所谓的镜像劫持，就是在注册表的[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\ CurrentVersion\Image File Execution Options]处新建一个以杀毒软悄汪件主程序命名的项，例如Rav.exe。

然后再创建一个键“Debugger="C:\WINDOWS\system32\drivers\ceffen.com”。以后只要用户双击 Rav.exe就会运行OSO的塌运皮病毒文件ceffen.com，类似文件关联的效果。对这个病毒的清除注意几点：团差

1、重启进入安全模式下后所有硬盘 *** 作都要右键打开，切记不要双击打开各个分区；

2、进入后要去掉隐藏的系统属性。（这一步要先编辑注册表否则实现不了，病毒已经更改注册表使隐藏的文件选项失效）；

3、找到隐藏的文件后删除即可；

4、手动删除添加的非法 IFEO 劫持项目，重启后即可. 镜像劫持的简单解决方法 如果电脑上有杀毒软件或360什么的但是中了镜像劫持是安全软件无法运行的话其实只需要更改一下安全软件的名字就能不被镜像劫持利用，个人认为这是最适合初学者的最简单办法。

注：

找到安全软件的位置大部分都放在program files文件夹下。 找到名字例如拿360做例子原文件路径X:\Program Files\360safe原名为360Safe.exe 你把名字改为36015safe.exe(名字什么都行不过就不能是安全软件的名字)然后双击此安全软件就会过镜像劫持开始运行，后面的查杀就不需要说什么了吧。这小 *** 作可以解决燃眉之急啦。

之所以病毒释放usp10.dll，是用了DLL劫持技术，该病毒全盘查找有exe文件的文件夹，释放usp10.dll 当exe运行时，磨启系统会根旦含据他的导入表为他加载他需要的DLL,而查找这个DLL是有优先级的，即先从当前目录中查找，如果当前目录不存在，再从windows\system32\中查找，病毒就通过了这点小技巧劫持了系统的usp10.dll，运行了自身。 这也是病毒实行反复感染的手段，即使你重装了系统盘，当你运行其他的盘的可执行文件时模游笑，就运行了病毒，我们可以破坏这个加载次序来屏蔽该病毒。也使所有的EXE恢复~

方法：新建一个记事本文档，输入下面的代码，保存reg格式，导入文件就ok了，重新启动电脑，这样病毒就不会通过其他的可执行文件感染了

Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\KnownDLLs]

"usp10"="usp10.dll"

"DllDirectory"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\ 00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,00,00

hosts文件被劫持，上网就会异常，打不开正常的网站，还会打开不良网站。对于这个问题该怎么解决呢?下面我就为大家介绍一下具体的解决 方法 吧，欢迎大家参考和学习。

具体的原因分析解决兄御方法：

1、hosts文件是一个没有扩展名的文件，通常的路径在C:\Windows\system32\drivers\etc\文件夹内。

该文件的作用是加快域名解析，尤其是经常访问的网站，用户可以通过在Hosts中配置域名和IP的映射关系，提高域名解析速度。由于有了映射关系，输入域名计算机就能很快解析出IP，而不用请求网络上的DNS服务器。由此可见hosts权限要高于DNS服务器解析。正因为这个缘故，往往会被病毒、木马、不良程序所劫持而利用。

2、屏蔽网站(域名重定向)：

有很多网站不经过用户同意就将各种各样的插件安装到计算机中，其中有些是木马或病毒。对于这些网站可以利用Hosts文件的权限，把该网站的域名映射到错误的IP或本地计算机的IP，这样就不用访问不良网站了。在WINDOWS系统中，约定 127.0.0.1 为本地计算机的IP地址, 0.0.0.0是错误的IP地址羡清岩。下图是一个被劫持的hosts文件。

3、如果，在Hosts中，写入以下内容：

127.0.0.1 # 要屏蔽的网站 A

0.0.0.0 # 要屏蔽的网站 B

这样，计算机解析域名A和 B时，就解析到本机IP或错误的IP，达到了屏蔽网站A 和B的目的。下图是修改后的hosts文件(屏蔽了不良网站)。

4、因为hosts文件是隐藏文件，如果找不到，可以将系统文件显示即可，步骤正岩是：

开始→控制面板→文件夹选项→查看→去掉【隐藏受保护的 *** 作系统 文件】前的对勾，选中【隐藏文件和文件夹】→【显示所有文件和文件夹】→确定

5、不同的 *** 作系统，可能hosts所在位置不一样。可以建立一个批处理文件，双击即可打开hosts文件，对其进行处理，这样比较便捷。步骤是：使用鼠标右键点击桌面空白处，在d出的菜单中点选新建→文本文档

6、复制(Ctrl+C)下面这句命令，将其黏贴(Ctrl+V)在新建的记事本中。notepad "%SystemRoot%\system32\drivers\etc\hosts"ipconfig /flushdnsexit

7、文件→另存为： hosts.bat →保存

8、需要查看的时候，双击这个批处理文件即可查看(乱码是因为其中有中文)。

9、如果hosts文件被劫持，可以清空文件中的所有内容，之后粘贴一句：127.0.0.1 localhost 保存为隐藏文件即可。

---