SiS001! Board - [第一会所关闭注册]

标题: [求助] 对于AV终结者我已头大~~~请教高手~~~~~~ [打印本页]

作者: an折翼之鸟 时间: 2008-2-20 06:51 标题: 对于AV终结者我已头大~~~请教高手~~~~~~

最近电脑不慎中了AV终结者木马，我已经用金山清理专家清理过了，可清理后发现，每次启动电脑后，用清理专家查杀还是会查到AV终结者外加一个OSO蠕虫病毒，再清理一次，下次开电脑的时候还是会查到这两个病毒，而且金山毒霸每次都会提醒什么浏览器后台下载了一个C:\WINDOWS\system\zhqbdf080220.dl文件，经过实验这个文件一下载就会出现AV和OSO蠕虫，我已经被他们搞的头大，望高手能指点解决办法，小弟不胜感激

作者: 蓝飘虫 时间: 2008-2-20 08:13

“AV终结者病毒”专杀工具
软件分类: 杀毒软件 - 系统工具 - 杀毒软件 - / 免费软件 / 金山毒霸
软件大小: 414KB
运行环境: Win9X/Win2000/WinXP/Win2003/
软件更新: 2008-1-15 15:05:00
这款专杀工具是最新版本的金山“AV终结者病毒”专杀工具v4.4，主要功能有：清除AV终结者病毒，修复“映像劫持”，修复Autorun.inf，修复安全模式
下载网址: http://www.apsoft.com.cn/down/soft/52764.htm

AV终结者之原理
AV终结者不是指某个病毒，而是指一类具有相同特征的病毒，它们的病毒名可能多种多样，但是它们所表现出来的症状都是差不多的，而且其原理也基本相同。可以这么说，AV终结者实际上是一类病毒的总称。
其基本原理就是劫持系统IFEO镜像。
所谓的映像劫持（IFEO）就是Image File Execution Options，位于注册表的
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
由于这个项主要是用来调试程序用的，对一般用户意义不大。默认是只有管理员和local system有权读写修改。
通俗一点来说，就是比如我想运行QQ.exe，结果运行的却是FlashGet.exe，也就是说在这种情况下，QQ程序被FLASHGET给劫持了，即你想运行的程序被另外一个程序代替了。
映像劫持病毒主要通过修改注册表中的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution options 项来劫持正常的程序，比如有一个病毒 vires.exe 要劫持 qq 程序，它会在上面注册表的位置新建一个qq.exe项，再这个项下面新建一个字符串的键值　debugger 内容是：C:\WINDOWS\SYSTEM32\VIRES.EXE(这里是病毒藏身的目录)即可。当然如果你把该字符串值改为任意的其他值的话，系统就会提示找不到该文件。
既然了解了这类病毒的工作原理，那么，要剿灭它们就变得非常容易!

再教你一个放法:
１、用WINRAR浏览磁盘根目录，打开AUTORUN.INF文件，查看其关联的DLL文件，（这些DLL病毒名都是随机的，不同的病毒文件名肯定不一样，AV是一类病毒的总称，这里只是给出查杀的原理），记下这些DLL的名字。

2、运行WSYSCHECK（或者运行冰刃，这两个功能差不多，这里就以WSYSCHECK为例），如果系统提示不能运行，就将其改个名字，例如改为ABC.EXE或者ABC.COM，因为病毒可能劫持了WSYSCHECK的镜像，所以不改名可能无法运行。
查看进程所调用的模块，如果其中有上述AUTORUN.INF文件关联的DLL，则直接删除这些DLL模块。对于典型病毒进程（可疑的，你不认识的）都直接结束掉，如果是你确定的病毒进程，则可选择结束进程并删除文件。
服务管理功能：可疑显示所有隐藏的服务，在系统服务列表中看不到的，这里都可以看到，可以轻而易举的删除病毒加载的服务
文件管理功能：可以显示所有隐藏的文件和文件夹，对于用WINRAR无法删除的顽固病毒文件，可以直接在这里删除。

注册表管理功能：病毒可能会禁用系统注册表，使REGEDIT.EXE无法运行，那么可以用WSYSCHECK来打开注册表，搜索下面这几项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
大部分的病毒和木马都是通过加载系统启动项来运行的，也有一些是注册成为系统服务来启动，他们主要通过修改注册表来实现这个目的。
将上述几项找到，删除可疑的键值，一般来说，这里的键值和病毒DLL模块、驱动服务文件以及进程名是相关的，因此很容易发现不正常的注册表键值。
3. 将autoruns也改名，然后再运行，选择映像劫持项目，删除除Your Image File Name Here without a path之外的所有项目！
或者用WSYSCHECK的注册表管理定位到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options，删除Your Image File Name Here without a path之外的所有项目！
4、运行SRENG，修复EXE文件关联，修复安全模式。
5、运行USBCleaner6.0，修复显示隐藏文件和系统文件（这个工具也可疑修复安全模式）。
6、重启进入安全模式，运行USBCleaner6.0全盘查杀。运行你的杀软进行全盘查杀。

7、重启进入WINDOWS，再次检查
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
这几项，删除可疑键值。
运行MSCONFIG,删除可疑的自启动项

8、至此，AV终结者已经被赶尽杀绝。

兄弟够详细了吧.搞不好不要B俺啊.俺会骂人的....不用谢

作者: kor 时间: 2008-2-20 09:55

其实也不用太多麻烦
开机进入安全模式，在安全模式下全盘杀毒，应该就可以杀干净了
如果还不放心，可以在注册表里把所有涉及到“zhqbdf080220.dl”的值全部删除

作者: zhang8817026 时间: 2008-2-20 11:12

AV终结者对我等狼兄弟来说可是心腹大患呀！

作者: djlxh1983 时间: 2008-2-20 13:48

上帝保佑,我目前还没有中招,希望不要找我

作者: dalianmao 时间: 2008-2-20 15:15

有什么明显的特征吗?
我用的是瑞星和360安全卫士,还没发现有

作者: linmbx 时间: 2008-2-20 16:19

这些都是很重要的，当然这些都是机器可以运行的东西，如果不注意防范的话，到时只能重做竹编啦

作者: srh700 时间: 2008-2-22 00:50

我台电脑也中过这个毒,我用金山清理专家查杀了之后(注意:不要重启电脑.),再用金山毒霸查杀后重启就可以了.

作者: tyxclub 时间: 2008-2-22 02:49

对于病毒无法杀掉,又不想重新做系统的朋友,可以看一下丁香鱼工作室的DOS杀毒软件,拿起我们久违的DOS捍卫我们的系统吧.

作者: gooog 时间: 2008-2-22 09:55

不错，非常详细的解答，很适合狼们的需要！

欢迎光临 SiS001! Board - [第一会所关闭注册] (http://154.84.5.229/bbs2/)