你好,在Windows系统的注册表中,你会找到一个项HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options,这个项其实也是系统启动过程中起着重要作用的启动项,系统默认情况下对该项的权限设置并不严格,只要是管理员组用户,就拥有完全控制的权限。而正是这一特点,也让病毒木马看到了进行镜像劫持的机会。它们通过改写该注册表项,在其下添加与各杀毒软件或安全软件进程名称相关的子项,然后在相关的子项右面窗口中你会发现一个Debugger键值,并且其键值数据指向了病毒文件的路径,这其实就是你看到的镜像劫持,若你所安装的杀毒软件进程名称恰恰与被病毒木马创建过相关子键名称相同,那么你的杀毒软件就无法运行了,但是进程名称若没在木马病毒的名单中,那么这个杀毒软件就可以继续使用并发挥应有的作用。
万一遭遇这种病毒,你可以先试试腾讯电脑管家,如果可以运行,在“杀毒”选项中点击全盘查杀,这时电脑管家将对包括注册表镜像劫持位置在内的所有系统关键位置,以及硬盘中所有文件进行检测,它毕竟拥有4+1核心杀毒引擎,且使用了CPU虚拟执行技术,能够发现病毒木马并对木马病毒予以根除。万一连电脑管家也无法运行了,你可以在http://dlied6.qq.com/invc/xfspeed/tools/RootkitRemover.exe下载专杀工具来试试,它能够处理包括电脑管家在内的所有杀毒软件无法运行,即遭遇映像劫持的情况。
如果你还有其它电脑问题,欢迎你在电脑管家企业平台提出,我们将尽力为你解答。
内容全部来源于网络收集,如有侵权,请联系网站删除:QQ:24596024