镜像劫持是什么病毒，怎么杀？

所谓的镜像劫持，就是在注册表的[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\ CurrentVersion\Image File Execution Options]处新建一个以杀毒软件主程序命名的项，例如Rav.exe。

然后再创建一个键“Debugger="C:\WINDOWS\system32\drivers\ceffen.com”。以后只要用户双击 Rav.exe就会运行OSO的病毒文件ceffen.com，类似文件关联的效果。对这个病毒的清除注意几点：

1、重启进入安全模式下后所有硬盘 *** 作都要右键打开，切记不要双击打开各个分区；

2、进入后要去掉隐藏的系统属性。（这一步要先编辑注册表否则实现不了，病毒已经更改注册表使隐藏的文件选项失效）；

3、找到隐藏的文件后删除即可；

4、手动删除添加的非法 IFEO 劫持项目，重启后即可. 镜像劫持的简单解决方法 如果电脑上有杀毒软件或360什么的但是中了镜像劫持是安全软件无法运行的话其实只需要更改一下安全软件的名字就能不被镜像劫持利用，个人认为这是最适合初学者的最简单办法。

注：

找到安全软件的位置大部分都放在program files文件夹下。 找到名字例如拿360做例子原文件路径X:\Program Files\360safe原名为360Safe.exe 你把名字改为36015safe.exe(名字什么都行不过就不能是安全软件的名字)然后双击此安全软件就会过镜像劫持开始运行，后面的查杀就不需要说什么了吧。这小 *** 作可以解决燃眉之急啦。

单击“开始”、“运行”，输入“regedit”，单击“确定”。

依次展开：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

找到不能正常运行的程序的完整程序名，把与它相同名称的子项删除。

不明白就给我发消息。

参考这个吧，貌似那个已经不属于映像劫持了，属于exe关联破坏了：

手工恢复EXE文件关联方法介绍

有次朋友电脑中了病毒，笔者去看了一下，是个QQ病毒，由于挺长时间没有上网搜集病毒方面消息了，笔者对这些病毒的特性也不甚了解。笔者先打开“进程管理器”，将几个不太熟悉的程序关闭掉，但刚关掉一个，再去关闭另外一个时，刚才关闭的那个马上又运行了。没办法，笔者决定从注册表里先把启动项删除后，再重启试试，结果，笔者刚把那些启动项删除，然后刷新一下注册表，那些启动项又还原了，看来一般的方法是行不通了，上网下载专杀工具后，仍然不能杀掉。笔者知道这是因为病毒正在运行，所以无法删除。

由于这台电脑只有一个 *** 作系统，也没办法在另一个系统下删除这些病毒，这时怎么办呢？如果大家也遇到这种情况时，笔者向大家推荐一种方法。

第一步：在“开始→运行”中输入CMD，打开“命令提示符”窗口。

第二步：输入ftype exefile=notepad.exe %1，这句话的意思是将所有的EXE文件用“记事本”打开。这样原来的病毒就无法启动了。

第三步：重启电脑，你会看见打开了许多“记事本”。当然，这其中不仅有病毒文件，还有一些原来的系统文件，比如：输入法程序。

第四步：右击任何文件，选择“打开方式”，然后点击“浏览”，转到Windows\System32下，选择cmd.exe，这样就可以再次打开“命令提示符”窗口。

第五步：运行ftype exefile="%1" %*，将所有的EXE文件关联还原。现在运行杀毒软件或直接改回注册表，就可以杀掉病毒了。

第六步：在每一个“记事本”中，点击菜单中的“文件→另存为”，就可看到了路径以及文件名了。找到病毒文件，手动删除即可，但得小心，必须确定那是病毒才能删除。建议将这些文件改名并记下，重启后，如果没有病毒作怪，也没有系统问题，再进行删除，

◆最后介绍一下Ftype的用法

在Windows中，Ftype命令用来显示及修改不同扩展名文件所关联的打开程序。相当于在注册表编辑器中修改“HKEY_CLASSES_ROOT”项下的部分内容一样。

Ftype的基本使用格式为：Ftype [文件类型]=[打开方式/程序]

比如：像上例中的ftype exefile=notepad.exe %1，表示将所有文件类型为EXE(exefile表示为EXE类型文件)的文件都通过“记事本”程序打开，后面的%1表示要打开的程序本身(就是双击时的那个程序)。

ftype exefile="%1" %*则表示所有EXE文件本身直接运行(EXE 可以直接运行，所以用表示程序本身的%1即可)，后面的%*则表示程序命令后带的所有参数(这就是为什么EXE文件可以带参数运行的原因)。

系统被镜像劫持后会导致注册表冗余文件过多而导致系统卡顿。

程序不管放在什么位置，打开该程序的时候，都会出现该程序无法运行或者指向另一个程序的情况，但是如果给该程序改名后便发现可以正常运行了。

“映像劫持”，也被称为“IFEO”，在WindowsNT架构的系统里，IFEO的本意是为一些在默认系统环境中运行时可能引发错误的程序执行体提供特殊的环境设定。当一个可执行程序位于IFEO的控制中时，它的内存分配则根据该程序的参数来设定，而WindowsN T架构的系统能通过这个注册表项使用与可执行程序文件名匹配的项目作为程序载入时的控制依据，最终得以设定一个程序的堆管理机制和一些辅助机制等。

---