Board logo

标  题: AV的末日——手工杀毒,终结AV终结者 [打印本页]

作  者: zsq123    时间: 2007-8-4 18:23     标  题: AV的末日——手工杀毒,终结AV终结者

AV最近闹的很凶,中的人恐怕也不少,很多人谈AV色变,其实要彻底剿灭这种病毒并不困难,下面,我们就一步步将AV终结者送上死亡之路。

一、AV终结者之症状
如果你的电脑出现如下症状:
1、安全类软件无法运行;
2、安全类网页无法打开;
3、硬盘盘符无法打开;
4、任务管理器无法运行;
5、安全模式无法进入;
…………
那么,首先我对你的不幸遭遇表示同情,这已经基本上可以说明,你中了AV终结者。

二、AV终结者之原理
AV终结者不是指某个病毒,而是指一类具有相同特征的病毒,它们的病毒名可能多种多样,但是它们所表现出来的症状都是差不多的,而且其原理也基本相同。可以这么说,AV终结者实际上是一类病毒的总称。
其基本原理就是劫持系统IFEO镜像。
所谓的映像劫持(IFEO)就是Image File Execution Options,位于注册表的
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
由于这个项主要是用来调试程序用的,对一般用户意义不大。默认是只有管理员和local system有权读写修改。
通俗一点来说,就是比如我想运行QQ.exe,结果运行的却是FlashGet.exe,也就是说在这种情况下,QQ程序被FLASHGET给劫持了,即你想运行的程序被另外一个程序代替了。
映像劫持病毒主要通过修改注册表中的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution options 项来劫持正常的程序,比如有一个病毒 vires.exe 要劫持 qq 程序,它会在上面注册表的位置新建一个qq.exe项,再这个项下面新建一个字符串的键值 debugger 内容是:C:\WINDOWS\SYSTEM32\VIRES.EXE(这里是病毒藏身的目录)即可。当然如果你把该字符串值改为任意的其他值的话,系统就会提示找不到该文件。
既然了解了这类病毒的工作原理,那么,要剿灭它们就变得非常容易。

三、AV终结者之查杀

第一步:GHOST杀毒
如果你做了GHOST备份,那么杀毒相对变得很容易,恢复你的备份,进入系统后什么都不要做,从开始菜单运行WINRAR,浏览所有盘符根目录,删除AUTORUN.INF文件,删除其他所有可疑文件,杀毒即告成功。
或者恢复后进入PE,在PE中运行WINRAR进行上述步骤。现在我还不知道AV是否能够感染PE,所以用WINRAR浏览盘符比较安全。
切记,恢复系统后不可打开任何盘符,更不可双击任何盘符,否则前功尽弃。
病毒也有可能破坏GHO备份文件,若备份遭到破坏,那么我们只有寻求其他的方法来杀毒了。

第二步:专杀杀毒
下载金山出品的AV终结者专杀工具进行查杀,大家可以自己百度搜索一下“AV终结者专杀”或去金山的主页直接下载。下载后直接运行扫描,若此时能够解决问题,那当然万事大吉,若还是不能解决,那只有用更复杂一点的方法了。

第三步:手工查杀
准备工具:
Autoruns8.71  
下载地址:http://yutian8888.ylmf.net/??236

IceSword1.22  http://yutian8888.ylmf.net/??237  
SREng2  2.5  http://yutian8888.ylmf.net/??238
USBCleaner6.0(这个下载了后先升级)  http://yutian8888.ylmf.net/??239
Wsyscheck  http://yutian8888.ylmf.net/??240


查杀步骤:
1、用WINRAR浏览磁盘根目录,打开AUTORUN.INF文件,查看其关联的DLL文件,(这些DLL病毒名都是随机的,不同的病毒文件名肯定不一样,我上面也说了,AV是一类病毒的总称,我这里只是给出查杀的原理),记下这些DLL的名字。

2、运行WSYSCHECK(或者运行冰刃,这两个功能差不多,我习惯WSYSCHECK,这里就以它为例),如果系统提示不能运行,就将其改个名字,例如改为ABC.EXE或者ABC.COM,因为病毒可能劫持了WSYSCHECK的镜像,所以不改名可能无法运行。
查看红色与紫色进程所调用的模块,紫色的,如果其中有上述AUTORUN.INF文件关联的DLL,则直接删除这些DLL模块。对于红色的典型病毒进程(可疑的,你不认识的)都直接结束掉,如果是你确定的病毒进程,则可选择结束进程并删除文件。




