程序劫持的解决方法
映像劫持的定义
所谓的映像劫持(IFEO)就是Image File Execution Options,位于注ce表的
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options 由于这个项主要是用来调试程序用的,对一般用户意义不大。默认是只有管理员和local system有权读写修改。
通俗一点来说,就是比如我想运行QQ.exe,结果运行的却是FlashGet.exe,也就是说在这种情况下,QQ程序被FLASHGET给劫持了,即你想运行的程序被另外一个程序代替了。
解除方法:
方法一:
1) 开始 - 运行 - regedit 回车
2) 找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
3) 把Image File Execution Options 下面的项目全部清除
方法二:
1) 开始 - 运行 - cmd 回车
2) reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe" /f
其中上面的taskmgr.exe就是要恢复执行的任务管理器
方法3:
上面在cmd中输入命令麻烦吧, 可以在桌面建立个"新文本文件.txt", 把下面的代码复制到"新文本文件.txt",保存, 然后把"新文本文件.txt"改名为"新文本文件.bat", 双击 "新文本文件.bat" 便可以了
reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe" /f
方法4:
选取上面的代码, 复制, 在cmd窗口中直接点右键便可以直接复制命令了.
https://www.360docs.net/doc/b718692466.html,/3456111/4782884.html
方法一:修改注ce表。打开注ce表,展开到:
[HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\System]
找到\"DisableTaskmgr\"把dword值设置为00000000
方法二:
打开记事本,把下面的内容保存成.reg文件,然后双击导入恢复。
REGEDIT4
[HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\System]
\"DisableTaskmgr\"=dword:00000000
(最后一行留一空行)
方法三:利用组策略:
开始/运行/gpedit.msc,
--------------------------------------------------------------------------------
5 【分享】任务管理器被禁用或不能使用的终极解决方法
在用户配置-管理模板-系统-CTRL+ALT+DELE选项,在左边找到“删除任务管理器”
双击打开,设置为未配置,或者禁用。
方法四:利用小软件:
把下面的文件,解压后注ce“任务管理器可用”,即可解决!!
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
或者:
任务管理器被病毒禁用解决方法
任务管理器被病毒禁用解决方法
最近这段时间,QQ病毒又出来新品种了,就是任务管理
器被禁用了,使你知道中了QQ病毒也没有办法关掉病毒进程,一开始作者把病毒修改的注ce表改回来,但发现修改完保存好的注ce表后驻留内存的病毒又将其修改了,怎么办呢?..........
偶尔回论坛看看~发现N多人都中了QQ病毒~同情ING`~
于是便随便找了个求助贴,把杀软关了,把那个病毒源程序下载来了.dir一下,把WINDOWS和system32目录下的.exe和.dll文件输出到文本.然后就运行那个病毒了.
很显然.任务管理器被禁用了.打开QQ会自动向外发信息(这个我早就知道了.嘻嘻.我当然不会傻到跟人家去聊Q.)其实经过分析.这其实还是个木马.会将一些病毒制造者感兴趣的东东通过E-mail发到他的邮箱.
这么做的目的无非是想让人家无法终止病毒进程.
然后就到注ce表里去解锁.他却没有禁用注ce表.开始心想.这SB,居然不禁用注ce表?明明可以改回来嘛!
找到HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPolicies
把DisableTaskMgr直接删除了.
重新加载一遍WINDOWS外壳程序.却发现一个问题....任务管理器还是打不开.再次打开注ce表.发现DisableTaskMgr的键值依然存在.郁闷了.怪不得他不禁用注ce表.
其实应该想到了.这应该是内存中驻留的病毒程序搞的鬼.一旦他检测到你对注ce表所做的修改.他会自动改回来的.
好吧.看到底是哪一个病毒程序..运行病毒程序之前为了保险,我是先对系统文件信息做了一个大概的备份的.然后再dir一下WINDOWS和system32目录下面的exe和dll文件.依旧输出到文本.用fc.exe比对了一下...发现确实多了一个svohost.exe,其实他就是想与svchost.exe这个系统文件混淆.只差一个字母.不仔细还真发现不了.
接下来开始解决.
1.打开CMD.输入命令tasklist回车查看一下..果然发现了这个进程:svohost.exe(虽然他禁用了任务管理器,但在CMD下用tasklist命令还是可以查看到进程信息的)
2.关了他.输入命令taskkill/f/imsvohost.exe
提示成功.
