VanFraud病毒预防操作方法

1、下载\"专杀工具\"，安装后，点击\"开始扫描\"。

PC版

       火绒恶性木马专杀工具类型：杀毒软件

查看详情立即下载2、下载“火绒安全软件”，在【病毒查杀】功能版块点击“快速查杀”。

Android版PC版

      火绒盾类型：系统工具

查看详情立即下载火绒近期发现，数字签名为“Huai\'an Qianfeng Network Technology Co.,
Ltd.”的高速下载器携带恶意代码。通常，下载站的高速下载器不论最终安装何种软件，下载器程序都是完全相同的(下载器会根据自身文件名中“@”符号后面的软件编号向服务器请求下载相应的软件)。因此，一旦携带恶意代码的高速下载器上线，该下载站所有通过高速下载器安装的软件都会受到恶意代码的影响。通过火绒终端威胁情报系统，我们发现，带有恶意代码的下载器曾经在2018年1月16日至1月25日和1月30日至2月2日两个时间范围内进行过传播。经过筛查，我们发现可以下载到带有该签名高速下载器的站点众多，但当前公网可以下载到的该签名下载器暂不包含恶意代码。不排除之前两个时间段的测试是为了进行“试水”的可能性，将来可能会全面放开。可以下载到上述签名的下载站，如下图所示：

经过测试，我们发现下载站服务器对User-Agent中的当前系统版本进行了限制，只有在Windows
8及以下系统才会下载到带有上述签名的高速下载器。在测试过程中我们发现，病毒下载的恶意驱动会造成32位Win7系统蓝屏，所以我们推测，只有低版本Windows系统才可以下载该版本下载器的原因，可能是因为病毒代码对高版本系统支持的不够好。如下图所示：

下载器运行界面，如下图所示：

携带恶意代码的高速下载器与其他下载器带有相同的有效数据签名。在下载器执行后会创建恶意代码线程，从远端C&C服务器下载病毒程序到本地进行执行。文件信息对比，如下图所示：

携带恶意代码的下载器签名验证信息，如下图所示：

两个版本下载器代码逻辑除恶意代码部分外，其他逻辑代码完全相同。如下图所示：

通过下图我们可以看出，两个版本下载器的下载器部分代码逻辑相同，且字符串解密部分逻辑与病毒代码所使用的字符串解密逻辑完全相同。据此我们可以推测，高速下载器中的恶意代码与该下载器制作厂商存在直接关系。如下图所示：

以上就是关于的VanFraud病毒预防操作方法，是不是很棒啊，希望对你有所帮助哦。

具体方法：

1 、开始》设置》Windows Defender （找不到Windows Defender的话，就在搜索栏中进行搜索）。

2 、Windows Defender》打开Windows Defender 安全中心》切换到“病毒和威胁防护”》“病毒和威胁防护”设置。

3 、往下拉，找到排除项，添加或删除排除项。

4 、添加排除项，可按以下4种方式指定：文件，文件夹，文件类型，进程。

最后，将激活工具所在文件夹添加到排除项里面，并重新下载激活工具，就OK了。

对比如下：

那到底金山毒霸和360杀毒哪个好呢。

1、三维互联网防御体系 响应更快 查杀更彻底 所谓三维互联网防御体系即在传统病毒库、主动防御的基础上，引用了全新的“互联网可信认证”技术，搭建起了一个以病毒库为根基，以主动防御为先锋，以互联网可信认证为核心的立体化互联网木马病毒防御体系。在这个安全防御体系中，每一部分都不是独立的，而是相互依存的互补关系或者说“接力”关系。

2、一对一全面安全诊断 为电脑定期做体检 金山毒霸2008集成了金山系统清理专家，通过金山清理专家组件中，可给系统进行健康指数的“打分”。这个独特的功能版块可以为用户系统进行包括是否存在恶意软件、系统漏洞、病毒、可疑文件、未知文件、启动项过多、BHO等以及是否存在系统盘空间异常紧张和杀毒软件安装状态异常等可能影响系统安全因素的全面检测，从而实现真正意义上的“一对一安全诊断”。

3、抢杀技术 彻底查杀顽固病毒 专门针对那些随系统启动而自动加载的顽固病毒而开发，金山毒霸2008的“抢杀技术”即在用户电脑感染病毒后，金山毒霸2008检测到病毒，但常规方法清除失败，此时会触发抢杀引擎，要求系统重启。在重启的过程中，直接将这个已经被检测到的顽固病毒清除掉。对用户来说，只是系统重启了一次。重启的过程也和平常电脑开机完全一致，用户感觉不到任何异常。金山毒霸2008的抢杀技术首先是有明确的靶标文件，而一般采用开机扫描的杀毒软件没有靶标，会明显延长了用户的开机时间。该技术的内部代号为bootclean，意思是重启清除。大家知道毒霸2005时就率先推出了抢先加载，是由实时监控程序抢在系统完全启动之前加载，如果发现病毒企图加载，就将病毒清除。在此后较长的一段时间里，用户减少了重启到安全模式杀毒的机会。但魔与道的斗争总是此消彼涨，现在有很多顽固的病毒，即使重启到安全模式，病毒还是会加载。而这种情况下，采用bootscan技术的杀毒软件也是无忌于事。（注：Bootscan技术，是在开机时，用户选择是否进行病毒扫描，扫描完毕再加载资源管理器，其加载速度并不比通常的病毒快）顽固病毒清除技术（Bootclean）是指在杀毒软件检测到病毒时，发现不能在普通模式下安全清除掉（这种情况现在相当多见）。此时，将调用特殊的驱动程序，在下次重启电脑的过程中，直接将目标病毒文件清除掉。对用户来说，只是需要重启一次电脑就可以。

