救杀毒软件于水火

来源 :电脑爱好者 | 被引量 : 0次 | 上传用户:feileizuhe
下载到本地 , 更方便阅读
声明 : 本文档内容版权归属内容提供方 , 如果您对本文有版权争议 , 可与客服联系进行内容授权或下架
论文部分内容阅读
  我们电脑安全的保障——杀毒软件,已经成为杀软首先干掉的对象,而最近流行的AV终结者之类的病毒还利用影像劫持的技术将杀毒软件、安全工具等全部封杀,无法启动,这真是太可怕了。为了挽救杀软,这次你必须自己动手干掉映像劫持!
  
  映像劫持究竟有多么可怕,让我们先看看下面的例子:
  ★无法运行杀毒软件或防火墙,甚至是一些辅助工具如autoruns,hijackthis等。
  ★打开网页有“病毒”或“杀毒”等关键字的,网页会立刻被自动关闭。
  ★无法进入安全模式,出现蓝屏或是重启的现象。
  ★无法正常显示隐藏文件,即使是勾选了“显示所有文件”,应用后又会被自动改回去。
  ……
  这些症状,相信很多朋友都遇到过,当时一定是束手无策,它们就是现而今大行其道的“映像劫持”病毒作恶的典型症状。别说我们没有办法,很多杀软都栽在它的手下。杀毒软件根本无法运行,杀毒软件的安装程序也无法运行,就连上网搜索关于“病毒”的网页都会被病毒强行关闭,大部分的人会选择重新安装系统,可刚装好系统后却发现,病毒又回来了。你说这有多烦人……为了唤醒被催眠了的杀软,拯救它们于水火,我们只有靠自己动手,做杀软的救星,今天就将映像劫持病毒彻底消灭。
  


  (1)
  安全模式的主权必须收回
  
  修复注册表内被病毒破坏的进入安全模式的项
  安全模式默认加载最少的服务,且不加载自启动项内的项目。这就是病毒为什么破坏进入安全模式所对应的注册表键值的原因。因为在安全模式下病毒文件并没有被加载,除了驱动保护的病毒,我们可以对病毒源文件执行任意的操作,此时的病毒就仿佛变成了一只没牙的老虎。那还等什么呢?跟着我来修复安全模式的注册表项吧。在网上是能搜索到关于修复安全模式的注册表文件的,也可以在http://work.newhua.com/cfan/200714/fixsafemode.rar下载。将该REG文件导入后,已经可以正常进入安全模式了。
  
  撤掉映像劫持生存的根本
  
  删除注册表内映像劫持的键值
  接下来我们进入安全模式后又该怎样呢?首先,要警告大家一点,进入安全模式后,不要双击打开任何一个磁盘,还是要进入注册表,在“开始→运行”里输入“Regedit”回车,找到这一项(见图1):
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
  这一项便是映像劫持技术应用的地方了。举个例子,如果在这个项下面有一个子键,为kav.exe,你可以看到该子项的右边,有一个值为debugger的,双击它,里面的内容,即是病毒的其中一个子文件,当运行kav.exe时,实际上运行的并不是kav.exe,它被debugger项内指定的病毒文件给劫持了。这就是所谓的“映像劫持”。
  接下来要做的便是手工活了,删除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options下面除“Your Image File Name Here without a path”之外的所有子键,删到你手酸吧?你可以看一看下面的子项名,其实就是被劫持的应用程序名,像Kaspersky、金山、瑞星、江民、360安全卫士等程序都位列其中,甚至连杀毒软件的安装程序都在其列,现在你应该不难理解为什么不仅杀毒软件无法运行。就算你想重新安装杀毒软件也不行了吧?
  好,至此,你的杀毒软件和其他被劫持的程序已经可以正常运行了。但病毒并未被清除,它随时可能将注册表修改回去。所以,耐着性子,再跟着我们往下做。
  
  病毒拉帮结伙 不能漏掉一个
  
  查找守护进程,删除病毒源文件
  刚说到的映像劫持,病毒肯定不止一个文件,一般都会用到进程保护,当一个进程被结束的时候,另一个程序会自动调用恢复该进程。我们获得上面所说到的debugger内的内容后,就知道了其中的一个病毒源文件的绝对地址。当然。第一步是先将它删除,接下来就该查看自启动项啦。
  在“开始→运行”里输入“msconfig”回车。在启动那里查找一下。取消病毒的启动项,并记住它的绝对路径,也把它删除。
  此步骤靠经验比较多,除非你认识的程序,如ctfmon.exe等。图2中列出了番茄系统中允许的程序,大家可以参考。也欢迎大家到番茄的博墅http://blog.cfan.com.cn/index.php/139140/action_viewspace_itemid_127057来跟番茄讨论。除此之外,你也可以取消除杀毒软件之外的一切正启动项目而不删除该文件,等安装好杀毒软件并把病毒库升级到最新后,再让杀毒软件来查杀!
  
