关于"不能运行所有杀毒类程序(如:mmsk.exe rav.exe avp.exe...)的问题"(镜像劫持)

最新推荐文章于 2024-07-19 20:25:39 发布
最新推荐文章于 2024-07-19 20:25:39 发布
阅读量2.5k 收藏
点赞数
分类专栏: 41-计算机软件维护 文章标签: file image windows 360 c
  木马杀客的主程式mmsk.exe,瑞星rav.exe,卡巴斯基的avp.exe等等。所有打 开这些程式都会出现类似“Windows找不到文件c:/ program file/rsing/rav/rav.exe” 。事实是这些文件都存在,且可执行程式关联都没有问题。

  我后想想会不会是病毒改了什么注册表面使得这些都不能运行。我就试着用木马杀 客改了其主程式的名称mmsk.exe为任意名称mmmm.exe。结果不出所料,木马杀客能启动了。由此得,这问题一定和注册表有关,但是这些设置会在 注册表里的哪个位置呢。不用说了,用MS的强大的F3搜吧,结果排除了几项安装过的垃圾项值后找了真正的元凶!在注册表里项“Image File Execution Options” 下出现了这些不能运行的程式列表。HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/avp.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/AgentSvr.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/CCenter.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/Rav.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/RavMonD.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/RavStub.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/RavTask.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/rfwcfg.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/rfwsrv.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/RsAgent.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/Rsaupd.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/runiep.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/SmartUp.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/FileDsty.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/RegClean.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/360tray.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/360Safe.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/360rpt.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/kabaload.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/safelive.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/Ras.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/KASMain.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/KASTask.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/KAV32.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/KAVDX.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/KAVStart.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/KISLnchr.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/KMailMon.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/KMFilter.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/KPFW32.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/KPFW32X.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/KPFWSvc.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/KWatch9x.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/KWatch.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/KWatchX.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/TrojanDetector.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/UpLive.EXE.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/KVSrvXP.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/KvDetect.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/KRegEx.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/kvol.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/kvolself.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/kvupload.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/kvwsc.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/UIHost.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/IceSword.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/iparmo.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/mmsk.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/adam.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/MagicSet.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/PFWLiveUpdate.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/SREng.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/WoptiClean.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/scan32.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/shcfg32.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/mcconsol.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/HijackThis.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/mmqczj.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/Trojanwall.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/FTCleanerShell.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/loaddll.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/rfwProxy.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/KsLoader.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/KvfwMcl.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/autoruns.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/AppSvc32.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/ccSvcHst.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/isPwdSvc.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/symlcsvc.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/nod32kui.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/avgrssvc.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/RfwMain.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/KAVPFW.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/Iparmor.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/nod32krn.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/PFW.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/RavMon.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/KAVSetup.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/NAVSetup.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/SysSafe.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/QHSET.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/zxsweep.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/AvMonitor.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/UmxCfg.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/UmxFwHlp.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/UmxPol.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/UmxAgent.exe
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/UmxAttachment.exe
。。。
经查:
Image File Execution Options就是 所谓的IFEO ----Windows映像劫持技术。
哎,,废话少说,说说怎么解决吧:
方法1:

把[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options]项删除即可

方法2:

使用“IFEO映像挟持修复程序修复”!

方法3:

使用SREngLog 1.2 特别版—>修复指令文件—》映像胁持修复!
 