4、网页防挂马金山网镖2008页面 用户在上网浏览网页时，金山毒霸2008的网页实时监控功能可以有效监控网页中可能隐含的恶意脚本、病毒或其它有害插件，并且会自动将其全部进行拦截在您浏览网页的时候，网页防挂马将监控网页行为并阻止通过网页漏洞下载的木马程序威胁您的系统安全。

5、全面兼容Windows Vista 金山毒霸2008针对Vista系统进行了紧密兼容和全面优化，在Vista系统下，金山毒霸2008的查毒速度有很大提高，实时监控以及防火墙的运行也更加稳定，同时减少了对CPU和内存等系统资源的占用，为广大Vista用户提供更好的安全保护和使用体验

6、主动实时升级 解决了防毒最关键的“及时性”问题。主动实时升级每天自动帮助用户及时更新病毒库，让您的计算机能防范最新的病毒和木马等威胁。一旦重大病毒爆发，确保用户及时获得最新的病毒特征库，第一时间保障用户计算机的安全。金山毒霸和360哪个好。

7、主动漏洞修补 确保用户的操作系统随时保持最安全状态，避免利用该漏洞的病毒侵入系统。该功能可扫描操作系统及各种应用软件的漏洞，根据微软等每月发布的补丁，第一时间提供最新漏洞库，通过自动升级后自动帮助用户打上新发布的补丁

8、黑客防火墙 黑客防火墙即金山网镖，作为个人网络防火墙，根据个人上网的不同需要，设定安全级别，有效的提供网络流量监控、网络状态监控、IP规则编辑、应用程序访问网络权限控制，黑客、木马攻击拦截和监测等功能。系统中一旦有木马、黑客或间谍程序访问网络，会及时拦截该程序对外的通信访问，然后对内存中的进程进行自动查杀，保护用户网络通信的安全。金山毒霸和360哪个好这对防御盗取用户信息的木马、黑客程序特别有效。

9、集成金山清理专家金山清理专家2.1 金山毒霸2008杀毒套装集成金山清理专家，具备金山清理专家所有功能，金山毒霸与金山清理专家联合对系统进行诊断，给用户更为准确的系统健康指数，作为您系统是否安全的权威参考。集成的金山清理专家还为您提供方便实用的自动运行管理、文件粉碎器、历史文件清理、垃圾文件清理和LSP修复等多款小工具。

10、恶意行为智能拦截技术 现在“主动防御”成为杀毒软件特别时髦的一个技术名词，采用这类技术后好的方面是对一些新的威胁可以进行报警，另一方面的问题是，这些报警会令普通用户困惑。比如“×××程序企图注入rundll32.exe的空间运行，请选择：1允许，2禁止”。 而对于金山毒霸2008来说，就没有这种困惑。金山毒霸和360哪个好呢。当运行一个可能有危险的程序（通常又称为宿主程序），该程序运行后有危险动作，比如释放出病毒、插入正常程序的空间、修改关键的系统配置信息等等。恶意行为智能拦截技术可以及时发现威胁，并结合联机安全评估系统和系统增强安全计划，反查有恶意行为的危险程序，将这些根据病毒特征库，尚不能判定为病毒的危险程序直接清除或隔离。

如果只是平时上网和QQ之类的话，在国产杀软中金山毒霸2011，可以说是不错的，金山毒霸+金山卫士，互联网安全组合，可以保护你的电脑。。。但是360杀毒，功能还可以，就是我个人认为，他的软件性能不怎么样，安装了，问题多的很。。当然这也需要你自己决定，杀软没有十全十美的，只是起到一定的防御作用而已，谢谢。

金山毒霸和360哪个好就给大家详细介绍到这里了。还不知道哪个好的，可以参考一下上述的内容啊！上述都有进行一系列的对比的，这纯粹是看个人爱好的。因为每一款杀毒软件都有它的优缺点，只是你怎么去看待它而已！