  彻底清除 决不留情
  
  删除磁盘根目录下的autorun.inf和病毒文件
  千万别以为,现在就已经大功告成了,在每个磁盘根目录下,都会有一个名为autorun.inf的配置文件,并且还有病毒的源文件在。如果我们以为大功已告成,重启以后再打开其他的磁盘,你会发现,病毒又回来了。所以,除了做上面的工作,还得清除磁盘根目录下面的病毒文件。在这里我们建议大家使用命令提示符来处理:
  在开始—运行里输入cmd回车调出命令提示符。
  比如说:我的D:\下面有着这两个文件,autorun.inf和xxx.exe。autorun.inf里的脚本指定的程序是xxx.exe。那么当你双击该磁盘时,autorun.inf会自动安装,也就会自动运行根目录下的xxx.exe,那么病毒就再次感染了你的电脑,之前所做的一切都白费了,所以这一步骤是一定要的!当然。这两个文件都是有隐藏属性的。在命令提示符下使用dir命令再加个/a参数可以看到所有的文件。如果你进入命令提示符直接使用del autorun.inf的话,会提示找不到文件。所以我们应该先去掉这两个文件的隐藏属性,我们使用外部命令:attrib –s –h –r d:\autorun.inf。这样我们就去掉了autorun.inf的所有属性,便可以使用del d:\autorun.inf来删除该文件了。删除xxx.exe也是一样。只需要把上面命令中的autorun.inf改成xxx.exe就可以了。
  
  至此,该病毒就已经被清除了。我们接下来要做的就是重新启动,进入正常模式。安装杀毒软件,把病毒库升级到最新,对全盘进行一次彻底的扫描。把病毒彻底赶出你的电脑!
  
  
  构建防御映像劫持的堡垒
  
  让映像劫持永不能侵犯
  上面讲了如何杀掉运用“映像劫持”技术的病毒,但是,只要有机会,它们还会找机会死灰复燃的,我们要做好防备,让它没有可乘之机:
  1.切断病毒的传播途径,在开着杀毒软件的情况下,是可以拦截大部分病毒的侵袭的。感染病毒的主要途径有两个,第一是上网下载的程序,第二就是U盘。大家在上网下载程序的时候,千万别忘了先对下载下来的文件进行病毒扫描。关于U盘,最好的办法就是不要双击打开。最好使用资源管理器,在左边的目录树打开。
  


  (4)
  2.通过权限设置,让病毒无法修改你的注册表,拿映像劫持类病毒来说,注册表内的
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options项是病毒想要写入的地方。那么我们就从权限入手,右键该项,选择权限(见图4),在每个用户下面的权限设置里,把“完全控制”的项取消,只给“读取”的权限。这样可以有效地防止病毒利用映像劫持技术。举一反三,如果你觉得自启动项目已经够了的话,那么你也可以对自动启项目对应的注册表项进行权限限制,比如:
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  


  (2)
  小技巧:修复不能正常显示隐藏文件的注册表项
  病毒总是千方百计地隐藏自己,生怕被人发现,所以病毒绝大部分都给自己加上了系统和隐藏的双重属性,我们知道,在“控制面板”里的“文件夹选项”里的查看项里把“显示所有文件”勾选上,以及取消“隐藏受保护的操作系统文件(推荐)”项后(见图3),我们是可以查看到所有系统以及隐藏的文件的。病毒理所当然地会破坏这个功能了。
  


