现象:同事的电脑中了病毒,病毒清除后,发现启动到WINDOWS桌面时,图标和任务栏出不来,只有单一的背景桌面,打开“任务管理器”,发现没有explorer进程,但查看windows目录下发现exploere.exe程序存在,开始怀疑该程序被病毒损坏,就从别的机复制一个好的程序过来,但情况依旧,如果双击该程序,提示“windows找不到explorer.exe”。

解决:
  后来发现不少其它安全软件都无法使用,连瑞星卡卡上网助手、icesword等都不行,同样出现找不到该程序的提示。怀疑是病毒禁止这类程序运行,但检查没发现存在病毒,后来想想改个名试试,结果发现把程序改名后可以运行,看来这是通过程序名来禁止程序运行的,但又没发现有病毒程序,难道是注册表?
  由于最近帮同事装过卡卡上网助手,发现里面有些功能不错,能查看到注册表不少重要项,就把卡卡上网助手的程序改名后,执行,果然,在卡卡上网助手程序中的“系统启动项管理->应用程序劫持项”中发现了explorer、ICESWORD、Ras.exe(即卡卡上网助手)等名称的项,原来如此,就去掉这些项的小勾(或删除),之后就发现一切正常了。

  后来才知道这种情况叫“映像劫持”,对应注册表的位置在“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options”。举个例子,如果你在这个项下面有一个子建,为kav.exe,你可以看到该子项的右边有一个值为debugger的,双击它,里面的内容,即是病毒的其中一个子文件,当运行kav.exe时,实际上运行的并不是kav.exe,它被debugger项内指定的病毒文件给劫持了。这就是所谓的“映像劫持”。

Last modification:August 30th, 2019 at 04:33 pm