方法如下：

1、CTRL+DEL+ALT，打开任务管理器，点击“进程”选项卡，你会发现你的电脑里有很多的Service .exe程序，到底电脑有没有中毒？我们怎么判断呢？

2、右击某一Svchost.exe程序在弹出的菜单中选择“属性”。

3、在“属性”窗口，你可以看到其位置：C：WindowsSystem32如果不在这个文件夹里，很可能电脑中毒了。

4、点击“详细信息”选项卡，你会清楚的看到文本版本、产品名称等相关信息，如果这一部分信息什么都没有的话，你也要当心哦。

5、有的Service .exe*32进程你会发现在C：WindowsSysWOW64，其实SysWow64文件夹，是64位Windows，用来存放32位Windows系统文件的地方。大家也可以放心。

6、大家还可以在“运行”对话框中（快捷键Win+R）中输入CMD。在其窗口中输入“tasklist/svc”指令，回车后，你会看到如图列表，如果在Service .exe进行显示“暂缺”，那中毒的可能性也很大。

7、怎么样快速查看所有Service .exe进程的所在的路径呢？大家还可以在“运行”对话框中（快捷键Win+R）中输入wmic。在窗口中输入“process”就可以快速查看所有Service .exe进程的路径，不仅如此，还可以看出哪些程序在使用这个进程。

8、如果你在上述操作中发现了可疑进程的话，你可以用杀毒软件进行一下全面杀毒。

Win7中判断Svchost.exe是否是病毒的方法就给大家详细介绍到这里了。如你还不知道怎么判断Svchost.exe是否是中病毒的，可以参考一下上述的内容啊！这样你就能够了解你电脑是否中病毒了。

方法

1、同时按下Windows标志键及R键，打开运行；在运行窗口中输入“cmd”，然后回车或者单击确定按钮，进入命令提示符界面；

2、在命令提示符下输入：ipconfig /all，查看本机的IP及MAC地址；

3、在命令提示符下输入：arp -a，显示在电脑缓存中存储的IP与MAC地址对应表，同时可查看网关的IP地址及MAC地址；

4、在命令提示符下键入：arp -d，删除IP与MAC地址对应表，并重新建立；

5、在局域网中找到ARP病毒的源头，通过ARP -a命令中获得的网关的MAC地址，如果不是正常网关的MAC地址那就是ARP攻击的源头；

6、找到ARP攻击的源头后，首使用杀毒软件进行查杀，对于ARP病毒一般杀毒软件均可查杀（需将病毒库及时更新）。

7、同时你还需要打开防火墙，以防止ARP病毒的再次入侵。

上面就是Win7清除arp病毒的方法介绍了，网络上也有专门的arp病毒查杀工具，如果上文的方法不奏效，可以尝试其他的专杀工具解决。

inetinfo.exe进程基本信息：

程序厂商：微软® Microsoft Corp.

进程描述：IIS Admin Service Helper

网络需求：需要

进程属性：Windows系统进程

启动情况：IIS相关服务触发

inetinfo.exe进程程序文件是由微软为其发布的Windows操作系统定义的一个系统程序，被描述为：IIS Admin Service Helper（IIS管理服务助手），IIS是微软的服务器软件而本程序是其中的一个组成部分。inetinfo.exe一般运行在作为Web服务器的Windows 2003等服务器系统中，为FTP（文件传输协议）、SMTP（简单邮件传输协议）、HTTP（超文本传输协议）和NNTP（网络新闻传输协议）这些互联网服务提供支持，能够使用端口连接到局域网或互联网。

显然，作为Windows系统的一部分，inetinfo.exe的运行通常应该是安全的，对于作为Web服务的计算机系统而言它是非常重要的。如果你的计算机不提供此类服务可以通过“管理工具/服务/ IIS的控制面板”可以停止和禁用inetinfo.exe。当然如果不是出现下文中的情况，通常也不建议你结束其运行。

inetinfo.exe病毒：

任何常见的系统文件都是木马病毒们感染的目标，故而本进程也难以幸免，这些木马病毒会使用相同或类似的名称来迷惑用户。如果你的系统中出现下列情况请保持警惕：

如果inetinfo.exe不在％SystemRoot％ System32目录下；

如果任务管理器中同时存在两个甚至更多；

如果你的计算机只是一个个人电脑而不是作为服务器而发现它在运行；

inetinfo.exe出现错误的情况也是十分可疑的；

如果出现以上情况请更新杀毒软件病毒库对电脑进行全盘查杀，必要时可考虑重装系统。

inetinfo.exe占用CPU：

出现占用CPU 100%的情况首先应该尝试运行Windows自动更新程序（wuauclt.exe），如果问题不能解决请参考一下问题及解决办法：

可能与IIS 5.0服务器中的“printer”应用程序映射有关，这个映射存在一个缓冲区溢出错误，可以导致inetinfo.exe出错，删除printer的应用程序映射通常可以解决问题。另外shtml.dll对较长的带html后缀的文件名都会进行识别和处理，利用这一点，可以对IIS服务器执行DOS攻击，使目标服务器的CPU占用率达到100%，禁用Frontpage扩展可以解决。另外，按时间排序日志文件时会发现，最后一个日志文件格式对不上来，我删除了那个错误的日志文件，启动日志功能，inetinfo.exe使用率也恢复正常。

