风云小站 » 『 求助专区 』 » 大家看看,我该怎么办?谢谢援手
本页主题: 大家看看,我该怎么办?谢谢援手 打印 | 加为IE收藏 | 复制链接 | 收藏主题 | 上一主题 | 下一主题

xfei
应用区临时组精英
级别: 风云精英


精华: 0
发帖: 302
威望: 535 点
风云币: 154207 元
专家分: 0 分
在线时间:61(小时)
注册时间:2007-10-03
最后登录:2008-04-28

 大家看看,我该怎么办?谢谢援手

360安全卫兵通知我被镜像劫持了,我对镜像这快不太明白,请问大家我该怎么办
顶端 Posted: 2008-01-06 21:51 | [楼 主]
世界
级别: 超级会员


精华: 0
发帖: 151
威望: 2068 点
风云币: 2426 元
专家分: 0 分
在线时间:160(小时)
注册时间:2007-12-30
最后登录:2008-03-16

 

中了U盘病毒了,弄个USBCLEANER将系统扫一下就可以了!
顶端 Posted: 2008-01-06 22:38 | 1 楼
纯蓝
潜水N个月。。。
级别: 用户保留


精华: 0
发帖: 4157
威望: 3084 点
风云币: 6673 元
专家分: 0 分
论坛群: 雄霸天下
在线时间:513(小时)
注册时间:2007-12-03
最后登录:2008-04-24

 

一般是浏览器劫持吧。。试下360高级选项卡中的修复LSP试试。。
早睡早起。。。
顶端 Posted: 2008-01-06 22:40 | 2 楼
gaowen1360
禁网,准备工作~~
级别: 荣誉会员


精华: 1
发帖: 9552
威望: 999 点
风云币: 2050 元
专家分: 7 分
论坛群: ☆黄鱼党☆
在线时间:1476(小时)
注册时间:2007-04-01
最后登录:2018-06-04

 

最好是截图上来~~~或者是说清楚~~不然不好解决~~
他日我若为青帝,报与桃花一树开
顶端 Posted: 2008-01-06 22:54 | 3 楼
yuliguo2001
级别: 超级会员


精华: 0
发帖: 169
威望: 1606 点
风云币: 2085 元
专家分: 0 分
在线时间:45(小时)
注册时间:2007-12-31
最后登录:2008-04-21

 

将其他未中毒的机子上注册表一下键值导入:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options



HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
顶端 Posted: 2008-01-06 23:20 | 4 楼
rentong
级别: 资深会员


精华: 0
发帖: 242
威望: 1156 点
风云币: 3801 元
专家分: 0 分
在线时间:107(小时)
注册时间:2007-12-31
最后登录:2016-12-31

 

用360可以直接修复的
顶端 Posted: 2008-01-07 00:31 | 5 楼
lg560852
级别: 超级会员


精华: 0
发帖: 740
威望: 1862 点
风云币: 6625 元
专家分: 0 分
在线时间:92(小时)
注册时间:2007-05-03
最后登录:2008-04-29

 

什么是IFEO?所谓的IFEO就是Image File Execution Options

在是位于注册表的:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

由于这个项主要是用来调试程序用的,对一般用户意义不大。默认是只有管理员和local system有权读写修改

先看看常规病毒等怎么修改注册表吧。。

那些病毒、蠕虫和,木马等仍然使用众所皆知并且过度使用的注册表键值,如下:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

等等。。。。。。。。。。。。。。。

随着网友的安全意识提高和众多安全软件的针对,都可以很容易的对上面的恶意启动项进行很好的处理

于是。。一种新的技术又产生了。。。。

那就是IFEO。。

简单的说就是你运行被劫持的文件不会运行反而运行了指定的文件
顶端 Posted: 2008-01-07 09:43 | 6 楼
provided
级别: 中级会员


精华: 0
发帖: 60
威望: 367 点
风云币: 4723 元
专家分: 0 分
在线时间:27(小时)
注册时间:2006-11-01
最后登录:2008-03-07

 

我还是第一次听说有这个劫持,关注ing
顶端 Posted: 2008-01-07 09:51 | 7 楼
feimeng111
级别: 超级会员


精华: 0
发帖: 953
威望: 1757 点
风云币: 2011 元
专家分: 0 分
论坛群: 卍 打劫军团 卍
在线时间:139(小时)
注册时间:2007-12-25
最后登录:2008-04-16

 

我认为,镜像劫持是指
恶意程序会利用他 自启动
好意程序会利用他方便自身启动  双刃剑吧。
楼主点查看详细信息,就知道他是恶意程序利用的 还是好意程序利用的了
顶端 Posted: 2008-01-07 11:18 | 8 楼
freelive
独自等待,悄悄离开~
级别: 风云精英


精华: 1
发帖: 1003
威望: 554 点
风云币: 154183 元
专家分: 5 分
在线时间:105(小时)
注册时间:2007-12-31
最后登录:2008-04-27

 

先去看看的你的主页,是否被修改!

