win8 任务管理器、管理之类的均无法打开

luckmyu

但是，去sys32下面寻找还是有这些文件的，双击打开仍然是这些提示
rt
打开之后，出现下列状况



像计算机—属性——左边的选项都无法打开

lonelyarrow

TaskMgr.EXE找不到文件，有可能是被映象劫持劫持了。

　所谓的映像劫持（IFEO）就是Image File Execution Options，位于注册表的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options由于这个项主要是用来调试程序用的，对一般用户意义不大。默认是只有管理员和local system有权读写修改。
　　通俗一点来说，就是比如我想运行QQ.exe，结果运行的却是FlashGet.exe，也就是说在这种情况下，QQ程序被FLASHGET给劫持了，即你想运行的程序被另外一个程序代替了。
　　映像劫持病毒
　　虽然映像劫持是系统自带的功能，对我们一般用户来说根本没什么用的必要，但是就有一些病毒通过映像劫持来做文章，表面上看起来是运行了一个程序，实际上病毒已经在后台运行了。
　　大部分的病毒和木马都是通过加载系统启动项来运行的，也有一些是注册成为系统服务来启动，他们主要通过修改注册表来实现这个目的，主要有以下几个方面：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

参考http://baike.baidu.com/view/1181867.htm

lxwluke

提醒楼主，我们版区不允许自占沙发，请注意！

沧海ふ无涯

lonelyarrow 发表于 2012-11-17 07:07
TaskMgr.EXE找不到文件，有可能是被映象劫持劫持了。

参考http://baike.baidu.com/view/1181867.htm

不对。。。。映像劫持后不会有这个提示的。。。。。

而且这玩意太古老了吧。。。。ＡＶ终结者的事儿了。。。。２００６年吧


８０％的概率是文件被删除了。。。。

luckmyu

lxwluke 发表于 2012-11-17 09:10
提醒楼主，我们版区不允许自占沙发，请注意！

我不是在这个区发的贴。。。下次注意

luckmyu

沧海ふ无涯 发表于 2012-11-17 09:12
不对。。。。映像劫持后不会有这个提示的。。。。。

而且这玩意太古老了吧。。。。ＡＶ终结者的事儿了 ...

但是我在sys32下面找到了。打开也提示图上的警告

我准备把regedt32.exe改成regedt32.com。他还是提示我文件不存在。。。

我当时只是解压了，并没有运行。金山提示是病毒。
附上火眼报告
http://fireeye.ijinshan.com/analyse.html?md5=91889A1E6EF65D2DAC6A3671E4A85131#full

沧海ふ无涯

luckmyu 发表于 2012-11-17 13:50
但是我在sys32下面找到了。打开也提示图上的警告

我准备把regedt32.exe改成regedt32.com。他还是提示 ...

确定是恶意程序   杀杀毒，提示没找到，是这个程序故意的，不是系统的消息

luckmyu

沧海ふ无涯 发表于 2012-11-17 14:27
确定是恶意程序   杀杀毒，提示没找到，是这个程序故意的，不是系统的消息

但是用金山杀不到啊

程序我已经删除了

沧海ふ无涯

luckmyu 发表于 2012-11-17 14:45
但是用金山杀不到啊

程序我已经删除了

PE下全盘扫描。