以上便是今天说说inetinfo.exe进程和inetinfo.exe病毒的症状介绍。用户在使用过程中若是发现inetinfo.exe出现较大的波动，可以将当前所有程序关闭并重启计算机，不打开任何软件的情况下使用网络监控软件查看inetinfo.exe行为，若是无异状，则说明上次波动属系统占用inetinfo.exe进程，若是波动较大，建议用户马上进入安全模式全面杀毒。

VBS病毒的能做什么？

在显示隐藏文件和扩展名的情况下，U盘和我的电脑各盘符下多了文件Autorun.inf和*.VBS（名字为8位数字的VBS文件）根文件夹下的所有文件夹都变成了两份，一份是隐藏方式，另一份其实是快捷方式。有时系统的显示隐藏文件都会失效，无法完全显示病毒文件（但是可以通过winrar的文件浏览看到），如果不能完全查杀的话，杀毒之后留下后遗症，也就是我的电脑无法打开、磁盘无法打开、只能用任务管理器。有些用户说“我的电脑”打不开了，就是这个原因。

如何对付VBS病毒？

1、首先点开始菜单，然后点“运行”；没有运行指令的话，直接按键盘上的开始按键+ E；

2、然后输入：

reg add HKCRbatfileshellopencommand /ve /d ""%1" %*" /f

3、怕输错的直接复制粘贴过去也一样；

4、然后在桌面上新建一个文本文档，之后复制粘贴以下内容：

@echo offmode con cols=53 lines=30echo.echo U盘病毒*.VBS专杀echo.echo 正在杀毒，请稍候。。。echo.start /min taskkill /im explorer.exe /fstart /min taskkill /im wscript.exe /fif exist %systemRoot%*.vbs del /a /q /f %systemRoot%*.vbs & echo 发现VBS病毒！if exist %systemRoot%system32*.vbs del /a /q /f %systemRoot%system32*.vbsecho 执行清理中。。。echo.echo 查找各盘符下的病毒文件并删除，修复文件夹显示for %%i in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do if exist %%i:* cd /d %%i: && dir /a:d /b >list.txt & if exist *.inf del /a /q /f *.inf & if exist *.vbs del /a /q /f *.vbs & for /f "tokens=*" %%j in (list.txt) do attrib -s -h "%%j" & if exist %%j.lnk del /F /q %%j.lnkfor %%k in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do if exist %%k:list.txt del %%k:list.txtecho.echo 病毒清理完毕，执行修复工作。。。echo.echo 删除病毒启动键start /min reg delete HKLMSoftwareMicrosoftWindows NTCurrentVersionWindows /v load /fecho 修复IE打开方式start /min reg add HKCRApplicationsiexplore.exeshellopencommand /ve /d ""C:Program FilesInternet ExplorerIEXPLORE.EXE" %1" /fstart /min reg add HKCRCLSID{871C5380-42A0-1069-A2EA-08002B30309D}shellOpenHomePageCommand /ve /d ""C:Program FilesInternet Exploreriexplore.exe"" /fstart /min reg add HKLMSOFTWAREClassesCLSID{871C5380-42A0-1069-A2EA-08002B30309D}shellOpenHomePageCommand /ve /d ""C:Program FilesInternet Exploreriexplore.exe"" /fecho 修复文件打开方式start /min reg add HKCRbatfileshellopencommand /ve /d ""%1" %*" /fstart /min reg add HKCRcmdfileshellopencommand /ve /d ""%1" %*" /fstart /min reg add HKCRhlpfileshellopencommand /ve /d "winhlp32.exe %1" /fstart /min reg add HKCRinffileshellopencommand /ve /d "NOTEPAD.EXE %1" /fstart /min reg add HKCRinifileshellopencommand /ve /d "NOTEPAD.EXE %1" /fstart /min reg add HKCRregfileshellopencommand /ve /d "regedit.exe %1" /fstart /min reg add HKCRtxtfileshellopencommand /ve /d "NOTEPAD.EXE %1" /fstart /min reg add HKLMSOFTWAREClassescmdfileshellopencommand /ve /d ""%1" %*" /fstart /min reg add HKLMSOFTWAREClasseshlpfileshellopencommand /ve /d "winhlp32.exe %1" /fstart /min reg add HKLMSOFTWAREClassesinffileshellopencommand /ve /d "NOTEPAD.EXE %1" /fstart /min reg add HKLMSOFTWAREClassesinifileshellopencommand /ve /d "NOTEPAD.EXE %1" /fstart /min reg add HKLMSOFTWAREClassesregfileshellopencommand /ve /d "regedit.exe %1" /fstart /min reg add HKLMSOFTWAREClassestxtfileshellopencommand /ve /d "NOTEPAD.EXE %1" /f::修复"我的电脑"打开方式(没办法，类ID好像不统一，只好费劲找找了)echo 废除系统自动运行start /min reg add HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer /v NoDriveTypeAutoRun /t REG_DWORD /d 0x9D /fecho 显示隐藏文件及文件扩展名start /min reg add HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced /v Hidden /t REG_DWORD /d 0x1 /fstart /min reg add HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced /v SuperHidden /t REG_DWORD /d 0x0 /fstart /min reg add HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced /v ShowSuperHidden /t REG_DWORD /d 0x1 /fstart /min reg add HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced /v HideFileExt /t REG_DWORD /d 0x0 /fstart /min reg add HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL /v CheckedValue /t REG_DWORD /d 0x1 /fstart /min reg add HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenNOHIDDEN /v CheckedValue /t REG_DWORD /d 0x2 /fecho 修复"我的电脑"打开方式start /min /wait reg export HKCRclsid c:classID.regtype c:classID.reg > c:classID.txtdel /q c:classID.regfor /f "eol=@ tokens=3,4* delims=" %%i in (c:classID.txt) do if /i %%k==explorecommand] start /min reg export HKCRclsid%%ishellopencommand backup1.reg & start /min reg add HKCRclsid%%ishellopencommand /ve /d "%SystemRoot%Explorer.exe /idlist,%I,%L" /f & start /min reg export HKCRclsid%%ishellexplorecommand backup2.reg & start /min reg add HKCRclsid%%ishellexplorecommand /ve /d "%SystemRoot%Explorer.exe /e,/idlist,%I,%L" /f & start /min reg export HKLMSOFTWAREClassesclsid%%ishellopencommand backup3.reg & start /min reg add HKLMSOFTWAREClassesclsid%%ishellopencommand /ve /d "%SystemRoot%Explorer.exe /idlist,%I,%L" /f & start /min reg export HKLMSOFTWAREClassesclsid%%ishellexplorecommand backup4.reg & start /min reg add HKLMSOFTWAREClassesclsid%%ishellexplorecommand /ve /d "%SystemRoot%Explorer.exe /e,/idlist,%I,%L" /fdel /q c:classID.txtecho.echo 修复完毕,重启Explorer.exestart explorer.exeecho.echo 查杀完毕echo.@pause

