RiskWare。IFEOHijack

简短的个人介绍

RiskWare。IFEOHijack是一个通用的检测程序，它通过使用以下注册表项为其他可执行程序设置调试器:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\ CurrentVersion\Image文件执行选项\{拦截可执行文件的名称}

当一个可执行文件在IMAGE FILE EXECUTION OPTIONS键下列出，并且它有一个调试器值设置，Windows总是检查该键下的valuedata是什么，并启动“调试器”而不是可执行文件。

一些使用这种方法的合法程序已经被列入了白名单。

感染类型及来源

RiskWare。IFEOHijack可能是更严重问题的标志。通过为可执行文件设置调试器，基本上可以拦截对该可执行文件的任何调用，并运行另一个可执行文件。通常为taskmanager.exe设置调试器。

由RiskWare标记的调试器设置。IFEOHijackcan be made by legitimate substitutes for the Windows Task Manager, but it can also be done by malware that doesn’t want the user to find a suspicious process in the list shown by the Task Manager.

之后

风险软件的存在。IFEOHijackshould be grounds for an investigation. Users should look at the intercepted executable and the executable set as a debugger to see whether there’s reason to take further action. The Malwarebytes log will tell you which executable was intercepted, and by looking in the registry, you can see the executable set as a debugger.

保护

RiskWare。IFEOHijack是一个“仅删除”检测名称。这意味着用户必须自己进行调用，无论是否删除Malwarebytes标记的程序。必威平台APP如果用户希望保留该程序，他们可以将其添加到除外程序中。

修复

必威平台APP恶意软件可以检测和删除RiskWare。IFEOHijack没有进一步的用户交互。

1. 请下载伪必威平台APP你的桌面。
2. 双击MBSetup.exe然后按照提示安装程序。
3. 当你的必威平台APP伪的窗户安装完成后，程序打开到欢迎Malwarebytes屏幕。必威平台APP
4. 点击开始按钮。
5. 点击扫描开始威胁扫描．
6. 点击检疫移除发现的威胁。
7. 如果提示完成删除过程，请重新启动系统。

添加一个排斥

当RiskWare。IFEOHijackis detected on your computer, Malwarebytes for Windows does not know if it was authorized. Optimization software, malware, and Potentially Unwanted Programs (PUPs) are known to make these types of changes, hence they are regarded as riskware.

有必威平台APP伪的窗户忽略RiskWare。IFEOHijack, you must add RiskWare.IFEOHijack to the允许列表．以下是如何做到这一点。

1. 当RiskWare。IFEOHijackappears in the list of Scan results.
2. 取消选中与RiskWare.IFEOHijack相关的条目。
3. 然后点击下一个．
4. 您将看到一个提示符，提供几个选项。
5. 选择总是忽略将添加RiskWare。IFEOHijack到允许列表．
6. 当您决定不再忽略它们时，可以将它们删除。
7. 当RiskWare。IFEOHijackis on the允许列表它将不再显示在您的扫描结果。

必威平台APP伪删除日志

Ma必威平台APPlwarebytes的删除日志如下所示:

必威平台APPMalwarebytes www.malwarebytes.com -Log Details- Scan Date: 8/23/19 Scan Time: 1:09 PM日志文件:7b575d06-c596-11e9-a4f2-00ffdcc6fdfc。json - software Information- Version: 3.8.3.2965 Components Version: 1.0.613 Update Package Version: 1.0.12151 License: Premium -System Information-操作系统:Windows 7 Service Pack 1 CPU: x64 File System: NTFS User: Metallica - pc \Metallica -Scan Summary-扫描类型:威胁扫描发起用户:手动扫描结果:已完成扫描对象:236215检测到的威胁:4个威胁隔离:4时间经过:6分钟51秒-扫描选项-内存:启用启动:启用文件系统:启用档案:启用Rootkits:启用试探:启用PUP:检测PUM:检测-扫描详细信息-进程:0(未检测到恶意项目)模块:0(未检测到恶意项目)注册表项:2风险软件。IFEOHijack, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\WINUPDATE.EXE, Delete-on-Reboot， [6321]， [250029]，1.0.12151IFEOHijack, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\WINUPDATE.EXE, Delete-on-Reboot, [6321], [250029],1.0.12151 Registry Value: 2 RiskWare.IFEOHijack, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\WINUPDATE.EXE|DEBUGGER, Delete-on-Reboot, [6321], [250029],1.0.12151 RiskWare.IFEOHijack, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\WINUPDATE.EXE|DEBUGGER, Delete-on-Reboot, [6321], [250029],1.0.12151 Registry Data: 0 (No malicious items detected) Data Stream: 0 (No malicious items detected) Folder: 0 (No malicious items detected) File: 0 (No malicious items detected) Physical Sector: 0 (No malicious items detected) WMI: 0 (No malicious items detected) (end)