» 游客:  注册 | 登录 | 帮助  微点交流论坛 » 微点主动防御软件 » 关于“映像劫持类病毒”解决方案的补充   作者: 标题: 关于“映像劫持类病毒”解决方案的补充 21hv 新手上路 新手上路 积分 25 发帖 23 注册 2005-11-6 #1  关于“映像劫持类病毒”解决方案的补充 关于“ 【公告】针对Trojan.Win32.Genetik.xr（IFEO：映像劫持类病毒）病毒的解决方案”补充 原文： 近期大量用户反馈中了病毒后不能进入安全模式，正常模式不能安装微点主动防御软件，在浏览器中无法输入打开有关反病毒的网页。       经过微点技术人员分析此病毒是Trojan.Win32.Genetik.xr或其变种病毒，即互联网报道的IFEO：“映像劫持类”病毒。              此类病毒的特征：       1.生成很多8位数字或字母随机命名的病毒程序文件，电脑开机时自动 运行。       2.使用IFEO劫持（windows文件映像劫持）技术，修改注册表，破坏几十种常用的杀毒软件，在浏览器中无法输入打开有关反病毒的网页，使QQ医生、360安全卫士等几十种常用软件无法正常运行，即使手动删除了病毒程序，下次启动这些软件时还会报错。      3.不能正常显示隐藏文件，破坏系统安全模式，使得用户不能启动系统到安全模式来维护和修复      4.禁用windows自动更新和Windows防火墙，这样木马下载器工作时，就不会有任何提示窗口弹出来。      5.每个磁盘分区上建立自动生成autorun.inf和相应的病毒程序文件，通过自动播放功能进行传播。这里要注意的是，很多用户格式化系统分区后重装，访问其它磁盘，立即再次中毒，用户会感觉这病毒格式化也不管用。      6.病毒程序的最终目的是下载更多木马、后门程序。该病毒会从指定的网址中下载多款网游木马，可以盗取包括魔兽世界，传奇世界，征途在内的多款网络游戏的帐号和密码，对网络游戏玩家的游戏装备构成了极大的威胁。 如有类似情况的用户请按照以下步骤安 装微点主动防御软件：     1、首先建立一个文本文件（txt文件）将下边的信息复制到文本文件中然后保存 Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}] @=\"DiskDrive\" 将保存的文本文件的扩展名修改成reg，然后双击导入注册表后重启机器。 2、进入安全模式安装微点主动防御软件，重启机器登录正常模式，微点主动防御软件会报警发现病毒，按照提示删除即可。打开微点主动防御软件主界面--【系统自启动信息】右键”隐藏已知的启动信息“，然后右键选择删除 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options\Image File Execution Options 被劫持的注册表项后重启系统即可。 3、已经安装微点主动防御软件的用户，微点主动防御软件能够很好的拦截并处理此类病毒。微点主动防御软件自动保护系统安全模式的注册表项，防止病毒对系统安全模式注册表键值的篡改，微点主动防御软件保护自身的注册表项不会被病毒劫持。 [ Last edited by Legend on 2007-7-6 at 17:00 ] 步骤1、当中有时会出现一个问题！ [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}] @="DiskDrive" 这一个键值可能会被病毒清除！所以可能这步不一定会成功！ 步骤1成功后，还会出现一个问题！再重启到安全模式时，会出现黑屏（到登录前出现，鼠标驱动已经加载，能动）。所以，需要用PE或其对注册表清理！ a、在C（系统盘）:\windows中找到"regedit.exe",改名为"regedit.com",双击运行(不要直接到运行下输入regedit去运行，因为病毒已经用文件把系统的regedit替代了) b、在注册表中清除如下健值：[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\]中的cmd.exe、msconfig.exe、regedit.exe、regedt32.exe项。 c、[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\]中是否存在kkdc项，如存在删除kkdc项。 d、[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\]中的kkdc项 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001 \Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications \List]中的"C:\\WINDOWS\\lsass.exe"="C:\\WINDOWS\\lsass.exe:*:Enabled: lsass.exe" 如有则删除"C:\\WINDOWS\\lsass.exe"="C:\\WINDOWS\\lsass.exe:*:Enabled: lsass.exe"。 e、再查看一下[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002下与上述类似的地方，有没有跟上述一样的项目，有的话删除 最后，再接原文件的第二步！则可成功！ 另附：我单位里同时三台电脑中了此病毒！就是如此搞定的！ [ Last edited by 21hv on 2008-1-22 at 03:46 ] ※ ※ ※ 本文纯属【21hv】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2008-1-22 03:44 Legend 超级版主 超级版主 积分 77171 发帖 70170 注册 2005-10-29 #2   感谢楼主的细致测试和反馈，欢迎您对微点的进一步深入测试使用。 ※文章所有权归【Legend】与【东方微点论坛】共同所有，转载请注明出处！※ 微点官方认证新浪微博：欢迎进入 微点新浪微博 微点技术支持邮箱: support@micropoint.com.cn 给Legend发短消息 2008-1-22 03:48 jobcreep 银牌会员 我的昵称：小爬 积分 2527 发帖 2527 注册 2007-7-13 来自 陕西西安 #3   谢谢分享 ※ ※ ※ 本文纯属【jobcreep】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 在蓝天下 献给你 我最好的年华！ 我的博客“杂货铺”，普天之下，没有我不关心的！ http://hexun.com/jobcreep1899/default.html    2008-1-22 10:22 471795251 银牌会员 九三学社 积分 3818 发帖 3882 注册 2007-2-4 来自 山西省阳泉市晋东化工厂 #4   不错…… 谢谢了！ ※ ※ ※ 本文纯属【471795251】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2008-5-23 22:00 论坛跳转: 微点软件公测区 安全快报  > 病毒快报  > 漏洞快报 微点产品在线技术支持  > 微点主动防御软件  > 预升级反馈专区  > 微点杀毒软件 微点用户交流区  > 微点新闻  > 微点软件使用交流  > 微点茶室 安全技术交流区  > 主动防御  > 反病毒  > 防火墙 综合区  > 电脑&数码  > 体育&娱乐&休闲  > 灌水区 版务管理 内部使用专区  可打印版本 | 推荐 | 订阅 | 收藏 [ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司 闽ICP备05030815号