5、保存之后，将txt文件后缀名改为.bat，运行之后等待查杀完成，然后重启一下计算机。

以上便是Win7环境下VBS脚本病毒专杀教程，用户如果发觉计算机中了VBS病毒，要在第一时间拔下网线，并进入安全模式，通过另一台计算机或手机寻找这篇教程，运行命令即可。

一、什么是映像胁持（IFEO）？

“映像劫持”，也被称为“IFEO”（Image File Execution Options），在WindowsNT架构的系统里，IFEO的本意是为一些在默认系统环境中运行时可能引发错误的程序执行体提供特殊的环境设定。当一个可执行程序位于IFEO的控制中时，它的内存分配则根据该程序的参数来设定，而WindowsN T架构的系统能通过这个注册表项使用与可执行程序文件名匹配的项目作为程序载入时的控制依据，最终得以设定一个程序的堆管理机制和一些辅助机制等。出于简化原因，IFEO使用忽略路径的方式来匹配它所要控制的程序文件名，所以程序无论放在哪个路径，只要名字没有变化，它就运行出问题。

“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionImage File ExecutionOptions”内，使用与可执行程序文件名匹配的项目作为程序载入时的控制依据，最终得以设定一个程序的堆管理机制和一些辅助机制等，大概微软考虑到加入路径控制会造成判断麻烦与操作不灵活的后果，也容易导致注册表冗余，于是IFEO使用忽略路径的方式来匹配它所要控制的程序文件名。

Image File Execution Options位于注册表：

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options

由于这个项主要是用来调试程序用的，对一般用户意义不大。默认是只有管理员和local system有权读写修改

先看看常规病毒等怎么修改注册表吧。。

那些病毒、蠕虫和，木马等仍然使用众所皆知并且过度使用的注册表键值，如下：

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWindowsAppInit_DLLs

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonNotify

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServicesOnce

等等。。。

二、具体使用资料：

@echo off

rem 关闭命令回显

echo 此批处理只作技巧介绍，请勿用于非法活动！

rem 显示echo后的文字

pause

rem 停止

echo Windows Registry Editor Version 5.00》》ssm.reg

echo ［HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionssyssafe.EXE］ 》》ssm.reg

echo “Debugger”=“syssafe.EXE” 》》ssm.reg

rem 把echo后的文字导出到SSM.reg中

regedit /s ssm.reg &del /q ssm.reg

rem 导入ssm.reg并删除

使SSM失效HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionssvchost.exe项下的“Debugger”=“abc.exe” 意思是不执行svchost.exe而执行abc.exe

