AV的末日——手工杀毒,终结AV终结者AV最近闹的很凶,中的人恐怕也不少,很多人谈AV色变,其实要彻底剿灭这种病毒并不困难,下面,我们就一步步将AV终结者送上死亡之路。
1{-^$r"i
j�Z�Z..
�l�]�o)n�O)S�}3@..
一、AV终结者之症状
4\/p&N J�t�|�u..
如果你的电脑出现如下症状:
6]�s�s!F�?�Q..
1、安全类软件无法运行;
.b;N�g�Y�{2@�m�~�X..
2、安全类网页无法打开;
�F�R�J�Q�\..
3、硬盘盘符无法打开;
�G�A
O;k�W1r+y+r�O1W.c..
4、任务管理器无法运行;
�X�C�n!a+o�o�E'^..
5、安全模式无法进入;
�t4Z8Y9t�f�M..
…………
)?#M�D�u�s$R�t h..
那么,首先我对你的不幸遭遇表示同情,这已经基本上可以说明,你中了AV终结者。
/{�B�b�i9g�t..
�?%u�z'M.v�d..
二、AV终结者之原理
d�`�g�];s..
AV终结者不是指某个病毒,而是指一类具有相同特征的病毒,它们的病毒名可能多种多样,但是它们所表现出来的症状都是差不多的,而且其原理也基本相同。可以这么说,AV终结者实际上是一类病毒的总称。
�w
Y�J:R8o+\
j�a..
其基本原理就是劫持系统IFEO镜像。
*J�v�p6y�|�x..
所谓的映像劫持(IFEO)就是Image File Execution Options,位于注册表的
�_!v,e�E'\�[�P..
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
F�]�O�z�~�B�v..
由于这个项主要是用来调试程序用的,对一般用户意义不大。默认是只有管理员和local system有权读写修改。
�y$d0`.R�?�a/t&r..
通俗一点来说,就是比如我想运行QQ.exe,结果运行的却是FlashGet.exe,也就是说在这种情况下,QQ程序被FLASHGET给劫持了,即你想运行的程序被另外一个程序代替了。
�m)g�a9u�X�v4r5y9g0G�V..
映像劫持病毒主要通过修改注册表中的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution options 项来劫持正常的程序,比如有一个病毒 vires.exe 要劫持 qq 程序,它会在上面注册表的位置新建一个qq.exe项,再这个项下面新建一个字符串的键值 debugger 内容是:C:\WINDOWS\SYSTEM32\VIRES.EXE(这里是病毒藏身的目录)即可。当然如果你把该字符串值改为任意的其他值的话,系统就会提示找不到该文件。
�x�D�G3f�e)a..
既然了解了这类病毒的工作原理,那么,要剿灭它们就变得非常容易。
2N�[5_�_$w \..
-K"]�_3v;F#W�[�f Q..
三、AV终结者之查杀
B�M�p%l4[�u
i�g�`..
#[�e�L6Z$R0Q..
第一步:GHOST杀毒
�s%_�|�I�B�p�S.x..
如果你做了GHOST备份,那么杀毒相对变得很容易,恢复你的备份,进入系统后什么都不要做,从开始菜单运行WINRAR,浏览所有盘符根目录,删除AUTORUN.INF文件,删除其他所有可疑文件,杀毒即告成功。
�{1w9j;M�{;x�a..
或者恢复后进入PE,在PE中运行WINRAR进行上述步骤。现在我还不知道AV是否能够感染PE,所以用WINRAR浏览盘符比较安全。
5A;C�P�H�g..
切记,恢复系统后不可打开任何盘符,更不可双击任何盘符,否则前功尽弃。
#k�n�S�[.E�W5w..
病毒也有可能破坏GHO备份文件,若备份遭到破坏,那么我们只有寻求其他的方法来杀毒了。
�C
Q-m�j�U�[0g _�D�~..
$j�f&D,@"|�@2U..
第二步:专杀杀毒
"J(~#X�`8F�u4z..
下载金山出品的AV终结者专杀工具进行查杀,大家可以自己百度搜索一下“AV终结者专杀”或去金山的主页直接下载。下载后直接运行扫描,若此时能够解决问题,那当然万事大吉,若还是不能解决,那只有用更复杂一点的方法了。
E�d�X.`�r+g-b�E2u..
�C�y�s�V�S8?�c..
第三步:手工查杀
�u8F�\�B�c�K..
准备工具:
8m�d�p�k m�i..
Autoruns8.71
P�K�Z7j�X..
