中毒后杀毒软件无法启动的原因

相信遇到中毒后杀软打不开的用户不在少数，前两天就看到论坛里有朋友问中毒后瑞星开不了。通常情况呢开机本来应该自启动的不启动了，手动开的话是没反映的（软件质量问题？投诉下）   其实说道底呢是一种被通常称之为“映像劫持”的东西在作怪。它的特点就是你运行一个东西的结果和你的预期有着较大的差距，比如眼皮底下的某个程序怎么双击都没反映，或者你开了QQ 结果弹出了一个不知道什么东西。   

    关于“映像劫持”的技术原理如果有兴趣的可以M我深入讨论交流，这里为了方便各位小菜我简洁的介绍下大概：

    映像劫持：
    全称：IFEO(Image File Execution Options)
     IFEO的本意是为了某些程序使用了旧的堆栈管理机制，而在新系统里无法正常运行甚至出现非法操作，为了让系统为其提供旧的堆栈管理机制，我们需要IFEO来介入，说到底就是早期堆栈管理机制和现在的不同，由此出现了IFEO。

    IFEO包括一些参数，其中今天只讨论一个罪魁祸首“Debugger” 其实IFEO本来是个好东西，确切说应该是个不错的技术，但是导致今天被恶意利用的元凶就是这个DEBUGGER参数，这个参数可谓作用匪夷所思：系统如果发现某个程序文件在IFEO列表中，它就会首先来读取Debugger参数，如果该参数不为空，系统则会把Debugger参数里指定的程序文件名作为用户试图启动的程序执行请求来处理，而仅仅把用户试图启动的程序作为Debugger参数里指定的程序文件名的参数发送过去。估计这堆概念就足够好多人晕了    我解释下这个概念：两个人要吃午饭了，一个人A（这个代表用户）委托另一个B（代表系统）帮忙带午饭（启动程序的请求）回来，可是B在买完午饭回来的路上看见另一个办公室里的一个倾心已久的MM（Debugger参数指定的程序文件）一个人在哪里，于是B拿着本来给A的午饭跑到MM那里屁殿去了，而最终系统执行的结果自然就是那个MM（Debugger参数指定的程序文件）了。  不知道说道这里大家有没一个比较直观的了解了。说白了就是你的请求被Debugger参数给篡改了。

     
    到这里各位应该明白了为什么杀软无法启动了，只要在你的注册表HKEY_LOCAL_MACHINE SOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options里建立一个已杀软的执行程序命名的子键，加入一个空的Debugger键值，你的杀软就跑不起来了。引申一下，如果我在Debugger键值里加入一句“C:Program FilesInternet ExplorerIEXPLORE.EXE” 那你运行的是杀软，跑出来的成了浏览器。够恶搞吧呵呵。


    防范“映像劫持”
一. 判断你的机器是否被劫持
最简单的方法是逐个运行你常用的安全工具，检查是否出现“无法找到文件”或者干脆直接没了反应的。当然如果你执行了记事本结果跳出来QQ，那就不必我多说了。
    只要注册表编辑器regedit.exe、regedt32.exe没有被劫持，那我们直接用它进入“HKEY_LOCAL_MACHINE SOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options”这个注册表项并展开里面的子项列表一个个看下来确认是否出现Debugger参数或其他可能影响程序运行的堆管理参数，便可得知机器是否被劫持。当然有些项目的Debugger参数是正常，你自己用的杀软名字总该知道把，对应的项检查下有无Debugger就行了
如果注册表编辑器被劫持了怎么办？ 改个名就能用了啊……

解决方法：《参考》

电脑中毒后无法打开杀毒软件的网业怎么办? 

中了映像劫持（IFEO）类的病毒，映像位于注册表的

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options 由于这个项主要是用来调试程序用的，对一般用户意义不大。默认是只有管理员和local system有权读写修改。

解除方法:

方法一:

1) 开始 - 运行 - regedit 回车

2) 找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options 

3) 把Image File Execution Options 下面的项目全部清除

方法二:

1) 开始 - 运行 - cmd 回车

2) reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe" /f 

其中上面的taskmgr.exe就是要恢复执行的任务管理器

如果还不行,请看下面的处理方法:
首先，下载安装360安全卫士（现在能运行更好，直接查杀恶意软件和木马。不能运行看下面），在电脑组策略里关闭所有磁盘的自动运行（如果不会就使用工具关闭，很多病毒专杀工具就自带这个功能），重启计算机按住F8 ，进入安全模式，使用360安全卫士进行恶意软件和木马的查杀，如果360不能运行，就运行360安装目录下的“修复工具”，点击“安全启动360”，杀完后用杀毒工具再进行全盘杀毒。
     如果上面方法处理不了，要重新安装系统，断开网络，
一、在电脑组策略里关闭所有磁盘的自动运行。
二、放入系统安装盘，重启电脑。
三、设置光驱为第一启动（按住DEL，进入BIOS进行设置）。
四、根据光盘运行提示安装系统。
五、进入系统，千万不要点击除系统盘外的任何其他硬盘，安装杀毒软件，连接网络（可以先用360安全卫士查杀一下），只更新杀毒软件，进行全盘杀毒。