VB镜像劫持怎么把QQ劫持掉，就是一个小恶作剧，顺便再贴出来一个恢复的方法

所谓的镜像劫持，就是修改注册表，在注册表的

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\ CurrentVersion\Image File Execution Options]

处新建一个以杀毒软件主程序命名的项，例如QQexe。然后再创建一个子键“Debugger="C:\WINDOWS\system32\drivers\OSOexe。以后只要用户双击 QQexe就会运行OSO的病毒文件，类似文件关联的效果。

大体原理是这样的，修改Image File Execution Options键值后，在有QQexe运行请求的时候，就欺骗系统转而运行OSOexe：

恢复只要把这个项从注册表里删除就恢复了。

ati2evxxexe —— 这个东西是我遇到的第三个强毒 ，先声明，它是伪装显卡驱动的一个程序，表说我没常识！！！

网上针对此毒的查杀方法我都看过，但效果真的不怎么理想……

很不幸 该病毒的生成路径和网上有出入，不在C:\Program Files\Common Files目录下，而是C:\WINDOWS\Fonts 目录——也就是Windows字体类型存放目录， 在C:\WINDOWS\Fonts下还有一个文件夹：C:\WINDOWS\Fonts\system ，这个病毒很有个性啊。。。 因为 C:\WINDOWS\Fonts 下手动根本无法新建文件夹。

我试过网上的方法，安全模式（自然要进）——Windows优化大师（我就瞧准了它有一个文件粉碎和注册表信息优化）——360安全卫士根本用不了（你想用也可以，去把注册表改回来，在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options 项下，删掉你看到的所有360项，它即可启动，但我劝你还是放弃这种徒劳的举动……呵呵 听我说完）—— IceSword （这个东西用来结束进程，强制删除病毒） —— 启动项 （把被篡改的修正） 。

起初，本人不太了解ati2evxxexe 的原理…… 亏大了！ Ghost还原了两次，还有毒——为什么？？？ 呵呵，我还没考虑要重装，岂不和Ghost一样，而且重装那个久啊···

经过一番“研究” ，找到关键的三个地方：1，映像劫持——我的理解是能感染部分EXE文件，看了上面注册表的位置我可以清楚的知道是什么文件被感染…… 2，userinitexe 这个东西也会被感染。 3，每个硬盘下都有 autoruninf 和 ntldrexe

那为什么ghost恢复后还有毒？ 原来 我ghost备份时连带有360safe作为启动项，原本它装在E盘，恢复后C盘当然是干净的，E盘360safeexe被感染，ghost 还原后360safe是其中一个启动项，所以等同于恢复的同时随机启动项间接启动了病毒。。。 病毒一启动 原本干净的 userinitexe 立刻被感染 ！！！ 一切都白做···

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

杀ati2evxxexe 一般 步骤：

1，到别的机子拷一个userinitexe 过来，在C:\WINDOWS\system32目录下；

2，进安全模式，这是必然的 （除非你还中了AV终结者之类的东西，不然一定可以进 ）

3，任务管理器，结束进程 ati2evxxexe。你用优化大师也好，用Icesword也好（庆幸吧 ，ati2evxxexe没有劫持这两个程序），找到C:\WINDOWS\Fonts\system这个目录，将它整个删掉！ 接着，显示所有隐藏文件 将每个盘下的 autoruninf 和 ntldrexe 删掉 ！ 肯定有，用Icesword，文件——单击盘符即可见！

4，打开注册表（别说你不会）找到 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options ，（我建议）手动删掉和ati2evxxexe有关的一切 （注册表右侧的名称和数据会写的很清楚）；当然，你可以用优化大师，查找目标ati2evxx ， 搜索整个注册表，删掉它搜到的所有东西。如此，注册表就干净了。

5，启动你想启动的任何程序吧，杀软，360安全卫士 …… 全盘扫描，你会扫出很多很多很多很多……的木马， 呵呵，痛快的杀吧，它们都是ati2evxxexe带出来的。。。

6，去掉多余启动项，我个人建议：除了ctfmonexe之外，其他的 杀软，防火墙，迅雷，QQ，无关紧要的驱动程序等一律不要随机启动！！！

7，将userinitexe 复制 粘贴在C:\WINDOWS\system32目录下；

8，正常重启。祈祷你所做的一切不是白费的吧！如果你好运的话系统已经恢复正常。

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

呵呵，如果不幸 ati2evxxexe还在的话（不该说“还在”，应该说它又出现了）。 格盘吧！

做好重要文件的备份，格掉所有硬盘（不只是C盘）。 我个人建议不要重装，否则你会后悔的！

啊哈！！！

以上就是关于VB镜像劫持怎么把QQ劫持掉，就是一个小恶作剧，顺便再贴出来一个恢复的方法全部的内容，包括:VB镜像劫持怎么把QQ劫持掉，就是一个小恶作剧，顺便再贴出来一个恢复的方法、我电脑中了镜像劫持病毒怎么办、等相关内容解答，如果想了解更多相关内容，可以关注我们，你们的支持是我们更新的动力！