下载地址:[url=http://yutian8888.ylmf.net/??236][color=#0000ff]http://yutian8888.ylmf.net/??236[/color][/url]
�k:r�T�y1f,\..
*k�o�J,M#M7g..
IceSword1.22 [url=http://yutian8888.ylmf.net/??237][color=#0000ff]http://yutian8888.ylmf.net/??237[/color][/url]
�|
Y�k�_�Q(^�Q1p�H�@..
SREng2 2.5 [url=http://yutian8888.ylmf.net/??238][color=#0000ff]http://yutian8888.ylmf.net/??238[/color][/url]
+H�R1l�j�`1F.@..
USBCleaner6.0(这个下载了后先升级) [url=http://yutian8888.ylmf.net/??239][color=#0000ff]http://yutian8888.ylmf.net/??239[/color][/url]
�_�l�C�J�}�d4A..
Wsyscheck [url=http://yutian8888.ylmf.net/??240][color=#0000ff]http://yutian8888.ylmf.net/??240[/color][/url]
#Z
b0@9o1F..
|�m�I)r
e�v�Z�A2l$M6U*j..
4O.q�x�e6v&e..
查杀步骤:
�H8W
V-m8p!d Q..
1、用WINRAR浏览磁盘根目录,打开AUTORUN.INF文件,查看其关联的DLL文件,(这些DLL病毒名都是随机的,不同的病毒文件名肯定不一样,我上面也说了,AV是一类病毒的总称,我这里只是给出查杀的原理),记下这些DLL的名字。
�Z
w�k�S�w�r$M..
/d�G�t�V�f [..
2、运行WSYSCHECK(或者运行冰刃,这两个功能差不多,我习惯WSYSCHECK,这里就以它为例),如果系统提示不能运行,就将其改个名字,例如改为ABC.EXE或者ABC.COM,因为病毒可能劫持了WSYSCHECK的镜像,所以不改名可能无法运行。
/h�y*p�x5{(B)E..
查看红色与紫色进程所调用的模块,紫色的,如果其中有上述AUTORUN.INF文件关联的DLL,则直接删除这些DLL模块。对于红色的典型病毒进程(可疑的,你不认识的)都直接结束掉,如果是你确定的病毒进程,则可选择结束进程并删除文件。
�m.l�M�h-R�q
s.H..
0z"I"~;^�[+e�_�g:Y..
[img]http://bbs.ylmf.com/attachment/Day_070708/10_379569_dbc93903aa8657b.jpg[/img]
�J
H�{�@�R�g1X..
[img]http://bbs.ylmf.com/attachment/Day_070708/10_379569_512402305c9f4b7.jpg[/img]
)b)K�D�[�\�x�K�?�M..
[img]http://bbs.ylmf.com/attachment/Day_070708/10_379569_f6065dae84adb45.jpg[/img]
�r�L�b-D�K)}�w..
服务管理功能:可疑显示所有隐藏的服务,在系统服务列表中看不到的,这里都可以看到,可以轻而易举的删除病毒加载的服务
�\�B�{�b�d$w0I�?�l..
#Y�l�t�F-l�^�M�`�M�^,K..
[img]http://bbs.ylmf.com/attachment/Day_070708/10_379569_7648fd3bcb18a8e.jpg[/img]
�b1f�d�_�U:T!m�u-s$T..
文件管理功能:可以显示所有隐藏的文件和文件夹,对于用WINRAR无法删除的顽固病毒文件,可以直接在这里删除。
�z7i�e.\�K�o�O�`�S..
�I�K6m�^
i�b�t X..
p%w�Z(K�G�]5p-s q�w..
注册表管理功能:病毒可能会禁用系统注册表,使REGEDIT.EXE无法运行,那么可以用WSYSCHECK来打开注册表,搜索下面这几项
7N�I6y'Z
V�_3m
f..
�n�w7];v�C0b1h7M�Y..
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
�J�v9Y�{�p�p�n1~*l..
'y�|�Q�z(h
u�r..
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs
0L/H�k�X+K6J�O�X+s..
�T
a�a0H2G$e'J8T z s..
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
%t']5k�S�Y�@�q�f..
NT\CurrentVersion\Winlogon\Notify
$W�n
x l1P..
}�D0T�n�[�B7N..
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
0A�T�~ K(}�a%`�h�@..
9v2[7W7x3m#V!z..
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
'p�|�v5Q�u)|-l�l�y
O�l..
5m�E�M+t:C�~..
