AV的末日——手工杀毒,终结AV终结者AV最近闹的很凶,中的人恐怕也不少,很多人谈AV色变,其实要彻底剿灭这种病毒并不困难,下面,我们就一步步将AV终结者送上死亡之路。
1{-^$r"i
jZZ..
l]o)nO)S}3@..
一、AV终结者之症状
4\/p&N Jt|u..
如果你的电脑出现如下症状:
6]ss!F?Q..
1、安全类软件无法运行;
.b;NgY{2@m~X..
2、安全类网页无法打开;
FRJQ\..
3、硬盘盘符无法打开;
GA
O;kW1r+y+rO1W.c..
4、任务管理器无法运行;
XCn!a+ooE'^..
5、安全模式无法进入;
t4Z8Y9tfM..
…………
)?#MDus$Rt h..
那么,首先我对你的不幸遭遇表示同情,这已经基本上可以说明,你中了AV终结者。
/{B bi9gt..
?%uz'M.vd..
二、AV终结者之原理
d`g ];s..
AV终结者不是指某个病毒,而是指一类具有相同特征的病毒,它们的病毒名可能多种多样,但是它们所表现出来的症状都是差不多的,而且其原理也基本相同。可以这么说,AV终结者实际上是一类病毒的总称。
w
YJ:R8o+\
ja..
其基本原理就是劫持系统IFEO镜像。
*J vp6y |x..
所谓的映像劫持(IFEO)就是Image File Execution Options,位于注册表的
_!v,eE'\[P..
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
F ]Oz~Bv..
由于这个项主要是用来调试程序用的,对一般用户意义不大。默认是只有管理员和local system有权读写修改。
y$d0`.R?a/t&r..
通俗一点来说,就是比如我想运行QQ.exe,结果运行的却是FlashGet.exe,也就是说在这种情况下,QQ程序被FLASHGET给劫持了,即你想运行的程序被另外一个程序代替了。
m)ga9u Xv4r5y9g0GV..
映像劫持病毒主要通过修改注册表中的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution options 项来劫持正常的程序,比如有一个病毒 vires.exe 要劫持 qq 程序,它会在上面注册表的位置新建一个qq.exe项,再这个项下面新建一个字符串的键值 debugger 内容是:C:\WINDOWS\SYSTEM32\VIRES.EXE(这里是病毒藏身的目录)即可。当然如果你把该字符串值改为任意的其他值的话,系统就会提示找不到该文件。
xDG3fe)a..
既然了解了这类病毒的工作原理,那么,要剿灭它们就变得非常容易。
2N[5__$w \..
-K"]_3v;F#W[f Q..
三、AV终结者之查杀
BMp%l4[u
ig`..
#[eL6Z$R0Q..
第一步:GHOST杀毒
s%_|IBpS.x..
如果你做了GHOST备份,那么杀毒相对变得很容易,恢复你的备份,进入系统后什么都不要做,从开始菜单运行WINRAR,浏览所有盘符根目录,删除AUTORUN.INF文件,删除其他所有可疑文件,杀毒即告成功。
{1w9j;M{;xa..
或者恢复后进入PE,在PE中运行WINRAR进行上述步骤。现在我还不知道AV是否能够感染PE,所以用WINRAR浏览盘符比较安全。
5A;CPHg..
切记,恢复系统后不可打开任何盘符,更不可双击任何盘符,否则前功尽弃。
#knS[.EW5w..
病毒也有可能破坏GHO备份文件,若备份遭到破坏,那么我们只有寻求其他的方法来杀毒了。
C
Q-mjU[0g _D~..
$jf&D,@"|@2U..
第二步:专杀杀毒
"J(~#X`8Fu4z..
下载金山出品的AV终结者专杀工具进行查杀,大家可以自己百度搜索一下“AV终结者专杀”或去金山的主页直接下载。下载后直接运行扫描,若此时能够解决问题,那当然万事大吉,若还是不能解决,那只有用更复杂一点的方法了。
EdX.`r+g-b E2u..
CysVS8?c..
第三步:手工查杀
u8F\BcK..
准备工具:
8mdpk mi..
Autoruns8.71
PKZ7jX..
下载地址:[url=http://yutian8888.ylmf.net/??236][color=#0000ff]http://yutian8888.ylmf.net/??236[/color][/url]
k:rTy1f,\..
*koJ,M#M7g..
IceSword1.22 [url=http://yutian8888.ylmf.net/??237][color=#0000ff]http://yutian8888.ylmf.net/??237[/color][/url]
|
Yk_ Q(^Q1pH@..
SREng2 2.5 [url=http://yutian8888.ylmf.net/??238][color=#0000ff]http://yutian8888.ylmf.net/??238[/color][/url]
+HR1lj`1F.@..
USBCleaner6.0(这个下载了后先升级) [url=http://yutian8888.ylmf.net/??239][color=#0000ff]http://yutian8888.ylmf.net/??239[/color][/url]
_lCJ}d4A..
Wsyscheck [url=http://yutian8888.ylmf.net/??240][color=#0000ff]http://yutian8888.ylmf.net/??240[/color][/url]
#Z
b0@9o1F..
|mI)r
evZA2l$M6U*j..
4O.qxe6v&e..
查杀步骤:
H8W
V-m8p!d Q..
1、用WINRAR浏览磁盘根目录,打开AUTORUN.INF文件,查看其关联的DLL文件,(这些DLL病毒名都是随机的,不同的病毒文件名肯定不一样,我上面也说了,AV是一类病毒的总称,我这里只是给出查杀的原理),记下这些DLL的名字。
Z
wkSwr$M..
/dGtVf [..
2、运行WSYSCHECK(或者运行冰刃,这两个功能差不多,我习惯WSYSCHECK,这里就以它为例),如果系统提示不能运行,就将其改个名字,例如改为ABC.EXE或者ABC.COM,因为病毒可能劫持了WSYSCHECK的镜像,所以不改名可能无法运行。
/hy*px5{(B)E..
查看红色与紫色进程所调用的模块,紫色的,如果其中有上述AUTORUN.INF文件关联的DLL,则直接删除这些DLL模块。对于红色的典型病毒进程(可疑的,你不认识的)都直接结束掉,如果是你确定的病毒进程,则可选择结束进程并删除文件。
m.lMh-Rq
s.H..
0z"I"~;^[+e_g:Y..
[img]http://bbs.ylmf.com/attachment/Day_070708/10_379569_dbc93903aa8657b.jpg[/img]
J
H{@Rg1X..
[img]http://bbs.ylmf.com/attachment/Day_070708/10_379569_512402305c9f4b7.jpg[/img]
)b)K D[\xK?M..
[img]http://bbs.ylmf.com/attachment/Day_070708/10_379569_f6065dae84adb45.jpg[/img]
rLb-D K)}w..
服务管理功能:可疑显示所有隐藏的服务,在系统服务列表中看不到的,这里都可以看到,可以轻而易举的删除病毒加载的服务
\B{bd$w0I?l..
#YltF-l^M`M^,K..
[img]http://bbs.ylmf.com/attachment/Day_070708/10_379569_7648fd3bcb18a8e.jpg[/img]
b1fd_U:T!mu-s$T..
文件管理功能:可以显示所有隐藏的文件和文件夹,对于用WINRAR无法删除的顽固病毒文件,可以直接在这里删除。
z7ie.\KoO`S..
IK6m^
ibt X..
p%wZ(KG]5p-s qw..
注册表管理功能:病毒可能会禁用系统注册表,使REGEDIT.EXE无法运行,那么可以用WSYSCHECK来打开注册表,搜索下面这几项
7N I6y'Z
V_3m
f..