-

 找回密码
 注册

QQ登录

只需一步,快速开始

查看: 1457|回复: 8

[求助]对付“AV终结者”病毒良方

[复制链接]
发表于 2007-7-21 18:20 | 显示全部楼层 |阅读模式
朋友的电脑中招了,AV终结者!我已经删除重建了除用户文件盘之外的所有分区,格式化并重装系统N遍,专杀工具查到用户文件盘(d盘)就会被终止,试验了从卡巴到诺顿到江民到瑞星……的所有防病毒软件,统统败下阵来![em06][em06][em06]向大家求助,望各位高手不吝赐教!
回复

使用道具 举报

发表于 2007-7-21 18:53 | 显示全部楼层
<font color="#0000ff"><p></p><p>我不懂这个,但我帮你发了两个求助贴,看看人家有没有办法,呵呵</p></font><p><font color="#0000ff">下面是我发求助贴的连接</font></p><p><u><font color="#0000ff"><a href="http://softbbs.pconline.com.cn/topic.jsp?tid=7357255">http://softbbs.pconline.com.cn/topic.jsp?tid=7357255</a></font></u><a href="http://softbbs.pconline.com.cn/topic.jsp?tid=7357255&amp;pageNo=1&amp;aid=43228812#floor1"></a></p><p></p><p><a href="http://softbbs.pconline.com.cn/topic.jsp?tid=7357254">http://softbbs.pconline.com.cn/topic.jsp?tid=7357254</a></p><p></p>
回复

