我们电脑安全的保障——杀毒软件,已经成为杀软首先干掉的对象,而最近流行的AV终结者之类的病毒还利用影像劫持的技术将杀毒软件、安全工具等全部封杀,无法启动,这真是太可怕了。为了挽救杀软,这次你必须自己动手干掉映像劫持!
映像劫持究竟有多么可怕,让我们先看看下面的例子:
★无法运行杀毒软件或防火墙,甚至是一些辅助工具如autoruns,hijackthis等。
www.qikan.com.cnIyaDacINXkHg9ebi
★打开网页有“病毒”或“杀毒”等关键字的,网页会立刻被自动关闭。
www.qikan.com.cnIyaDacINXkHg9ebi
★无法进入安全模式,出现蓝屏或是重启的现象。
www.qikan.com.cnIyaDacINXkHg9ebi
★无法正常显示隐藏文件,即使是勾选了“显示所有文件”,应用后又会被自动改回去。
www.qikan.com.cnIyaDacINXkHg9ebi
……
这些症状,相信很多朋友都遇到过,当时一定是束手无策,它们就是现而今大行其道的“映像劫持”病毒作恶的典型症状。别说我们没有办法,很多杀软都栽在它的手下。杀毒软件根本无法运行,杀毒软件的安装程序也无法运行,就连上网搜索关于“病毒”的网页都会被病毒强行关闭,大部分的人会选择重新安装系统,可刚装好系统后却发现,病毒又回来了。你说这有多烦人……为了唤醒被催眠了的杀软,拯救它们于水火,我们只有靠自己动手,做杀软的救星,今天就将映像劫持病毒彻底消灭。
www.qikan.com.cnIyaDacINXkHg9ebi
(1)
安全模式的主权必须收回
修复注册表内被病毒破坏的进入安全模式的项
安全模式默认加载最少的服务,且不加载自启动项内的项目。这就是病毒为什么破坏进入安全模式所对应的注册表键值的原因。因为在安全模式下病毒文件并没有被加载,除了驱动保护的病毒,我们可以对病毒源文件执行任意的操作,此时的病毒就仿佛变成了一只没牙的老虎。那还等什么呢?跟着我来修复安全模式的注册表项吧。在网上是能搜索到关于修复安全模式的注册表文件的,也可以在http://work.newhua.com/cfan/200714/fixsafemode.rar下载。将该REG文件导入后,已经可以正常进入安全模式了。
www.qikan.com.cnIyaDacINXkHg9ebi
撤掉映像劫持生存的根本
删除注册表内映像劫持的键值
接下来我们进入安全模式后又该怎样呢?首先,要警告大家一点,进入安全模式后,不要双击打开任何一个磁盘,还是要进入注册表,在“开始→运行”里输入“Regedit”回车,找到这一项(见图1):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
这一项便是映像劫持技术应用的地方了。举个例子,如果在这个项下面有一个子键,为kav.exe,你可以看到该子项的右边,有一个值为debugger的,双击它,里面的内容,即是病毒的其中一个子文件,当运行kav.exe时,实际上运行的并不是kav.exe,它被debugger项内指定的病毒文件给劫持了。这就是所谓的“映像劫持”。
www.qikan.com.cnIyaDacINXkHg9ebi
接下来要做的便是手工活了,删除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options下面除“Your Image File Name Here without a path”之外的所有子键,删到你手酸吧?你可以看一看下面的子项名,其实就是被劫持的应用程序名,像Kaspersky、金山、瑞星、江民、360安全卫士等程序都位列其中,甚至连杀毒软件的安装程序都在其列,现在你应该不难理解为什么不仅杀毒软件无法运行。就算你想重新安装杀毒软件也不行了吧?
好,至此,你的杀毒软件和其他被劫持的程序已经可以正常运行了。但病毒并未被清除,它随时可能将注册表修改回去。所以,耐着性子,再跟着我们往下做。
www.qikan.com.cnIyaDacINXkHg9ebi
病毒拉帮结伙 不能漏掉一个
查找守护进程,删除病毒源文件
刚说到的映像劫持,病毒肯定不止一个文件,一般都会用到进程保护,当一个进程被结束的时候,另一个程序会自动调用恢复该进程。我们获得上面所说到的debugger内的内容后,就知道了其中的一个病毒源文件的绝对地址。当然。第一步是先将它删除,接下来就该查看自启动项啦。
www.qikan.com.cnIyaDacINXkHg9ebi
在“开始→运行”里输入“msconfig”回车。在启动那里查找一下。取消病毒的启动项,并记住它的绝对路径,也把它删除。
www.qikan.com.cnIyaDacINXkHg9ebi
此步骤靠经验比较多,除非你认识的程序,如ctfmon.exe等。图2中列出了番茄系统中允许的程序,大家可以参考。也欢迎大家到番茄的博墅http://blog.cfan.com.cn/index.php/139140/action_viewspace_itemid_127057来跟番茄讨论。除此之外,你也可以取消除杀毒软件之外的一切正启动项目而不删除该文件,等安装好杀毒软件并把病毒库升级到最新后,再让杀毒软件来查杀!