flashlm
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
彻底解决卡巴斯基6.0应用程序错误(avp.exe应用程序错误)
ASP DOT NET
11-28 8918
 近装了卡巴6.0中文版,谁知使用了一会就内存报错,(该内存不能为READ。。什么的)并自动终止了进程,这种错误一般来说是因为程序引用了错误的内存指针引起的,本人很是不解,难到大名鼎鼎的AVP也会犯这种低级错误?经过本人一翻研究,终于找到了罪亏祸手-drwtsn32通常情况下,卡巴6.0中文版报 AVP.EXE应用程序错误,该内存不能为“READ”的错误是由于卡巴自身的防保护机制引起的,为了防止程
关于进程avp.exe
whiteH的专栏
04-04 1236
下文来自多个网友文章,我将其进行汇总总结,希望对大家有所帮助!    avp.exe是卡巴斯基杀毒软件的相关程序。一个是系统托盘图标进程,一个是卡巴主程序进程。(见本页下)但如果你的系统没有安装该软件,则可能是将死者病毒的文件,它本身是一个压缩文件,如果打开压缩文件,就会变成136kb的文件。此病毒是用visual basic编写,且经过压缩软件upx压缩,反解压工具处理,使之用原
实战avp.exe病毒
ilikethis123456的专栏
04-18 939
实战avp.exe病毒自己算是被这个东西折腾怕了,到目前为止算是全部清除,但是终究还是不知道什么时候感染的,估计是前两天下了一段VB的源代码,之后感染的;据网上某些人的说法,不安装VB的人是可以避免这个讨厌的东西的,因为其借助VB下msvbm60.dll来启动C盘根目录下的avp.exe文件(这个自己做过一个傀儡文件做过试验,如果彻底清除VB,尤其是那个文件之后,avp是无法启动的) 网友
中招avp.exe***病毒
weixin_34302798的博客
04-01 114
今天上网时突然感觉网速特慢,像中招的迹象 ,打开任务管理器一看果然是中招了 cpu使用100%更离谱的是进程数居然达到了600多,大部分是avp.exe, 这个avp.exe不就是卡巴斯基的进程吗?可我并没有装卡巴啊!而且还出现这么多,有点发晕。 心急之下赶紧用***清道夫扫描进程,可是竟然没有扫描出***进程!汗!没办法重...
卡巴斯基和趋势科技安全产品的DLL劫持漏洞
NOSEC2019的博客
12-04 296
近期,SafeBreach的安全研究人员发现了卡巴斯基Secure Connection、趋势科技Maximum Security和Autodesk桌面应用的DLL劫持漏洞。攻击者可以利用这些漏洞进行DLL预加载、命令执行和非法提权。 第一个漏洞出现在卡巴斯基Secure Connection(KSDE)的VPN客户端,被标记为CVE-2019-15689,攻击者可以利用其植入并运行任意无签名的...
C21
Cinepic的博客
11-24 316
编写程序,在数列中查找某数,若该数在此数列中,则输出它所在的位置,否则输出no found。 #include<stdio.h> int main() { int num[5]={1,2,3,4,5},i,n; int flag=0; printf("请输入想查找的数\n"); scanf_s("%d",&n); for(i=0;i<n;i++) { if...
一个坏事做绝的U盘病毒 MSInfo 41115BDD.dll 41115bdd.dat
飘的梦客厅
05-15 2463
最近发现一个比较猖獗的 U盘病毒 剑盟的jzb770325001也做了分析 不过个人感觉不太全面 昨天从某网友那获得了样本 分析了一下可以说 能用到的手段都用到了1.破坏安全模式2.不能显示隐藏文件3.结束常见杀毒软件以及常用杀毒工具进程4.监控窗口5.IFEO映像劫持6.可以通过移动存储传播下面就具体分析一下这个病毒File: 8668122F.exeSize: 35912 bytesMD5:
机器狗的新面孔:开机登录时出现0x0000008E蓝屏错误1
Purpleendurer@CSDN
03-14 2415
机器狗的新面孔:开机登录时出现0x0000008E蓝屏错误1endurer 原创2008-03-14 第1版一位朋友的电脑昨天在系统登录前后这段时间里出现0x0000008E蓝屏错误,请偶帮忙检修。一、分析一般当程序引用不正确的内存地址时,可能会引起0x0000008E蓝屏错误。当这种错误发生成系统登录时,那很可能是开机启动项引起的。二、检测为了跳过开机启动项,我们在开机时按住F8
安全技巧:映像劫持与反劫持技术
zhangmiaoping23的专栏
01-14 1537
<br />IFEO的本意是为一些在默认系统环境中运行时可能引发错误的程序执行体提供特殊的环境设定,系统厂商之所以会这么做,是有一定历史原因的,在Windows NT时代,系统使用一种早期的堆栈Heap,由应用程序管理的内存区域)管理机制,使得一些程序运行机制与现在的不同,而后随着系统更新换代,厂商修改了系统的堆栈管理机制,通过引入动态内存分配方案,让程序对内存的占用更为减少,在安全上也保护程序不容易被溢出,但是这些改动却导致了一些程序从此再也无法运作,为了兼顾这些出问题程序,微软以“从长计议”的态度专
