映像劫持空间有多么可怕,让我们先看看下面的例子:
☆无法运行杀毒软件或防火墙,甚至是一些辅助工具如autoruns、hijackthis等。
☆打开网页有“病毒”或“杀毒”等关键字的,网页会立刻被自动关闭。
☆无法进入安全模式,出现蓝屏或是重启的现象。
☆无法正常显示隐藏文件,即使是勾选了“显示所有文件”,应用后又被自动改回去。
……
这些症状,相信很多朋友都遇到过,当时一定是束手无策,它们就是现而今大行其道的“映像劫持”病毒作恶的典型症状。别我们没有办法,很多杀毒软件都栽在它的手下。杀毒软件根本无法运行,就连上网搜索关于“病毒”的网页都会被病毒强行关闭,大部分的人会选择重新安装系统,可刚装好系统后却发现,病毒又回来了。你说这有多烦人……为了唤醒被催眠的杀软,拯救它们于水火,我们只有靠自己动手,做杀软的救星,今天就将映像劫持病毒彻底消灭。
安全模式的主权必须收回——修复注册表内被病毒破坏的进入安全模式项
安全模式默认加载最少的服务,且不加载自启动项内的项目。这就是病毒为什么破坏进入安全模式所对应的注册表键值的原因。因为在安全模式下病毒文件并没有被加载,除了驱动保护的病毒,我们可以对病毒源文件执行任意的操作,此时的病毒就仿佛变成了一只没牙的老虎。那还等什么?跟着我来修复安全模式的注册表项吧。在网上是能搜索到关于修复安全模式的注册表文件的,也可能在http://work.newhua.com/cfan/200714/fixsafemode.rar下载。将该REG文件导入后,已经可以正常进入安全模式了。
撤掉映像劫持的生存根本——删除注册表内映像劫持的键值
接下来我们进入安全模式后又该怎样呢?首先,要警告大家一点,进入安全模式后,不要双击打开任何一个磁盘,还是要进入注册表,在“开始-运行”里输入“Regedit.exe”回车,找到这一项:HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWSNT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS。
这一项便是映像劫持技术应用的地方了。举个例子,如果在这个项下面有一个子键,为kav.exe,你可以看到该子项的右边,有一个值为debugger的,双击它,里面的内容,即是病毒的其中一个子文件,当运行kav.exe时,实际上运行的并不是kav.exe,它被debugger项内指定的病毒文件给劫持了。这就是所谓的“映像劫持”。
接下来要做的便是手工活了,删除HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWSNT\CURRENTVERSION\IMAGE FILE EXECUTION OPTION下面除“your image file name here wwithout a path”之外的所有子键,删到你手酸吧?你可以看一看下面的子项名,其实就是被劫持的应用程序名,像Kaspersky、金山、瑞星、江民、360安全卫士等程序都位列其中,甚至连杀毒软件的安装程序都在其列,现在你应该不难理解为什么不仅杀毒软件无法运载。就算你想重新安装杀毒软件也不行了吧?
好,至此,你的杀毒软件和其他被劫持的程序已经可以正常运行了。但病毒并未被清除,它随时可能将注册表修改回去。所以,耐着性子,再跟着我们往下做。
病毒拉帮结伙不能漏掉一个——查找守护进程,删除病毒文件
刚说到的映像劫持,病毒肯定不止一个文件,一般都会用到进程保护,当一个进程被结束的时候,另一个程序会自动调用恢复该进程。我们获得上面所说到的debugger内的内容后,就知道了其中的一个病毒源文件的绝对地址。当然,这一步是先将它删除,接下来就该查看自启动项啦。
在“开始-运行”里输入“msconfig.exe”回车。在启动那里查找一下。取消病毒的启动项,并记住它的绝对路径,也把它删除。
此步骤靠经验比较多,除非你认识的程序,如ctfmon.exe等。除此之外,你也可以取消除杀毒软件之外的一切正常启动项目而不删除该文件,等安装好杀毒软件并把病毒库升级到最新后,再让杀毒软件来查杀。
彻底清除 决不留情——删除磁盘根目录下的autorun.inf和病毒文件
千万别以为,现在就已经大功告成了,在每个磁盘根目录下,都会有一个名为autorun.inf的配置文件,并且还有病毒的源文件在。如果我们以为大功已告成,重启以后再打开其他的磁盘,你会发现,病毒又回来了。所以,除了做上面的工作,还得清除磁盘根目录下面的病毒文件。在这里我们建议大家使用命令提示符来处理。
在开始-运行里输入cmd回车调出命令提示符。
比如说:我的D:/下面有着这两个文件,autorun.inf和xxx.exe。autorun.inf里的脚本指定的程序是xxx.exe。那么当你双击该磁盘时,autorun.inf会自动安装,也就会自动运行根目录下的xxx.exe,那么病毒就再次感染了你的电脑,之前所做的一切都白费了,所以这一步骤是一定要的!当然,这两个文件都是有隐藏属性的。在命令提示符下使用dir命令再加个/a参数可以看到所有的文件。如果你进入命令提示符直接使用dir autorun.inf的和衣而卧,会提示找不到文件。所以我们应该先去掉这两个文件的隐藏属性,我们使用外部命令:attrib -s -h -r d:\autorun.inf。这样我们就去掉了autorun.inf的所有属性,便可以使用del d:\auotrun.inf来删除该文件了。删除xxx.exe也是一样。只需要把上面命令中的autorun.inf改成xxx.exe就可以了。
至此,该病毒就已经被清除了。我们接下来要做的就是重新启动,进入正常模式。安装杀毒软件,把病毒库升级到最新,对全盘进行一次彻底的扫描。把病毒彻底赶出你的电脑!
构建防御映像劫持的堡垒——让映像劫持永不侵犯
上面讲了如何杀掉运用“映像劫持”技术的病毒,但是,只要有机会,它们还会找机会死灰复燃的,我们要做好防备,让它没有可乘之机:
1、切断病毒的传播途径,在开着杀毒软件的情况下,是可以拦截大部分病毒的侵袭的。感染病毒的主要途径有两个,第一是上网下载的程序,第二就是U盘。大家在上网下载程序的时候,千万别忘了先对下载焉的文件进行病毒扫描。关于U盘,最好的办法就是不要双击打开。最好使用资源管理器,在左边的目录树打开。
2、通过权限设置,让病毒无法修改你的注册表,拿映像劫持类病毒来说,注册内的HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWSNT\CURRENTVERSION\IMAGE FILE EXECUTION OPTION项是病毒想要写入的地方。那么我们就从权限入手,右键该项,选择权限,在每个用户下面的权限设置里,把“完全控制”的项取消,只给“读取”的权限。这样可以有效地防止病毒利用映像劫持技术。举一反三,如果你觉得自启动项已经够了的话,那么你也可以对自启动项对应的注册表项进行权限限制,比如:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