  (3)
  在“开始→运行”里输入regedit回车。依次打开:
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
  在右边,我们可以看到一键值为CheckedValue的DWORD值,它的值为“0”,我们双击该键值,把它的值改成“1”,就可以正常实现显示隐藏文件夹的功能了。有些病毒很狡猾,它故意把CheckedValue这个键值的类型改成了字符串值,所以即使你把该值改成“1”,却仍然无法正常显示隐藏文件,我们只要把该值删除,重新建一个名为CheckedValue的DWORD值。并把该值设置为“1”。
其他文献
一、取生大黄15克、甘草30克、香油250克。先将大黄、甘草切碎后放人香油中,以文火煎熬,等炸至药成焦黄色,过滤去渣备用。用时取适量外搽皲裂处,每天3次,连用10天。  二、取白及30克、生地30克、香油120克、黄蜡120克。先将香油放人锅中加热,再把白及、生地加入油内炸枯,去渣后,放人黄蜡即成膏状。治疗前先用温水泡洗患处,擦干后,将药膏涂于患处,每天2次,连用10次。
期刊
随着迅驰4代产品的大量上市,很多人突然发现,这其中不乏大批的13英寸规格笔记本产品。虽然几年前就有此种规格产品上市,但从未像今天这样呈现井喷之势。面对12、14、13英寸本本,你考虑好究竟该买哪种了吗?    非主流究竟占多大比重?    笔记本最常见的规格多是12、14、15英寸,而且经过近两年的发展,大多已经是从4:3转向了16:9的规格。而13英寸本本所占的比重要小很多,根据IDC的数据调研
期刊
我小孩鼻出血12年,到医院冷冻、用纱布填都无疗效。后用一位老人提供的偏方:取白石榴花200朵,炖猪蹄膀。待蹄膀烂熟后食肉喝汤,连吃两只。我小孩食用此方后,11年来鼻子从未流过一次血。
期刊
腹痛的原因很多,比如胃脘部(上腹部)不适,疼痛,餐后饱胀,甚至嗳气、反酸、恶心、呕吐等症状。由于压抑、肝郁不舒、七情郁结、肝火旺易愤怒,或长期劳累处于过度的紧张状态,大量的饮酒导致了消化系统疾病的发生。  临床上常见上腹痛,除了胃炎、胃窦炎、胃肠神经官能症、胃及十二指肠溃疡、胃的良性或恶性肿瘤、胃黏膜脱垂症、急性胃扩张、幽门梗阻外某些邻近的脏器疾病也可引起,如胆囊炎、胆石症、慢性肝炎、肝硬化、食道
期刊
桑螵蛸50克、蛤蟆草50克、白果仁25克,共研为末。每天取25克,沏水代茶饮。一般5-15天即愈。
期刊
一位63岁男性患者15年前无名原因时发胸闷、心慌、气短,曾诊断为“房颤”,服西药“他巴唑”等好转。近年来房颤频发,发作时需静注“西地兰”等方能缓解。最近几个月服任何西药均不能缓解,每日出现2—3次房颤,每次持续0.5-2小时,最重一次持续12小时。诊其患者胸闷,心悸气短,动则气嗝,面色痿黄,时叹息,口干舌淡略青,苔白,脉弦细数,症属心脾气虚,肝气郁滞。治宜补益心脾,疏肝解郁,宁心安神。方用:香附1
期刊
黄芪、金钱草各30-60克,炒白术、白花蛇舌草、郁金各15-30克,黄连、白豆蔻、鸡内金、仙灵脾、柴胡各5-10克,水煎服,每日1剂。
期刊
在信息时代,无论是在生活、学习还是工作中,大量的信息都像空气一样无所不在,谁掌握的信息多,谁就能掌握先机。你可能不知道,正是一项名为“数据库”的技术推动了信息时代的到来。    数据库无所不在    你可曾想过这些问题:互联网上的新闻、图片、音乐和视频保存在哪儿?使用Google和百度为什么能快速找到需要的信息?为什么能用QQ在不同的电脑上聊天,而其中的个人资料又能自动同步?网络游戏中的游戏币和装
期刊
一、以熊胆油调后涂患处,有良效。  二、白矾、绿矾、朴硝各50克,信、乳香、没药各2.5克,麝香少许,为末,同铜(或铁)锅,先以信置锅底,白矾覆之,余下绿矾,加朴硝,待其成水,投乳香、没药末搅拌,晒干如石,取置地上出火毒一宿,为末,放人麝香加片脑少许,以唾液调涂疮之边缘,每日3次,痔 自 焦落。  三、用4-5条蚯蚓,拌入8克黑砂糖,用芝麻油拌为糊状涂于患处。  四、取木鳖子5枚去皮,研如泥,
期刊
选择有利时间服用中药,以顺应人体生物节律的变化,可以充分调动人体有利因素和积极的抗病能力,增强药效,减少药物的副作用,从而获得最佳的治疗效果。那么。何时服药疗效最佳呢?    一、根据患病部位选择:    1.病在胸膈以上者,先进食而后服药。如肺系、头面部疾患,饭后服药有利于药物上浮而接近病灶。  2.病在心腹部位以下者,先服药而后进食。如脾胃、肛肠等处疾患。饭前服药有利于药物下沉而接近病灶。  
期刊