周一去客户那里处理一台服务器说是被人攻破中了病毒，查看服务器上只安装了一个微点的杀毒软件（以前没有听说过），用惯了360下载并安装，安装过程中提示一个文本文件（一个文本文件语言不通顺，怀疑是人为的，根据文件名jingao.txt找到了执行文件jingao.exe将其删掉），双击快捷方式系统提示文件360safe未找到，我当时感到很奇妙，路径和文件名都没有问题，而且也有那个文件，怀疑***做的手脚，打开360安装的所在目录点击360safe文件问题依旧，把文件名字修改一下，居然起来了。然后查杀发现的确有一个启动项jingao.exe(已经被我删除了。)通过360查杀发现问题，但是处理不掉，查处来的问题是镜像劫持。安全模式下也试过不行。上网搜索发现以下内容。

 

IIS7网站监控工具可以做到提前预防各类网站劫持，并且是免费在线查询，适用于各大站长，有域名的人群，政府网站，学校，公司，医院等网站。通过查询知道域名是否健康等等。同时它可以让你知道网站是否被黑，被入侵，被改标题，被挂黑链等等功能，让你作为站长能清楚知道自己网站的健康情况！

它可以做到24小时定时监控： 

1、网站是否被黑

2、网站是否被劫持

3、域名是否被墙

4、DNS是否被污染

5、独家检测网站真实的完全打开时间

检测地址：IIS7网站检测

 

 

        镜像劫持的意义

 

  在针对杀毒软件方面，OSO病毒还采用了一种新技术，这种技术被称为镜像劫持，通过这种技术也能够将杀毒软件置于死地。

 

  所谓的镜像劫持，就是在注册表的[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\ CurrentVersion\Image File Execution Options]处新建一个以杀毒软件主程序命名的项，例如Rav.exe。然后再创建一个子键“Debugger="C:\WINDOWS\system32\drivers\ceffen.com”。以后只要用户双击 Rav.exe就会运行OSO的病毒文件ceffen.com，类似文件关联的效果。

 

 

  如果电脑上有杀毒软件或360什么的但是中了镜像劫持是安全软件无法运行的话，

 

  其实只需要更改一下安全软件的名字就能不被镜像劫持利用，个人认为这是最适合初学者的最简单办法。

 

  首先找到安全软件的位置大部分都放在program files文件夹下。 找到名字例如拿360做例子原文件路径X:\Program Files\360safe原名为360Safe.exe 你把名字改为36015safe.exe(名字什么都行不过就不能是安全软件的名字)然后双击此安全软件就会过镜像劫持开始运行，后面的查杀就不需要说什么了吧。这小操作可以解决燃眉之急啦。    问题解决了，在网上搜到的文章在

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options，下找到被禁止的启动文件名，删除即可。

 

       但是病毒不会让你轻而易举的将键值删掉，最好下载了一个金山的工具将其删掉。