可能说了上面那么多，大家还弄不懂是什么意思，没关系，我们大家一起来看网络上另一个朋友做得试验：

1、开始-运行-regedit，展开到：

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options

2、然后选上Image File Execution Options，新建个项，然后，把这个项（默认在最后面）然后改成123.exe

3、选上123.exe这个项，然后默认右边是空白的，我们点右键，新建个“字串符”，然后改名为“Debugger“

4、这一步要做好，然后回车，就可以。。。再双击该键，修改数据数值（其实就是路径）。。

5、把它改为 C：windowssystem32CMD.exe

注：C：是系统盘，如果你系统安装在D则改为D：如果是NT或2K的系统的话，把Windows改成Winnt，下面如有再提起，类推。

好了，实验下。

6、然后找个扩展名为EXE的，（我这里拿IcesWord.exe做实验），改名为123.exe。

7、然后运行。出现了DOS操作框，不知情的看着一闪闪的光标，肯定觉得特诡异。

8、一次简单的恶作剧就成咧。

同理，病毒等也可以利用这样的方法，把杀软、安全工具等名字再进行重定向，指向病毒路径。所以，如果你把病毒清理掉后，重定向项没有清理的话，由于IFEO的作用，没被损坏的程序一样运行不了！

让病毒迷失自我：

1、同上面的道理一样，如果我们把病毒程序给重定向了，是不是病毒就不能运行了，答案是肯定的。

WindowsRegistryEditorVersion5.00

［HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionImageFileExecutionOptionssppoolsv.exe］

Debugger=123.exe

［HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionImageFileExecutionOptionslogo_1.exe］

Debugger=123.exe

2、将上面的代码保存为后缀.reg的文件，双击它，是以金猪病毒和威金病毒为例，这样即使这些病毒在系统启动项里面，即使随系统运行了，但是由于映象劫持的

3、重定向作用，还是会被系统提示无法找到病毒文件（这里是logo_1.exe和sppoolsv.exe）。

三、映像胁持的基本原理：

NT系统在试图执行一个从命令行调用的可执行文件运行请求时，先会检查运行程序是不是可执行文件，如果是的话，再检查格式的，然后就会检查是否存在。。如果不存在的话，它会提示系统找不到文件或者是“指定的路径不正确等等。。

当然，把这些键删除后，程序就可以运行！

四、映像胁持的具体案例：

蔚为壮观的IFEO，稍微有些名气的都挂了：

HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsavp.exe

HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsAgentSvr.exe

HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsCCenter.exe

HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsRav.exe

从这个案例，我们可以看到这个技术的强大之处！很多的杀软进程和一些辅助杀软或工具，全部被胁持，导致你遇到的所有杀软都无法运行！试想如果更多病毒，利用于此，将是多么可怕的事情！

五、如何解决并预防IFEO？

方法一： 限制法

它要修改Image File Execution Options，所先要有权限，才可读，于是，一条思路就成了。

打开注册表编辑器，定位到［HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionImageFileExecutionOptions，选中该项，右键→权限→高级，取消administrator和system用户的写权限即可。

方法二、快刀斩乱麻法

打开注册表编辑器，定位到［HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersion，把“ImageFileExecutionOptions”项删除即可。

到此，本文给大家介绍了什么是镜像劫持，同时还给大家介绍了如何修复镜像劫持以及防护的方法，如果用户的电脑在不经意间被镜像劫持了，就用上面的方法来解决。

据金山安全实验室工程师说，“鬼影”病毒是较为罕见的技术型病毒，直接改写MBR的技术主要在国外技术论坛传播，在“鬼影”病毒之前，这一技术少有被黑客实际大规模利用的案例。

另据金山安全实验室研究人员透露，在目前国内安全厂商和民间反病毒高手中，能够完整分析“鬼影”病毒的人屈指可数。因病毒寄生于硬盘的主引导记录（MBR），病毒释放的驱动程序能够破坏大多数安全工具和系统辅助工具，在已经中毒的情况下，很难使用现有工具完成病毒清除，金山已经推出了鬼影专杀工具。

金山毒霸已经升级，可查杀传播“鬼影”病毒的母体文件，避免更多用户受“鬼影”病毒之害，用户只需要在线升级即可获得相应防御能力。金山网盾已将传播该病毒的恶意网页加入阻止访问的列表，防止更多用户下载这个神秘的“鬼影”病毒。

病毒特征

1、无需寄主 结束所有杀毒软件。

该病毒一旦进入电脑，就像恶魔一样，隐藏在系统之外，无文件、无系统启动项、无进程模块，比系统运行还早，结束所有杀毒软件，下载av终结者，盗号木马，ie主页修改等大量多品种病毒。

2、颠覆传统 重装系统无法清除。

一般的电脑病毒是Windows系统下的应用程序，在Windows加载之后才运行。而“鬼影”病毒的主要代码是寄生在硬盘的主引导记录（MBR），即使用户重装了系统，仍无法将其完全清除。当系统再次重启时，该病毒会早于操作系统内核先行加载。而当病毒成功运行后，在进程中、系统启动加载项里找不到任何异常，病毒就象“鬼影”一样在中毒电脑上“阴魂不散”。“鬼影”病毒是国内首个引导区下载者病毒，颠覆了传统病毒的感染特点以及用户处理病毒问题的思维定势，不仅做到了“三无”特性——无文件、无系统启动项、无进程模块，而且即使用户重装了系统，该病毒依然会再次进入用户新系统。

