注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

心的遨游

蓝天碧水我喜欢!

 
 
 

日志

 
 

映像劫持  

2007-12-02 16:32:30|  分类: 电脑应用 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |
          看了题目是不是觉得丈二和尚摸不着头,其实这是一种电脑病毒的名称。前不久肆虐的AV终结者病毒就是属于映像劫持病毒。映像劫持也成为IFEO,(Image File Execution Options,其实应该称为“Image Hijack”,至少也应该称为IFEO Hijack而不是只有“IFEO”自身)。它的概念解释起来很复杂也很专业,有兴趣的朋友可以到这个网址了解:http://baike.baidu.com/view/1181867.htm

我可以说出映像劫持是由于受过它的“荼毒”,真是吓了我一大跳。那我就说说电脑从发现中了映像劫持病毒到搞定病毒的过程啦。

那是昨天中午的事,一开始我只是想将微软正版验证的文件放进U盘,因为我在实验室的电脑上看到了微软正版验证的提示,就萌发要搞定它的愿望。以前我有搞过我电脑的微软正版验证升级,并且通过了微软的正版验证,话说回来,由于我的大意疏忽没有将U盘格式化或者杀毒就直接双击打开,以前我都会格式化或者杀毒,后悔啊。只看到一打开U盘,Avast就立马弹出来说检测到木马病毒,是一个叫Patty.exe程序。我刚开始一点都不慌张只是有一点懊悔。但是过了几秒我就知道事情大条了,因为Avast虽然检测出病毒并删除,但是删掉的文件又会再生,那一刻我知道Patty.exe不是病毒的指挥中心,而且这是一个很难搞的病毒。Avast不停地弹出来,搞到差不多死机,我迫不得已就强制拔出U盘。但是已经迟了,我的电脑已经感染了。

根据Patty.exe这个线索,我上网查询,找到一些关于这种病毒的解决方法。网上说到这是隐藏文件,所以我打算显示所有的文件,然后删掉。但是文件夹选项不见了,刚找出的线索断了,晕。我一筹莫展,跟老谢说了这个情况。她告诉我一个可以找回文件夹选项的方法——组策略。具体操作是打开开始菜单——运行——gpedit.msc——用户配置——管理模板——WINDOWS组件——WINDOWS资源管理——双击(从“工具菜单删除文件夹选项”)——选择未配置或者已禁用。我按照方法做,但是问题不出在这,因为系统原本就是选择未配置。那只好用其他方法——修改注册表。点击“开始→运行”,输入regedit,进入注册表编辑器。依次展开“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer”分支,在右侧窗口中找到“NoFileMenu”键,将键值修改为“0”,或者删除该键。最后重新启动Windows XP。因为我没有重启,一度以为没有用(后来发现是有用的)。由于中午要赶去做实验,就关机打算晚上回来再搞。

      谁知道晚上回来打开电脑,正常模式进不了,只有一个系统错误提示的框框,晕。我只好从安全模式进去,但是那个速度慢得像蜗牛,我一度以为连安全模式都进不了,暗想着要重装了。还好,洗澡回来一看,安全模式进去了。一进去我第一时间就是打开Avast杀毒,但是却打不开,说什么找不到文件,晕。那就是所有的杀毒软件都不可以用了。我继续上网查询方法。

因为文件夹选项出来了,我就显示了所有的文件。果然发现了patty.exe和autorun.inf的存在,而且每个盘都有。因为不是病毒中心,手动删除又会再生。我打开SREng(下载地址:http://www.kztechs.com/sreng/download.html)看一下有什么可疑的东西(其实也很幸运,因为以前杀毒以防被病毒禁止运行而修改了文件名,所以可以用)。一打开,看到启动项注册表多了几个东西,我一个一个看,有一个文件引起我的注意——c:\windows\system32\twain.dll。我试着删掉再打开软件,它又出现了,果然是它。那时我那个兴奋啊,呵呵呵……其实twain.dll是系统文件,是静态图像应用程序接口相关文件,正常情况是在WINDOWS里,而这个病毒文件是在system32,发现现在很多病毒都是用系统文件来迷惑大众。但是我又烦恼了,发现了又怎样,就这样手动删不了啊,PowerRMV(下载地址:http://ishare.sina.com.cn/cgi-bin/fileid.cgi?fileid=1020456 )又不可以用。

根据网上说的,使用XDelBox(下载地址:http://www.dodudou.com/down/download.php?fname=./01.原创软件/XDelBox1.6.rar)可以删掉病毒文件,打算试试,但是问题是怎样下载呢。因为安全模式里校园网是上不了网,AD就可以,不爽。拿U盘又害怕感染,最后只好用那个带病毒的U盘,反正电脑都中毒了,破罐子破摔啦。老谢帮我放了好几个软件,还特意改过名字。不过PowerRMV尽管修改了名字还是不可以用,郁闷。我怀疑被病毒破坏了,后来才知道是叫做劫持。我就根据网上教的,解压缩XDelBox,然后打开,复制以下要删除文件的路径,在待删除文件列表里点击右键选择从剪贴板导入,重启删除

c:\windows\system32\twain.dll

c:\windows\system32\1sasrv.dll

c:\windows\system32\adsldps.dll

c:\windows\system32\realsched.exe

c:\windows\system32\realsched.pat

c:\windows\system32\userinit.exe,

 c:\windows\system32\soundmans.exe

c:\documents and settings\all users\「开始」菜单\程序\启动\hkcmd.pat

C:\autorun.inf

C:\patty.exe

C:\WINDOWS\SYSTEM32\S0UNDMAN.EXE

做完这一步之后,我发现病毒中心twain.dll删掉了。然后我手动删掉D、E、F、H:的autorun.inf和patty.exe。做完这一切后,我以为万事搞定了。不过开机的时候,有一个现象引起我的注意:会有一个c:\documents and settings\all users\「开始」菜单\程序\启动\hkcmd.pat的窗口弹出来。我怀疑是病毒没有清干净。后来证明我的猜测是正确的。因为那些杀毒软件还不可以用,我以为是破坏了,于是就卸掉重新安装,安装之后360就可以用,但是Avast和PowerMRV还是不可以用,原来还是被劫持着。我就根据网上说要删除的文件,搜索,看是否还有残余,果然C盘里还有不少残余,于是我逐个找出来逐个手动删除。花了不少时间和心思,终于搞定了,打开Avast,可以用了,其他杀毒软件也没有问题,终于大功告成。

经历这次杀毒,我打算将大部分杀毒软件都给修改名字,防止再次中这类病毒时再被劫持。其实防止电脑中毒最重要是平时用电脑的习惯,用移动硬盘或者U盘,一定要先进行格式化或者杀毒,最好设置U盘关闭自动运行,具体做法是:开始——运行——gpedit.msc——本地计算机策略下,展开计算机配置管理模板系统,然后在右窗格的设置标题下,双击关闭自动播放,单击设置选项卡,选中已启用复选钮,然后在关闭自动播放框中单击所有驱动器,单击确定按钮,最后关闭组策略窗口。不要浏览那些不安全的网站,下载的东西使用之前先进行杀毒,如果有良好的用电脑习惯,电脑就会减少感染病毒的机会。

 

  评论这张
 
阅读(233)| 评论(0)
推荐 转载

历史上的今天

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2017