彻底清除 决不留情
删除磁盘根目录下的autorun.inf和病毒文件
千万别以为,现在就已经大功告成了,在每个磁盘根目录下,都会有一个名为autorun.inf的配置文件,并且还有病毒的源文件在。如果我们以为大功已告成,重启以后再打开其他的磁盘,你会发现,病毒又回来了。所以,除了做上面的工作,还得清除磁盘根目录下面的病毒文件。在这里我们建议大家使用命令提示符来处理:
在开始—运行里输入cmd回车调出命令提示符。
www.qikan.com.cnIyaDacINXkHg9ebi
比如说:我的D:\下面有着这两个文件,autorun.inf和xxx.exe。autorun.inf里的脚本指定的程序是xxx.exe。那么当你双击该磁盘时,autorun.inf会自动安装,也就会自动运行根目录下的xxx.exe,那么病毒就再次感染了你的电脑,之前所做的一切都白费了,所以这一步骤是一定要的!当然。这两个文件都是有隐藏属性的。在命令提示符下使用dir命令再加个/a参数可以看到所有的文件。如果你进入命令提示符直接使用del autorun.inf的话,会提示找不到文件。所以我们应该先去掉这两个文件的隐藏属性,我们使用外部命令:attrib –s –h –r d:\autorun.inf。这样我们就去掉了autorun.inf的所有属性,便可以使用del d:\autorun.inf来删除该文件了。删除xxx.exe也是一样。只需要把上面命令中的autorun.inf改成xxx.exe就可以了。
www.qikan.com.cnIyaDacINXkHg9ebi
至此,该病毒就已经被清除了。我们接下来要做的就是重新启动,进入正常模式。安装杀毒软件,把病毒库升级到最新,对全盘进行一次彻底的扫描。把病毒彻底赶出你的电脑!
构建防御映像劫持的堡垒
让映像劫持永不能侵犯
上面讲了如何杀掉运用“映像劫持”技术的病毒,但是,只要有机会,它们还会找机会死灰复燃的,我们要做好防备,让它没有可乘之机:
1.切断病毒的传播途径,在开着杀毒软件的情况下,是可以拦截大部分病毒的侵袭的。感染病毒的主要途径有两个,第一是上网下载的程序,第二就是U盘。大家在上网下载程序的时候,千万别忘了先对下载下来的文件进行病毒扫描。关于U盘,最好的办法就是不要双击打开。最好使用资源管理器,在左边的目录树打开。
www.qikan.com.cnIyaDacINXkHg9ebi
(4)
2.通过权限设置,让病毒无法修改你的注册表,拿映像劫持类病毒来说,注册表内的
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options项是病毒想要写入的地方。那么我们就从权限入手,右键该项,选择权限(见图4),在每个用户下面的权限设置里,把“完全控制”的项取消,只给“读取”的权限。这样可以有效地防止病毒利用映像劫持技术。举一反三,如果你觉得自启动项目已经够了的话,那么你也可以对自动启项目对应的注册表项进行权限限制,比如:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
(2)
小技巧:修复不能正常显示隐藏文件的注册表项
病毒总是千方百计地隐藏自己,生怕被人发现,所以病毒绝大部分都给自己加上了系统和隐藏的双重属性,我们知道,在“控制面板”里的“文件夹选项”里的查看项里把“显示所有文件”勾选上,以及取消“隐藏受保护的操作系统文件(推荐)”项后(见图3),我们是可以查看到所有系统以及隐藏的文件的。病毒理所当然地会破坏这个功能了。
www.qikan.com.cnIyaDacINXkHg9ebi
(3)
在“开始→运行”里输入regedit回车。依次打开:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
在右边,我们可以看到一键值为CheckedValue的DWORD值,它的值为“0”,我们双击该键值,把它的值改成“1”,就可以正常实现显示隐藏文件夹的功能了。有些病毒很狡猾,它故意把CheckedValue这个键值的类型改成了字符串值,所以即使你把该值改成“1”,却仍然无法正常显示隐藏文件,我们只要把该值删除,重新建一个名为CheckedValue的DWORD值。并把该值设置为“1”。
www.