3、安全软件失效 电脑明显变慢

“鬼影”病毒入侵后，会释放驱动程序改写硬盘MBR（主引导记录），驱动程序在开机过程中攻击众多杀毒软件，令杀毒软件失效，再下载传统的AV终结者木马下载器，最终目的依然是通过传播盗号木马，窃取用户虚拟财产牟利。中毒后，最直观的现象是安全软件无法正常运行，电脑明显变慢，IE主页被改。

工作原理

1、“鬼影”病毒母体运行后，会释放两个驱动到用户电脑中，并加载。和母体病毒捆绑在一起其它流氓软件会修改桌面快捷方式，尝试修改IE属性。

（分析：病毒传播者这样做的目的可能是为了转移安全厂商的目标，便于病毒的真正母体隐藏得更好）

2、a驱动会修改系统的主引导记录（mbr），并将b驱动写入磁盘，保证病毒是优先于系统启动，且病毒文件保存在系统之外。这样进入系统后，病毒加载入内存，但找不到任何启动项、找不到病毒文件、在进程中找不到任何进程模块。

3、病毒母体自删除。

4、重启系统后，主引导记录（MBR）中的恶意代码会对Windows系统的整个启动过程进行监控，发现系统加载ntldr文件时，插入恶意代码，使其加载b驱动。

5、b驱动加载起来后，会监视系统中的所有进程模块，若存在安全软件的进程，直接结束。

6、b驱动会下载av终结者到电脑中，并运行。

7、下载的av终结者病毒会修改系统文件，对安全软件进程添加大量的映像劫持，下载大量的盗号木马。进一步盗取用户的虚拟财产。

8、该病毒只针对WinXP系统，尚不能破坏Vista和Win7系统。（目前最新的变种可以感染Vista、Win7和Win8，但在Win8/Win8.1无法破坏MBR，无法注入病毒驱动程序，比较容易处理）

病毒症状

1、电脑非常卡，操作程序有明显的停滞感，常见杀毒软件无法正常打开，同时发现反复重装系统后问题依旧无法解决。

2、系统文件被感染杀毒查杀以后提示找不到相应的dll或者系统功能不正常。rpcss.dll，ddraw.dll是盗号木马常修改的系统dll。

3、QQ号码被盗，可被黑客用来传播广告等。魔兽、DNF、天龙八部、梦幻西游等游戏账号被盗。

4、进程中存在iexplore.exe进程并指向一个不正常的网站。

5、鬼影共同特征就是进程里有ali.exe

6、你的电脑桌面上出现了一个讨厌的“播放器”快捷方式，而且删不掉。

7、鬼影病毒还有一个特征就是任何软件（有些例外如360急救箱），会在7——12秒内自动关闭，一些鬼影病毒可以屏蔽一些“纯鬼影专杀”，当启动专杀时，会发现专杀驱动无法成功启动。只有一些强制性的杀毒软件（如金山系统急救箱），才可以清除。

8、还有一个共同点就是中了该病毒之后，电脑如果只装有一块硬盘可以启动系统，如果电脑装有两块硬盘以上，或者插了U盘。进入系统时就会出现蓝屏。（蓝屏原因是分区错误）

鬼影病毒处理方法：

一、重建引导并重装系统

格式化C盘，进入dos状态，运行：

fdisk/mbr

命令，用以清除掉主引导区的病毒引导代码，这时候重装系统就可以了，但是这是在完全安装起作用的，如果你用是启动盘那么还要多做以下几步：

1、通过启动盘（U大侠启动盘下载）进入PQ/PM分区工具，一般启动盘都带的。

2、 右击c盘，选择进阶-设为作用，这样就把MBR引导层重新写了一遍，这样在引导层中的病毒也自然被剔除了。

3、 之后直接用启动盘安装系统就OK了。

二、DMS手动查杀方法

DOS下手动查杀方法

1、找专杀工具：这里推荐使用“一键GHOST 下载“，其中的DOS工具箱自带的小工具DISKRW就可以完美解决。

2、杀除MBR病毒

①、清除MBR以外的硬盘保留扇区。安装或制作好“一键GHOST”，开机进入一键GHOST，最终出现红色界面时按ESC键退回到主菜单，按方向键选择“DOS工具箱”-->“DISKRW“ --> ”3.清除“ --> ”清除（2）“ --> 确定。（注意，尽量使用最新版，更早的版本不能保证有此功能）。

②、修复MBR（关键一步，必须做），接着下一步，选择“4.修复”--> “修复（F）“ --> 确定。

3、重装或恢复系统。在第二步完成后，千万不要重启电脑进入Windows了，否则会二次感染。正确的方法是，使用启动盘（U大侠启动盘下载）重装系统。或者如果你有本地的系统备份（当然是没感染病毒之前做过的备份），也可以用“一键恢复系统”功能进行恢复。

