改为36015safe.exe(名字什么都行不过就不能是安全软件的名字)然后双击此安全软件就会过镜像劫持开始运行,后面的查杀就不需要说什么了吧。这小操作可以解决燃眉之急啦。
镜像劫持和镜像劫持是什么意思的问题分享结束啦,以上的文章解决了您的问题吗?欢迎您下次再来哦!