使用道具 举报

 楼主| 发表于 2007-7-21 19:26 | 显示全部楼层

谢谢业版

我已经用上了网上搜来的办法和最新版——金山4.2专杀,都不管用,我怀疑该病毒又有新的变种,被我给碰上了!郁闷!
回复

使用道具 举报

发表于 2007-7-21 19:58 | 显示全部楼层
<div class="topic_content" id="contentHTML42184435" style="PADDING-RIGHT: 5px; PADDING-LEFT: 5px; FONT-SIZE: 14px; PADDING-BOTTOM: 5px; LINE-HEIGHT: 140%; PADDING-TOP: 5px;">下面是这方面的一个帖子:http://softbbs.pconline.com.cn/topic.jsp?tid=7222177</div><div class="topic_content" id="contentHTML42184435" style="PADDING-RIGHT: 5px; PADDING-LEFT: 5px; FONT-SIZE: 14px; PADDING-BOTTOM: 5px; LINE-HEIGHT: 140%; PADDING-TOP: 5px;">内容如下:</div><div class="topic_content" id="contentHTML42184435" style="PADDING-RIGHT: 5px; PADDING-LEFT: 5px; FONT-SIZE: 14px; PADDING-BOTTOM: 5px; LINE-HEIGHT: 140%; PADDING-TOP: 5px;">最近“帕虫”(瑞星命名),AV终结者(金山命名)U盘寄生虫(江民命名)疯狂传播<br/>主要症状是&nbsp;打不开杀毒软件,防火墙,以及某些杀毒辅助的小工具,打不开带有“杀毒”“反病毒”等字样的窗口。安全模式被破坏,不能显示隐藏文件,下载木马.....等<br/>这是继熊猫烧香后又一次大范围的病毒爆发<br/>其实这些病毒就是我们所称的随机7位字母,8位数字和字母组合的病毒<br/>主要通过U盘等移动存储传播<br/>网上也有了一些专杀和手动查杀方法,为了方便大家,给大家总结一下,网上目前流行的专杀和手动查杀的地址<br/>如果有一定水平的话可以推荐手动查杀<br/><br/>在查找资料同时&nbsp;首先应该判断你是属于哪种情况<br/>方法:打开任务管理器&nbsp;查找类似不规则的7位字母(两个)的进程(需要熟悉计算机常见进程)<br/>可以被排除的常见进程如下:<br/>taskmgr.exe,explorer.exe,svchost.exe(多个),lsass.exe,services.exe,winlogon.exe,iexplore.exe,smss.exe..<br/>如果发现了两个不规则的7位字母的进程&nbsp;那么你就中了那个7位随机字母的病毒<br/>可以参考如下文章<br/>http://hi.baidu.com/%B9%C2%B6%C0%B8%FC%BF%C9%BF%BF/blog/item/c7ff5731702b4718ebc4afd9.html<br/>http://hi.baidu.com/%B9%C2%B6%C0%B8%FC%BF%C9%BF%BF/blog/item/512e9d1b2ccc1a188618bfb8.html<br/>http://hi.baidu.com/%B9%C2%B6%C0%B8%FC%BF%C9%BF%BF/blog/item/40043130296b7798a9018eea.html<br/>http://hi.baidu.com/%B9%C2%B6%C0%B8%FC%BF%C9%BF%BF/blog/item/67186ca74e1b0e94d1435802.html<br/>http://hi.baidu.com/%B9%C2%B6%C0%B8%FC%BF%C9%BF%BF/blog/item/5991e5ef9a17b737acafd539.html<br/>http://hi.baidu.com/newcenturysun/blog/item/683c772707ab2c02918f9dc9.html<br/>http://hi.baidu.com/newcenturysun/blog/item/db3da71be85d3e188618bf5a.html<br/><br/>如果没有发现两个不规则的7位字母的进程&nbsp;你就可能中了那个8位随机字母数字组合的病毒<br/>可以参考如下文章<br/>http://hi.baidu.com/newcenturysun/blog/item/2ad3d7cedcea3c0292457e2c.html<br/>http://hi.baidu.com/newcenturysun/blog/item/76c1e41ffb59c4f4e0fe0bc6.html<br/>http://hi.baidu.com/newcenturysun/blog/item/3f7b424e42983908b3de0596.html<br/>http://hi.baidu.com/%B9%C2%B6%C0%B8%FC%BF%C9%BF%BF/blog/item/4f43b02fa60ec3391f308921.html<br/>http://hi.baidu.com/%B9%C2%B6%C0%B8%FC%BF%C9%BF%BF/blog/item/ff17fa07495a3ccc7b8947ba.html<br/>http://hi.baidu.com/%B9%C2%B6%C0%B8%FC%BF%C9%BF%BF/blog/item/c14b171206b97850f819b885.html<br/>http://hi.baidu.com/%B9%C2%B6%C0%B8%FC%BF%C9%BF%BF/blog/item/230a82af1f6619cd7cd92a9d.html<br/><br/>使用金山毒霸的用户可以参考:http://hi.baidu.com/litiejun/blog/item/479cdaed7d4ff84e78f055f0.html<br/><br/>综合查杀方法:http://hi.baidu.com/litiejun/blog/item/479cdaed7d4ff84e78f055f0.html<br/>如果不太熟悉手工查杀&nbsp;那么可以试试瑞星和金山的专杀<br/>瑞星针对此病毒的专杀叫做橙色八月<br/>下载地址http://it.rising.com.cn/Channels/Service/2006-08/1154786729d36873.shtml<br/>金山对于此病毒的专杀叫做AV终结者专杀<br/>http://down.www.kingsoft.com/db/download/othertools/DubaTool_AV_Killer.COM<br/>http://duba-011.duba.net/duba/kavtools/DubaTool_AV_Killer.COM<br/>http://down.www.kingsoft.com/db/download/othertools/DubaTool_AV_Killer.COM<br/>在使用专杀杀毒后我们还需要作一些后续的恢复系统的工作<br/>一般恢复系统工作步骤如下<br/>1.恢复IFEO&nbsp;映像劫持<br/>可以使用autoruns这个软件&nbsp;http://www.skycn.com/soft/17567.html<br/>由于这个软件也被映像劫持了&nbsp;所以我们要把他改个名字<br/>打开这个软件后&nbsp;找到Image&nbsp;hijack&nbsp;(映像劫持)<br/>删除除了Your&nbsp;Image&nbsp;File&nbsp;Name&nbsp;Here&nbsp;without&nbsp;a&nbsp;pathSymbolic&nbsp;Debugger&nbsp;for&nbsp;Windows&nbsp;2000&nbsp;Microsoft&nbsp;Corporation&nbsp;c:\windows\system32\ntsd.exe&nbsp;以外的所有项目<br/>也可以使用空指针的IFEO映像劫持修复工具&nbsp;<br/>http://www.mopery.cn/mopery/IFEO重定向劫持修复工具.exe<br/>2.恢复显示隐藏文件<br/>把下面的&nbsp;代码拷入记事本中然后另存为1.reg文件<br/>Windows&nbsp;Registry&nbsp;Editor&nbsp;Version&nbsp;5.00<br/><br/>[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]<br/>"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"<br/>"Text"="@shell32.dll,-30500"<br/>"Type"="radio"<br/>"CheckedValue"=dword:00000001<br/>"ValueName"="Hidden"<br/>"DefaultValue"=dword:00000002<br/>"HKeyRoot"=dword:80000001<br/>"HelpID"="shell.hlp#51105"<br/><br/>双击1.reg把这个注册表项导入<br/>3.恢复安全模式<br/>下载sreng<br/>http://www.kztechs.com/sreng/download.html<br/>打开sreng&nbsp;<br/>系统修复&nbsp;高级修复&nbsp;点击修复安全模式&nbsp;在弹出的对话框中点击是<br/>4..最后也是最重要的&nbsp;就是删除各个分区下面的autorun.inf和7位或者8位随机数字母的exe<br/>注意:一定不要双击&nbsp;也不能右键打开&nbsp;一定用winrar删除<br/><br/>对于下载的木马我们需要用杀毒软件全盘杀毒或者到论坛求助<br/>希望大家能够针对自己的情况参考如上所述的专杀和手工查杀方法顺利干掉可恶的病毒!!! </div>
回复