c++报错
06-14 712
--------------------------- Microsoft Visual C++ Runtime Library --------------------------- Runtime Error! Program: C:\Program Files\JiangMin\Install\KVOL.exe   This application has requested t
C++报错记录
左左张
06-21 341
复习到心态爆炸,刷一刷Leetcode提提神。 下面是我在写一个链表问题时遇到的错误,记录一下。 Error: member access within null pointer of type ‘struct ListNode’ 后来检查代码,发现是因为我把一个node的地址赋给了一个变量p,然而这个变量p实则已经是NULL了,所以报错了。...
C++操作报错
weixin_45880844的博客
10-30 434
一个小错误 错误 1 error C2679: 二进制“<<”: 没有找到接受“std::string”型的右操作数的运算符(或没有可接受的转换) c:\users\administrator\documents\visual studio 2008\projects\20201029\20201029\person.h 13 20201029 错误提示: 错误原因:C++写了string name;但是没有写#include 的话,会报错;改成#include <string.h&gt
对SysAnti.exe病毒的简单分析
weixin_34321753的博客
03-31 751
周一在2号实验楼323嵌入式实验室用U盘时发现有病毒,重启后发现刚启动时电脑就有病毒,看来还原卡没起作用。一时兴起打包了病毒文件回来研究下。 病毒文件名:SysAnti.exe 文件大小:52.5KB MD5:4B160901566108C6F89F21444CE503E7 PEID查壳信息: PEID显示是ASPack壳,这一款兼容性良好的老牌壳...
2024.7.19 作业
最新发布
qq_64434282的博客
07-19 3016
【代码】2024.7.19 作业。
K8s 很难么?带你从头到尾捋一遍,不信你学不会
民工哥的博客
02-23 8855
点击关注公众号,回复“1024”获取2TB学习资源!为什么要学习 Kubernetes?虽然 Docker 已经很强大了,但是在实际使用上还是有诸多不便,比如集群管理、资源调度、文件管理等...
10天智能锁项目实战第1天(了解单片机STM32F401RET6和C语言基础)
北豼不太皮的博客
02-21 3321
10天智能锁项目实战第1天(了解单片机STM32F401RET6和C语言基础)一、学习目标二、了解单片机STM32F401RET6三、C语言基础 一、学习目标 二、了解单片机STM32F401RET6 4、STM32F401RE特征 三、C语言基础 1.数据型 常用2的次方: 2^7 = 128 2^8 = 256 2^15 = 32768 2^16= 65536 51单片机常见的数据型: char: 占内存1字节 取值范围:-128~127 -2^7 ~ 2
Android开发(1) | Fragment 的应用——新闻应用
Jormungand_V的博客
02-21 6412
文章目录 news_item.xml: <TextView xmlns:android="http://schemas.android.com/apk/res/android" android:id="@+id/news_title" android:layout_width="match_parent" android:layout_height="wrap_content" android:lines="1" android:ellipsize="
系统学习 TypeScript(四)——变量声明的初步学习
编程三昧
02-25 1564
认识了 TypeScript 中的基础型,接下来当然是变量声明的相关学习了,我在这里记录一下我学习过程中的一些总结。
清除浮动的五种方法
weixin_52212950的博客
02-22 2526
为什么要清除浮动?因为往往浮动后的子元素因为脱离了标准流,不能自动撑起父元素的高度,所以会对后续布局产生影响,对此清除浮动不如理解为清除浮动产生的影响更为合理。 例如:我们设置了两个盒子如图所示,粉色为父盒子,只有宽度没有高度,蓝色盒子有宽有高,粉色盒子的高由蓝盒子的高度撑开。 但是给蓝色的子盒子设置了左浮动后,脱离了标准流,无法再撑开粉盒子,可以看到粉盒子高度变成了0; 清除浮动有五种方法: 直接设置父元素的高度 额外标签法 单伪元素法 双伪元素法 ove.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值