大部分的病毒和木马都是通过加载系统启动项来运行的,也有一些是注册成为系统服务来启动,他们主要通过修改注册表来实现这个目的。
�y�^$i K6S�C�\�I�A..
K�?�O%B0R,u#M0j7D0q..
将上述几项找到,删除可疑的键值,一般来说,这里的键值和病毒DLL模块、驱动服务文件以及进程名是相关的,因此很容易发现不正常的注册表键值。
�J�C!C�u�F,E%D�s�D+k..
,d3\�L�a+E�y..
[img]http://bbs.ylmf.com/attachment/Day_070708/10_379569_8b9b2d36d202a61.jpg[/img]
�X1w�m�Q4\.l..
[b]3.将autoruns也改名,然后再运行[/b],选择映像劫持项目,删除除Your Image File Name
�t�_�G�d�a�S I�s2v..
Here without a path之外的所有项目!
�|�s*L6X�]#f�n U�m�x..
[img]http://bbs.ylmf.com/attachment/Day_070708/10_379569_4239f4642c7745c.jpg[/img]
�Q�w(m3n�h�[*Y..
或者用WSYSCHECK的注册表管理定位到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
�T�X�H-O
w9p�f([..
NT\CurrentVersion\Image File Execution Options,删除Your Image File Name Here
"L+q(s�l�D5X�^..
without a path之外的所有项目!
{*Z(?1@"Z..
,N-c�b�g;d..
%D&]�^
f8A�n�p�~..
[b]4、运行SRENG[/b],修复EXE文件关联,修复安全模式。
6h�z�Q�Z�k�X5a,R..
[img]http://bbs.ylmf.com/attachment/Day_070708/10_379569_92930d9de02491d.jpg[/img]
�I�L�z._�D/p(J�x-B..
[img]http://bbs.ylmf.com/attachment/Day_070708/10_379569_20a4257dbad21a2.jpg[/img]
;?&D�l�E&k�T8v9}�f..
[b]5、运行USBCleaner6.0[/b],修复显示隐藏文件和系统文件(这个工具也可疑修复安全模式)。
�b�V"X'y6p!U�X�F�G..
(|�D)D�}2E�|3T�p!h..
[img]http://bbs.ylmf.com/attachment/Day_070708/10_379569_a2b5053e5129e55.jpg[/img]
�b�[ P C�}�R�U%Y-U7X�q�h..
[b]6、重启进入安全模式[/b],运行USBCleaner6.0全盘查杀。运行你的杀软进行全盘查杀。
7J!`�a�z1U�?�`�x�A..
j�c�C [�_..
�Q�a,D4x�z�p�v P�M r�I�j..
[b]7、重启进入WINDOWS[/b],再次检查
�[-[6P3`�{�}7])o�R..
�O%z�a�z6J�?!P�I%G..
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
!A�k�z�r�y `�Y�u�A5\..
V(v�\0X9S�p%U�^..
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs
�t
?�Y&T
j$\3B4A�I..
3f#L2S/u�V�m..
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
6J-W�u�|�v2n�b'D�g..
NT\CurrentVersion\Winlogon\Notify
*P-@�S1^�Q�K..
�r1}�{.o }-H(y4c�b)H..
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
�m
a!B�H3_"r.e..
�U%X�i�b�e2[�a#\�S,A�X�Z..
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
1U�o7a9o
d U�b..
;l�N-G+[�d2^..
这几项,删除可疑键值。
�o�m�A(V)L..
运行MSCONFIG,删除可疑的自启动项
�d$k.u�e�M%Q..
�u�z4x�B*f
W*F..
[b]8、至此,AV终结者已经被赶尽杀绝。[/b]
�P
U:U.l'r�N
X7{�a..
&q�~�{�n�h�d8D$I&K:Q%_..
�_,B�f�C2u�[�e5}�~..
第四步:AV终结者之预防
(F�J�W�Z6I z8e,o�x�r"q�F/|1{..
[b][u]如果通过将病毒程序重定向进行免疫,完全只能针对已知病毒,对未知的AV变种毫无还手之力。[/u][/b]
�N�Z(r�b�\�F�b..
�?&n+A"G1?�c0e�b..
(h,H�I�E�i*N�n..
Windows Registry Editor Version 5.00
$j8t�f;W�X!K0w�A..
9`�w#a6S�s�E�?..
4G/i�~/@.f�w�w+}$B..
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image
�O�c k�L�H%Y..
File
D�z�b�y/h�k j..
Execution Options\sppoolsv.exe]
.N�Z�q
R-j..