使用道具 举报

发表于 2007-7-21 20:03 | 显示全部楼层
还是到我发的帖子上去看吧,后面还有回复,看看效果看
回复

使用道具 举报

发表于 2007-7-21 20:03 | 显示全部楼层
这个连接:http://softbbs.pconline.com.cn/topic.jsp?tid=7357255&amp;pageNo=-1&amp;aid=43230537#floor5
回复

使用道具 举报

 楼主| 发表于 2007-7-22 17:19 | 显示全部楼层
最近AV终结者病毒很流行,许多人都中了,杀毒软件打不开,只格C盘重装也会马上又中毒.因为AV终结者也在不断的更新,所以杀毒软件和专杀总是落后一步,不能查杀.事实上AV终结者并不是指某一个特定的病毒,其本身也没有远程控制和盗号的功能.AV终结者的作用就是下载一个或几个指定网址的木马,但AV终结者给自已&nbsp;设定许多保护措施,它会关闭大多数杀毒软件和杀毒辅助软件,并且在各个分区生成autorun.inf以及写入注册表,生成映像劫持等等."永久下载者"就是AV终结者中比较典型的一种,上面提过AV终结者并不是指某一特定的病毒,所以这里只能提供手动杀毒思路,完全按照我的杀毒步骤并不一&nbsp;定就能完全清除.所以这个教程适合对电脑比较了解的人.在文章最后我也会给出比较适合初学者的只格C盘重装系统不会马上再中毒的方法.<br/><br/>好,下面开始动手.<br/>工欲善其事,必先利其器.所以,先准备一下会用到的三个杀毒辅助软件<br/>1.Icesword&nbsp;II&nbsp;1.20(冰刃)<br/>下载地址:<a href="http://www.crsky.com/soft/6947.html" target="_blank"><u><font color="#0000ff">http://www.crsky.com/soft/6947.html</font></u></a><br/>2.Autoruns<br/>下载地址:<a href="http://www.crsky.com/soft/5285.html" target="_blank"><u><font color="#0000ff">http://www.crsky.com/soft/5285.html</font></u></a><br/>3.SREng<br/>下载地址:<a href="http://www.kztechs.com/sreng/download.html" target="_blank"><u><font color="#810081">http://www.kztechs.com/sreng/download.html</font></u></a><br/>对于这个病毒,Icesword和Autoruns是主力,原因在后面会提到.<br/>如果在中毒期间曾使用过闪盘移动硬盘之类的,最好接上一起杀,免得刚杀完一插闪盘又中毒.<br/>一&nbsp;<br/>先把这三个软件改名,名字改为无规则的就行了.比如我这里,Icesword改为ii.exe,Autoruns改名为aa.exe,SREng改名为ss.exe<br/>如图1.<br/><b>图1</b><br/><a href="http://softbbs.pconline.com.cn/viewpic.jsp?imgUrl=http%3A%2F%2Fbbs.crsky.com%2F1128632305%2FMon_0706%2F22_134046_0667cd2450357b8.jpg" target="_blank"><img alt="按此在新窗口浏览图片" src="http://bbs.crsky.com/1128632305/Mon_0706/22_134046_0667cd2450357b8.jpg" border="0"/></a>
        <br/><br/>很多人都说中了这个病毒上面的三个软件都打不开,原因是病毒对常用杀毒软件和杀毒辅助软件进行了映像劫持,运行这些软件不改名的话,就等于执行了病毒文件.我们可以先运行Autoruns(已经改名为aa.exe了,下面我只提软件名字,不再提示是改名前的名字了).<br/>如图2.<br/><b>图2</b><br/><a href="http://softbbs.pconline.com.cn/viewpic.jsp?imgUrl=http%3A%2F%2Fbbs.crsky.com%2F1128632305%2FMon_0706%2F22_134046_b3ba479c199fda4.jpg" target="_blank"><img alt="按此在新窗口浏览图片" src="http://bbs.crsky.com/1128632305/Mon_0706/22_134046_b3ba479c199fda4.jpg" width="524" border="0"/></a>
        <br/>&nbsp;<br/>发现了什么?呵呵,常见杀毒软件和辅助软件的名字基本都在这儿了.只要你运行和这个列表里名字相同的软件,就会自动转向运行病毒文件.<br/>二<br/>运行Icesword,寻找病毒进程,永久下载者有两个进程,互相保护,使用Windows的任务管理器是关不掉它的进程的.所以这里要求是对电脑较了解的人,要不然不知道病毒进程是哪些.因为AV终结者有很多类型,所以需要自已判断哪些是病毒进程.<br/>如图3,<br/><b>图3</b><br/><a href="http://softbbs.pconline.com.cn/viewpic.jsp?imgUrl=http%3A%2F%2Fbbs.crsky.com%2F1128632305%2FMon_0706%2F22_134046_89ceef0d6411c96.jpg" target="_blank"><img alt="按此在新窗口浏览图片" src="http://bbs.crsky.com/1128632305/Mon_0706/22_134046_89ceef0d6411c96.jpg" width="524" border="0"/></a>