用360清理一下IE项,一般都是流氓插件而已。

风云墙-荣誉会员

其实一切与我无关~
顶端 Posted: 2008-01-07 13:38 | 9 楼
whh8865903
级别: 中级会员


精华: 0
发帖: 660
威望: 631 点
风云币: 2609 元
专家分: 0 分
在线时间:29(小时)
注册时间:2007-12-31
最后登录:2008-04-16

 

所谓的镜像劫持,就是在注册表的[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\ CurrentVersion\Image File Execution Options]处新建一个以杀毒软件主程序命名的项,例如Rav.exe。然后再创建一个子键“Debugger="C:\\WINDOWS\\system32\\drivers\\ceffen.com”。以后只要用户双击 Rav.exe就会运行OSO的病毒文件ceffen.com,类似文件关联的效果
  主要还是中了autorun.inf 和oobtwtr.exe这种恶意程序,下载一个autorun专杀试一下,应该就可以了
人生若只如初见,何事秋风悲画扇
顶端 Posted: 2008-01-07 13:43 | 10 楼
xfei
应用区临时组精英
级别: 风云精英


精华: 0
发帖: 302
威望: 535 点
风云币: 154207 元
专家分: 0 分
在线时间:61(小时)
注册时间:2007-10-03
最后登录:2008-04-28

 

谢谢各位大佬
问题不明。请教各位,谢谢
昨天我的机子先是出现了镜像劫持(360通知),我用360的高级选项清理了,但是出现了启动时候反复进入不了系统,可以进入coms ,我只好重新做了系统,后来正常,我想请教各位大哥,我白度收索也不明原因,镜像劫持后怎么造成系统崩溃呢?
什么是镜像劫持(autorun.inf 和oobtwtr.exe手动去除法)2007-06-12 10:26镜像劫持


    附:在针对杀毒软件方面,OSO病毒还采用了一种新技术,这种技术被成为镜像劫持,通过这种技术也能够将杀毒软件置于死地。


      所谓的镜像劫持,就是在注册表的[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\ CurrentVersion\Image File Execution Options]处新建一个以杀毒软件主程序命名的项,例如Rav.exe。然后再创建一个子键“Debugger="C:\\WINDOWS\\system32\\drivers\\ceffen.com”。以后只要用户双击 Rav.exe就会运行OSO的病毒文件ceffen.com,类似文件关联的效果。by deyu260  QQ272873373

autorun.inf 和oobtwtr.exe手动去除法:

1.首先下载autoruns;(http://www.greendown.cn/soft/2151.html)

2.然后打开运行 镜像劫持;

3.接下来单击开始|运行|输入cmd,回车|x:回车(x是你的盘符)

4.输入attrib autorun.inf -s -h -r

          attrib oobtwtr.exe -s -h -r (去隐藏属性);

5.输入del autorun.inf

    del oobtwtr.exe(删除
顶端 Posted: 2008-01-07 15:22 | 11 楼
xfei
应用区临时组精英
级别: 风云精英


精华: 0
发帖: 302
威望: 535 点
风云币: 154207 元
专家分: 0 分
在线时间:61(小时)
注册时间:2007-10-03
最后登录:2008-04-28

 

我下的各大论坛的优化工具也用了,其中就有autorun.inf的专杀,怎么没有效果呀
顶端 Posted: 2008-01-07 15:24 | 12 楼
xfei
应用区临时组精英
级别: 风云精英


精华: 0
发帖: 302
威望: 535 点
风云币: 154207 元
专家分: 0 分
在线时间:61(小时)
注册时间:2007-10-03
最后登录:2008-04-28

 

我想是否我的主引导区被更改了 XP修复控制台修复一下就好了
顶端 Posted: 2008-01-07 15:46 | 13 楼
闪光的石头
级别: 初级会员


精华: 0
发帖: 27
威望: 167 点
风云币: 2203 元
专家分: 0 分
在线时间:5(小时)
注册时间:2007-01-13
最后登录:2008-02-18

 

systemsafe扫一下
顶端 Posted: 2008-01-07 15:49 | 14 楼
lengyan21
红包专业户
级别: 资深会员


精华: 0
发帖: 145
威望: 1086 点
风云币: 2469 元
专家分: 0 分
在线时间:131(小时)
注册时间:2007-12-31
最后登录:2008-04-30

 

管理提醒: (cloud)
请不无关回复(2008-01-07 23:16)
第一次听说镜像劫持!
魑魅魍魉
顶端 Posted: 2008-01-07 16:28 | 15 楼
rongzhijie7
一直是新手
助人为乐奖
级别: 风云精英


精华: 0
发帖: 4800
威望: 2557 点
风云币: 154009 元
专家分: 0 分
在线时间:313(小时)
注册时间:2006-08-20
最后登录:2008-04-29

 

360安全卫士还是卫兵???


欢迎光临我的BLOG[真NB·中国]——http://realnb.cn
顶端 Posted: 2008-01-08 14:09 | 16 楼
松鼠
潜水修炼中。。。
级别: 超级会员


精华: 0
发帖: 638
威望: 1596 点
风云币: 2069 元
专家分: 0 分
在线时间:140(小时)
注册时间:2007-11-28
最后登录:2008-04-29

 

镜像劫持又叫映像劫持具体做法是这样:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\文件名1.EXE] >>kill.reg
echo "Debugger"="文件名2.EXE" >>kill.reg

在注册表中加入上面的项目以后,系统在启动文件名1.exe的时候就会调用文件名2.exe来调试1,结果2不是调试程序,所以就启动了2,而不是启动1。
如果1和2是同一个文件,启动时造成死循环,而进不了系统。
顶端 Posted: 2008-01-08 21:24 | 17 楼
xfei
应用区临时组精英
级别: 风云精英


精华: 0
发帖: 302
威望: 535 点
风云币: 154207 元
专家分: 0 分
在线时间:61(小时)
注册时间:2007-10-03
最后登录:2008-04-28

 

谢谢大家的援手,我很爱在风云墙
顶端 Posted: 2008-01-10 16:35 | 18 楼
帖子浏览记录 版块浏览记录
风云小站 » 『 求助专区 』
感谢,曾经的版主
Total 0.010857(s) query 6, Time now is:12-26 00:20, Gzip enabled 渝ICP备20004412号-1

Powered by PHPWind v6.3.2 Certificate Code © 2003-07 PHPWind.com Corporation
Skin by Chen Bo