"Debugger"="123.exe"
6]!b6Y�O�z&R:}
S..
-l/T�z!}9k�D5i�~/z'm�y..
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File
�K�U�{�v�U�X5j-M*p�I..
�?�_$Z�U+u�x�q..
Execution Options\logo_1.exe]
*G6T9w#~8D�K)b..
"Debugger"="123.exe"
�U�u/f:| T!V @ k"J..
�O8s0}+o6G�`�@-g8G..
�W�L�x9@�V;e�V�[�s�i..
上面的代码是以金猪报喜病毒和威金病毒为例,这样即使这些病毒在系统启动项里面,即使随系统运行了,但是由于映象劫持的重定向作用,还是会被系统提示无法找到病毒文件(这里是logo_1.exe和sppoolsv.exe)。是不是很过瘾啊,想不到病毒也有今天!
�\.a$X9I�g�k9k�y�\..
�U�g�v�C�Y9e(N..
�P�n*]!q�v!q$e
|..
[b][u]我们无法真正免疫AV终结者,但完全可疑避免IFEO镜像劫持,[/u][/b]方法如下:
�l6i�H�|�S*H)S9D�s�~*i..
$C9l�D�l;R2M.K6A..
如果用户无权访问该注册表项了,它也就无法修改这些东西了。打开注册表编辑器,进入HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
?-v�R�\:C�a..
NT\CurrentVersion\Image File Execution Options ,选中该项,右键——>权限——>高级,[b][u]取消所有用户的写入权限。[/u][/b]这样,AV便无法劫持EXE,即使你不幸中了AV,也依然可以运行安全类软件来进行杀毒。
)y�w!c3w�v�a�]..
%h�P�?�J/@
q�J1W#f�t..
�\�K�P�Z-X�U;C1Q..
/C,W
O:x�|�A�r�w�J+c M%\..
还可以利用卡巴的主动防御来阻止IFEO镜像劫持
!G(e�t!\�M�G�T
n�F..
(m�_5k#I.f$X#U8E�B..
[img]http://bbs.ylmf.com/attachment/Day_070708/10_379569_cc68712f47858e9.jpg[/img]
5f�G.E�a�j;U�c�J..
[img]http://bbs.ylmf.com/attachment/Day_070708/10_379569_6c285a1f917e953.jpg[/img]
0O+s�D"J:}�C�~�L#w�t�O..
[img]http://bbs.ylmf.com/attachment/Day_070708/10_379569_862a9612ea24cd8.jpg[/img]
�E4K(l�[;Q�k7W..
[img]http://bbs.ylmf.com/attachment/Day_070708/10_379569_a9b2771cd9332a5.jpg[/img]
;a)g�@/d�C+q�A l)F�m!V..
添加键:
:o�v
g�[�N-G..
�s1a3m�U�a5{�X�Q..
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File
�\(m�M3n.C,f�s�Z..
Execution Options
/x�H�N�l0O \�S%i..
添加值:
�~�v
D+s�P e..
Debugger
3G�B$|�] S�y�G�n..
#A�u�A2z�c�h�P8G..
�u9x9N(e�x*g�X..
通过设置系统服务来保护卡巴的进程
�Y�k&n�i:Y�J }..
/i�[�v$K+W�]..
5h4B�v�y#?..
控制面板——管理工具——服务
�u1O�K.E$s6q){4{..
找到卡巴的服务,右键属性 ,如图设置
�a�\�?0]�\�M..
设置前先取消卡巴的自我保护,设置完后再将自我保护打开
�T&W's�D*c�t/S�j
D�x..
�F�Y�o
m�T�^)[ Q�h�n6B..
�~8{0e&r�a�Q..
[img]http://bbs.ylmf.com/attachment/Day_070721/10_379569_56e9ea3acb76315.bmp[/img]
�u�h�@ q�U-m0r-Q�z..
[b]至此,这篇教程也写完了。如果你确实太菜,还是不会杀毒,那么,利用SRENG的智能扫描功能,将扫描日志发布到各大安全论坛或者互联网上,请求高手相助吧。如果你的电脑没有什么重要的资料,那么简单了,重新分区重装系统。
{!P�u�L!X.U�?$O9D�T�R p..
[/b]
'r
f�|�n�l;S c8?..
+W�N�U�c�Q�@..
原帖地址:[url=http://bbs.ylmf.com/read-ylmf-tid-306748.html][color=#0000ff]http://bbs.ylmf.com/read-ylmf-tid-306748.html[/color][/url]