使用映像劫持欺骗物业

和之前遇到的其它AV杀手相似，e 将常见的安全工具，如HijackThis, IceSword，卡卡安全助手，全部作了映像劫持（pe_xscan 的 log 中的O26 - IFEO）。

任务管理器和WinRAR窗口会被强制关闭。运行注册表器e，定位到HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options，删除其下的劫持项。

然后运行 IceSword，结果病毒模拟用户按键使IceSword窗口一闪而过，也被关闭了……

重启电脑，无法进入安全模式……

还是进入一般模式，用我的电脑打开e所在的文件夹C:\\Program Files\\Common Files\\Microsoft Shared，窗口也会被关闭。不过在bat_do中通过dir命令，我们还是可以查看这个文件夹的内容：

D:\\toolsdir C:\\Program Files\\Common Files\\Microsoft Shared /a

金发科技拟出资15亿元 驱动器 C 中的卷没有标签。

卷的序列号是 C30

C:\\Program Files\\Common Files\\Microsoft Shared 的

09:18 27,566 mtkt

09:18 27,566 qknv

09:18 27,566 edpn

09:18 27,566 mkih

09:18 27,566 khex

09:18 27,566 pmfp

09:18 27,566 wvnm

09:18 27,566 renm

09:18 27,566 qmfw

09:18 27,566 pswu

09:18 27,566 hfsn

09:18 27,566 bjwb

09:18 27,566 skvb

09:18 27,566 lxtd

09:18 27,566 blvw

09:18 27,566 rrxu

09:18 27,566 tkbp

09:18 27,566 tcjp

09:18 27,566 lbhb

09:18 27,566 msfs

09:18 27,566 kirh

09:18 27,566 ypwk

09:18 27,566 kwds

09:18 27,566 vr

09:18 27,566 xsgv

09:18 27,566 phhd

09:18 27,566 digg

09:18 27,566 pvbe

09:18 27,566 wiqt

09:18 27,566 uxmr

09:18 27,566 aqfv

21:26 169 f

09:18 27,566 qmtj

09:18 27,566 ijef

09:18 27,566 fgvk

09:18 27,566 nxmx

09:18 27,566 aaqr

09:18 27,566 vqkh

09:18 27,566 ssmu

09:18 27,566 nupl

09:18 27,566 eltd

09:18 27,566 vhes

09:18 27,566 bhst

09:18 27,566 nqpk

09:18 27,566 owop

09:18 27,566 jidn

09:18 27,566 tkea

09:18 27,566 e

文件还真不少，使用 FileInfo提取文件信息，发现大多数文件内容是相同的。

D:\\toolstype C:\\Program Files\\Common Files\\Microsoft Shared\\f

[AutoRun]

open=e

shell\\open=打开(O)

shell\\open\\Command=e

shell\\open\\Default=1

shell\\explore=资源管理器(X)

shell\\explore\\Command=e

在这里我们还可以尝试用win xp 的 tasklist命令查找病毒进程的PID，然后用 taskkill 命令终止病毒进程。不过我没有这样做~

运行 e 取消 O4 组中的启动项。

把log中的红色显示的文件加入bat_do的待处理文件列表，全选，延时删除。然后选择其中一部分打包备份。再全选，改所选文件名，延时删除。

重启电脑……

再次检查有关的文件是否还存在，若还有残余则把它们拖入bat_do延时删除，重启……

卸载百度搜霸。

在e中恢复先前取消的O4组的启动项。

下载安装瑞星卡卡安全助手并运行，在高级功能—＞[插件管理及卸载] 里把O2 和O24 项卸载掉

在[高级功能]—＞[系统启用项管理]里,在左边点击[登录项]，在右边找到 O4 项对应的项目，右击，从弹出的菜单里选择删除。

接着在[高级功能]—＞[系统启用项管理]里,在左边点击[服务项]和[驱动]，在右边找到 O23 项对应的项目，右击，从弹出的菜单里选择删除；在左边点击[应用程序劫持项]，在右边找到 O26 项对应的项目，右击，从弹出的菜单里选择删除。

在[高级功能]—＞[IE及系统修复]里修复红色显示的部分，即 O6 项。

原文链接：