文档介绍：遇到pingexe ,可怕的是精神正常的疯子! ???
最近刚装上网线,却不想中病毒啦!!!系统还没有备份呢,真是太可恶啦……
杀毒软件全被关闭,一打开就迅速出现一个命令行模式框,接着就是一道道英文字母刷过,之后什么也没有,查看任务管理器, ,而且无法关闭!!!系统运行的是越来越慢啦,最后再运行杀毒软件是竟然卡机啦,(此文件没有多大用处,常被病毒俘虏,建议最好删除),用搜索找出该文件迅速删掉,再运行杀毒软件,竟然提示找不到该文件的路径,郁闷~……
只好进入安全模式,谁知道竟然蓝屏,真是快绝望啦……!!!还好能上网,,看来中毒的人还不少,原来是OSO病毒在搞镜像劫持手段!针对杀毒软件方面,OSO病毒采用了一种新技术,这种技术被成为镜像劫持,通过这种技术也能够将杀毒软件置于死地。
所谓的镜像劫持,就是在注册表的[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\ CurrentVersion\Image File Execution Options]处新建一个以杀毒软件主程序命名的项,。然后再创建一个子键“Debugger="C:\\WINDOWS\\ system32\\drivers\\”。以后只要用户双击 Rav.,类似文件关联的效果。
遇到此类病毒千万不要盲目重装系统,那样一不小心就会再次感染,尝试几次后会让你痛心绝望的!目前也只有手动查杀是最有效的!!!
所以首先第一步就是打开注册表,将病毒所劫持的文件项删除!即打开注册表的[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\ CurrentVersion\Image File Execution Options]删除所有文件(请放心系统必须文件会自建的,呵呵)然后在运行杀毒软件,全盘扫描!!!
建议:发现中毒后应尽快卸载WINRAR软件,(这病毒很简单他没有用更多的代码去搜索RAR,EXE 这个文件而只是认识这个名字当你改名后病毒的压缩复制)功能就失效了来得及的话能抢救一部分EXE
如果此时你的杀毒软件还能用并且系统故障不是太多的话(很少有可能),进行全盘查杀
大型杀毒软件会彻底剿灭这些预留的病毒,如果安全模式还是进不去,把这下面的代码复制到到一个记事本TXT文件里,然后保存记事本,,之后双击就OK
Windows Registry Editor Version
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot]
"AlternateShell"=""
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Sa