        <br/><br/>找到病毒进程,首先记下后面病毒的路径.按住Ctrl把两个进程都选上,点右键结束进程,因为两个进程同时关闭,所以病毒的进程保护就不起作用了.刷新几次,看看有没有新的病毒进程,如果没有,就可以进行下一步了.<br/>三<br/>点Icesword左侧的"文件",找到上面记下的路径里的两件文件,删除.然后找到C:D:E:等各个分区根目录下的autorun.inf和*****.exe,*****.exe就是autorun.inf里面写着的程序名,我这里是epijcxh.exe.<br/>如图4.<br/><b>图4</b><br/><a href="http://softbbs.pconline.com.cn/viewpic.jsp?imgUrl=http%3A%2F%2Fbbs.crsky.com%2F1128632305%2FMon_0706%2F22_134046_cd6d1ede9496917.jpg" target="_blank"><img alt="按此在新窗口浏览图片" src="http://bbs.crsky.com/1128632305/Mon_0706/22_134046_cd6d1ede9496917.jpg" width="524" border="0"/></a>
        <br/><br/>现在AV终结者病毒对Autorun.inf文件进行了改进,右键不会出现Auto的字样,双击也可以进入分区,但不管右键点打开进入还是双击进入,都会运行病毒文件,这就是许多人只格C盘重装后马上又中毒的原因.要删除这几个文件必须要用第三方的软件,比如Winrar,Icesword,Totalcmd等资源管理器软件,或者Windows的cmd命令行,否则进入分区后就运行了病毒程序,前面的所做的一切都要重新来一遍.<br/>注意:删除了Autorun.inf和*****.exe之后,不管右键还是双击都进不去这个分区了,如果想找到某个文件或运行某个程序,可以直接在地址栏中输入&nbsp;c:&nbsp;或&nbsp;d:&nbsp;等等然后回车来进入这个分区<br/>四<br/>现在轮到Autoruns出场了,运行Autoruns,点"用户登录",找到病毒写入注册表的启动命令.点右键删除这两个.后面显示的是"未找到文件",因为我们刚才在Icesword里面已经把这两件文件删除了.<br/>如图5.<br/><b>图5</b><br/><a href="http://softbbs.pconline.com.cn/viewpic.jsp?imgUrl=http%3A%2F%2Fbbs.crsky.com%2F1128632305%2FMon_0706%2F22_134046_680fcf61f14aa31.jpg" target="_blank"><img alt="按此在新窗口浏览图片" src="http://bbs.crsky.com/1128632305/Mon_0706/22_134046_680fcf61f14aa31.jpg" width="524" border="0"/></a>
        <br/>&nbsp;<br/>然后再点映像劫持,把除了最后的Your&nbsp;Image&nbsp;File&nbsp;Name&nbsp;Here&nbsp;without&nbsp;a&nbsp;path&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;c:windowssystem32ntsd.exe之外的全都删除,累啊,这么多....删完后应该是这样的,如图6.<br/><b>图6</b><br/><a href="http://softbbs.pconline.com.cn/viewpic.jsp?imgUrl=http%3A%2F%2Fbbs.crsky.com%2F1128632305%2FMon_0706%2F22_134046_a161d51ef4c3c01.jpg" target="_blank"><img alt="按此在新窗口浏览图片" src="http://bbs.crsky.com/1128632305/Mon_0706/22_134046_a161d51ef4c3c01.jpg" width="524" border="0"/></a>
        <br/>&nbsp;<br/>到此,AV终结者病毒基本已经清除了.但是....呵呵,一听到但是,就知道还没完.因为我们仅仅清除了AV终结者,AV终结者所下载下来的木马我们还没有杀.大家都注意到了图3中红色的iexplorer进程了吧,这就是AV终结者下载下来的灰鸽子木马进程.Icesword可以发现隐藏进程并用红色表示,在Windows任务管理器下是看不到这个进程的.一般情况下这种红色进程都不是什么好鸟~<br/>文章开始已经说了AV终结者有很多类型,并不是每一种都像"永久下载者"这样只写入注册表启动项.所以SREng这时候就派上用场了,使用SREng扫描,把注册表启动项,服务,驱动这些都检测一遍,结合Icesword可以一起把木马也清除掉.因为SREng的使用需要对电脑的服务项和驱动项都比较了解,电脑初学者可以使用SREng的智能扫描扫一个报告发到一些大论坛上请高手指导你哪些要删.这里我就不详细演示怎么手动杀掉灰鸽子了,使用SREng和Icesword很容易就可以清除掉
回复