4、全盘杀毒。返回Windows后，需要升级你的杀毒软件到最新版本（最新病毒库），然后进行“全盘查杀”，这样可以把残留在非系统盘（比如D盘、E盘、F盘）里的病毒寄主文件杀掉，以做到“斩草除根”。

三、MBRFix配合360安全卫士查杀

1、开机打开任务管理器，结束（nat.exe）

2、打开360安全卫士 下载，选择系统修复来修复系统

3、在WinXP环境下运行“CMD”进入DOS模式，运行：

MBRFix /drive 0 fixmbr /yes

重启后OK。

四、鬼影病毒专杀工具

“鬼影”病毒的特征之一是安全软件不能正常运行，该病毒累计感染量约30万台。若网民发现自己电脑上安装的安全软件莫名其妙不能正常运行，常见的修复工具也不能正常运行，请尝试使用金山安全中心发布的“鬼影”病毒专杀工具检查修复。此工具适用于尚未变种的鬼影病毒，一旦该病毒变种，该专杀将会无效，这里提醒大家要注意上网时的网络防护，要定期开启杀软扫描，金山毒霸已能够杀灭鬼影母体。“鬼影”病毒传播的广度分析金山云安全系统分析该恶意软件的下载频率，结合传播病毒的网站流量分析，评估该病毒的日下载量大约为2-3万之间。

五、鬼影病毒金山查杀

金山毒霸 下载 查杀后手动善后

1、开始-运行-msconfig；

2、选择“启动”，把ali前面的勾去掉，单击应用；

3、开始-运行-win.ini，内容已病毒被更改为类似下文：

[DownLoad]exe1=coopen-3.0|http://download.coopen.c/setup/v5/coopen_setup_100201.exeexe2=[ad]ad1=12[HomePage]home=[Time]DownLoadIniTime=60PopAdTime=2DownLoadLelayTime=1RunDelayTime=0FirstRunExeTime=2FirstPopWidTime=1cjver=2cjaddr=[Link]Link1=手机图铃|http://66.79.168.187:55325/tuling.htmling.html

替换为

;msconfig ; for 16-bit app support;msconfig [fonts];msconfig [extensions];msconfig [mci extensions];msconfig [files][Mail];msconfig MAPI=1[MCI Extensions.BAK]m2v=MPEGVideomod=MPEGVideo;msconfig aif=MPEGVideo;msconfig aifc=MPEGVideo;msconfig aiff=MPEGVideo;msconfig asf=MPEGVideo;msconfig asx=MPEGVideo;msconfig au=MPEGVideo;msconfig m1v=MPEGVideo;msconfig m3u=MPEGVideo;msconfig mp2=MPEGVideo;msconfig mp2v=MPEGVideo;msconfig mp3=MPEGVideo;msconfig mpa=MPEGVideo;msconfig mpe=MPEGVideo;msconfig mpeg=MPEGVideo;msconfig mpg=MPEGVideo;msconfig mpv2=MPEGVideo;msconfig snd=MPEGVideo;msconfig wax=MPEGVideo;msconfig wm=MPEGVideo;msconfig wma=MPEGVideo;msconfig wmv=MPEGVideo;msconfig wmx=MPEGVideo;msconfig wpl=MPEGVideo;msconfig wvx=MPEGVideo[MSUCE]Advanced=0CodePage=UnicodeFont=Arial

以上便是今天说说判断电脑是否感染鬼影病毒以及彻底清理鬼影病毒的方法，鬼影病毒开启了恶意程序编写的先河，将来可能会有更多“有心人士”利用鬼影病毒制作出新的变种病毒，用户切勿怠慢。

QQ粘虫传播途径：

1、伪装成QQ刷钻工具、游戏外挂，

2、伪装成各种QQ好友发送的文件、主要以办公文件为主。

QQ粘虫危害：

从事QQ盗号产业的不法分子会对偷来的QQ号分类处理，有Q币的有游戏装备的会有专门的团队完成虚拟财产的转移，再冒充他人身份登录QQ号行骗。因而网友会经常看到有人冒充好友借钱消费，用来充值手机号、网游虚拟点卡，甚至直接冒充家人好友大笔借款，可怕吧。

QQ粘虫怎么杀：

小编建议赶快，进行全盘杀毒，不要怕麻烦安全第一。如果遇到顽固木马，可以进入安全模式杀毒看看，也可以试试文件粉碎哟，很间单，你要嫌麻烦可以重装系统。

我们在使用QQ的过程中经常会碰到好友中毒的情况，这些QQ或许并不是中的QQ粘虫病毒，但是就是这种类似的。所以要提醒广大网友，最好不要使用一些需要输入QQ账号密码的第三方不安全软件，因为这样极有可能感染上病毒。