服务管理功能:可疑显示所有隐藏的服务,在系统服务列表中看不到的,这里都可以看到,可以轻而易举的删除病毒加载的服务


文件管理功能:可以显示所有隐藏的文件和文件夹,对于用WINRAR无法删除的顽固病毒文件,可以直接在这里删除。


注册表管理功能:病毒可能会禁用系统注册表,使REGEDIT.EXE无法运行,那么可以用WSYSCHECK来打开注册表,搜索下面这几项

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon\Notify

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

大部分的病毒和木马都是通过加载系统启动项来运行的,也有一些是注册成为系统服务来启动,他们主要通过修改注册表来实现这个目的。

将上述几项找到,删除可疑的键值,一般来说,这里的键值和病毒DLL模块、驱动服务文件以及进程名是相关的,因此很容易发现不正常的注册表键值。


3.将autoruns也改名,然后再运行,选择映像劫持项目,删除除Your Image File Name
Here without a path之外的所有项目!

或者用WSYSCHECK的注册表管理定位到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Image File Execution Options,删除Your Image File Name Here
without a path之外的所有项目!


4、运行SRENG,修复EXE文件关联,修复安全模式。


5、运行USBCleaner6.0,修复显示隐藏文件和系统文件(这个工具也可疑修复安全模式)。


6、重启进入安全模式,运行USBCleaner6.0全盘查杀。运行你的杀软进行全盘查杀。


7、重启进入WINDOWS,再次检查

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon\Notify

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

这几项,删除可疑键值。
运行MSCONFIG,删除可疑的自启动项

8、至此,AV终结者已经被赶尽杀绝。


第四步:AV终结者之预防
如果通过将病毒程序重定向进行免疫,完全只能针对已知病毒,对未知的AV变种毫无还手之力。


Windows Registry Editor Version 5.00


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image
File
Execution Options\sppoolsv.exe]
"Debugger"="123.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File

Execution Options\logo_1.exe]
"Debugger"="123.exe"


上面的代码是以金猪报喜病毒和威金病毒为例,这样即使这些病毒在系统启动项里面,即使随系统运行了,但是由于映象劫持的重定向作用,还是会被系统提示无法找到病毒文件(这里是logo_1.exe和sppoolsv.exe)。是不是很过瘾啊,想不到病毒也有今天!


我们无法真正免疫AV终结者,但完全可疑避免IFEO镜像劫持,方法如下:

如果用户无权访问该注册表项了,它也就无法修改这些东西了。打开注册表编辑器,进入HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Image File Execution Options ,选中该项,右键——>权限——>高级,取消所有用户的写入权限。这样,AV便无法劫持EXE,即使你不幸中了AV,也依然可以运行安全类软件来进行杀毒。



还可以利用卡巴的主动防御来阻止IFEO镜像劫持





添加键:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File
Execution Options
添加值:
Debugger


通过设置系统服务来保护卡巴的进程


控制面板——管理工具——服务
找到卡巴的服务,右键属性 ,如图设置
设置前先取消卡巴的自我保护,设置完后再将自我保护打开



至此,这篇教程也写完了。如果你确实太菜,还是不会杀毒,那么,利用SRENG的智能扫描功能,将扫描日志发布到各大安全论坛或者互联网上,请求高手相助吧。如果你的电脑没有什么重要的资料,那么简单了,重新分区重装系统。


原帖地址:http://bbs.ylmf.com/read-ylmf-tid-306748.html
作  者: 果冻布丁    时间: 2007-8-5 02:40

恩,不错~挺详细的!偶的电脑就是中了这些病毒~跟上面说的症状完全符合! 很是气愤的说!
偶也是从网上搜索了这个AV终结者,~~晕!结果杀出了 10个病毒~~完了 卡巴 才能安装,才能打开~!!结果又用卡巴 杀!~~晕死~~又杀出十几天 木马程序来~!!!!简直疯了~
现在总算是轻松了,以前很是纳闷杀度软件怎么老是打不开来着~~




欢迎光临 心情论坛 (http://bbs.exinqing.net/) Powered by Discuz! 5.0.0 RC2