使用道具 举报

 楼主| 发表于 2007-7-22 17:23 | 显示全部楼层
<p>用了冰刃,删除了各个分区生成的autorun.inf,杀毒软件打的开了,继续扫描却没有发现什么木马,继续用楼上的办法试试,谢谢!</p><p>谢谢业版!估计到偶们开学的时候校园网内病毒会爆发呢,得及早做好防范</p>
回复

使用道具 举报

发表于 2007-7-22 21:07 | 显示全部楼层
<div class="msgheader">QUOTE:</div><div class="msgborder"><b>以下是引用<i>轻轻</i>在2007-7-22 17:23:00的发言:</b><br/><p>用了冰刃,删除了各个分区生成的autorun.inf,杀毒软件打的开了,继续扫描却没有发现什么木马,继续用楼上的办法试试,谢谢!</p><p>谢谢业版!估计到偶们开学的时候校园网内病毒会爆发呢,得及早做好防范</p></div><p></p><p>你还管这个的吗?</p><p>你这里有了,其他同事一样也会有的,有你忙的了,这个毒有点能干的,呵呵</p>
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

临平新城
丰收湖天街
海潮望月城
黄山风景
丹枫四季
临平城区
闻堰综合体
桂冠东方验房
缤纷城
临平老宅
京东Mall
江荣府
“金手指”
产业孵化基地
空中花园
河滨之城
临平未来农场
江河汇
未科航拍
临平公园
招商花园城
金沙湖晚霞
桂冠东方
花园城
火车西站
喜悦和
艺创综合体
味美浙江活动
钱江新城二期
馥香园鸟瞰
西投吉鸿项目
许村新城
光环购物中心
临平文化中心
国风杭州地铁
共享“花”车
南京北部新城
永旺商业项目
钱塘安置项目
西湖步行街
未科航拍
朗云
古玉兰开花
钱塘新项目
锦尚和品府
钱塘高铁站
未科中轴线
临平新城
钱江世纪城
万科大溪谷西
和平广场概念
良渚城建
临平二环
大马弄
南苑街道
临平
杭州大厦
奥体
杭州天际线

小黑屋|手机版|电脑版| ( B2-20080242 )

GMT+8, 2024-11-17 11:49 , Processed in 0.057368 second(s), 19 queries , Gzip On, Redis On.

Powered by Discuz! X3.4 Licensed

© 2001-2023 Discuz! Team.