3.搜索svohost.exe这个文件(把搜索隐藏文件也勾上)搜索到后删除!似乎有两个.一个是完全大写的.一个是完全小写的.事实上还有一个程序叫lsasa.exe的也得删除.他模仿的是WINDOWS的正常进程lsass.exe.
4.本以为没问题了.后来还发现一个问题.他还修改了注ce表的一处,使文件夹选项中对隐藏文件的设置始终为\"不显示隐藏文件\",这么做的主要目的在于让你在WINDOWS环境下找不到被设定隐藏属性的病毒源文件.但这里还有几种手段可以找到他.1.用WINDOWS的搜索.只要在高级选项里把\"搜索隐藏的文件和文件夹\"勾上就可以找到了.2.在命令提示符里用dir/a命令也可以查看到.
麻烦一点罢了.由于WINDOWS和SYSTEM32目录下文件太多.用dir命令的时候.最好再加一个参数.dir/a/p这样会更好.
我们到注ce表里去把他改回正常状态.
--------------------------------------------------------------------------------
6 【分享】任务管理器被禁用或不能使用的终极解决方法
打开注ce表.找到HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL这个键.看右边.找到一个CheckedValue的值.我注意到这个该死的病毒居然把他改成了字符串值.如果你不小心的话.也许会认为改了也没用.把这个值删除.重建一个DWORD的值为CheckedValue.把他的值设为1.
基本搞定了.一开始我只是想弄明白他是怎样一个原理.其实.相信大家也应该看出来了.如果你的杀毒软件病毒库够新的话.都能把病毒源程序杀掉的.你所需要做的只是修复注ce表中的相关项.这里也提供了一个DIY解决问题的思路.也许病毒源文件并不一样.大家按照实际情况.按照上面的方法操作.
友情提示一下:在QQ上发过来的文件.不经过确认可不要随意乱点.没准一不小心就中招了.
PS:一些不得不说的话:我发现有很多人误会我的意思了`
这个贴子~其实我只是想告诉大家一种方法。我发现有很多网友却依葫芦画瓢,去电脑里搜索svohost.exe和lsasa.exe,其实病毒有很多种,源文件也是千变万化的,不能认死理,重要的是方法。只要有病毒运行,那么一定是有病毒进程的`我想现在还不多见隐藏进程的病毒吧~仔细观察,总能发现源文件的~也许是跟系统文件名称一样但路径不同~例如在不同路径下有的svchost.exe,rundll32.exe等~
对于一般的网友而言,最好是用强力的杀毒软件来杀。
至于手动清除的话。我们也有很多方式可以查的~一般的病毒,都会设置为自启动~那么,大家可以到注ce表里一些可以启动的地方去找一找。如RUN,SHELL等~相关文章大家可以上网去找一找,有些病毒会注ce服务,以服务的形式启动~大家可以打开services.msc来查看。
很多病毒喜欢伪照服务进程。这里我以查进程中的svchost.exe有无可疑为例~
在CMD里输入命令:tasklist/svc回车~可以看到svchost.exe的进程代表的服务。下图是我的:
大家可以看到,有四个svchost.exe,那么,我们在tasklist下面看是几个呢?
也是四个~证明这四个svchost.exe都是正常的(服务态加载的病毒除外)
如果在上面那幅图出现了5个svchost.exe呢?这意味着。那个多余的svchost.exe肯定是有问题的。那么我们可以在C盘搜索一下svchost.exe看到底有几个,非system32目录下的svchost.exe一定是病毒~
大家可以先把所有的应用程序,一些认识的除系统进程外的后台程序通通都关了,缩小查找的范围,这需要的就是经验。
其实WINDOWS提供了很多的小工具帮你解决问题,如系统信息查询工具,msconfig,servicse.msc,tasklist.exe等等小工具,只要用好了这些小工具,我想将病毒除去也不是什么太大的难事!
还是建议大家能安装一个好一点的杀软。如果嫌麻烦的话,但我认为,能自己亲手把病毒干掉。是一件很值得快乐的事情
推荐大家使用longhorn的任务管理器!longhorn的任务管理器可以在进程中直接点右键选择打开该应用程序所在的文件夹,这对于查病毒是非常有用的~对于禁用了任务管理器的用户可以使用第三方的任务管理器,如WINDOWS优化大师自带的进程管理就不错,可以直接看到应用程序的路径,节省了大把的时间