an折翼之鸟 发表于 2008-2-20 06:51 只看TA 1楼 |
---|
|
[求助] 对于AV终结者我已头大~~~请教高手~~~~~~ 最近电脑不慎中了AV终结者木马,我已经用金山清理专家清理过了,可清理后发现,每次启动电脑后,用清理专家查杀还是会查到AV终结者外加一个OSO蠕虫病毒,再清理一次,下次开电脑的时候还是会查到这两个病毒,而且金山毒霸每次都会提醒什么浏览器后台下载了一个C:\WINDOWS\system\zhqbdf080220.dl文件,经过实验这个文件一下载就会出现AV和OSO蠕虫,我已经被他们搞的头大,望高手能指点解决办法,小弟不胜感激 |
0 |
作者的其他主题 |
---|
对于AV终结者我已头大~~~请教高手~~~~~~ |
该用户匿名发帖 发表于 2008-2-20 08:13 只看TA 2楼 |
---|
“AV终结者病毒”专杀工具 软件分类: 杀毒软件 - 系统工具 - 杀毒软件 - / 免费软件 / 金山毒霸 软件大小: 414KB 运行环境: Win9X/Win2000/WinXP/Win2003/ 软件更新: 2008-1-15 15:05:00 这款专杀工具是最新版本的金山“AV终结者病毒”专杀工具v4.4,主要功能有:清除AV终结者病毒,修复“映像劫持”,修复Autorun.inf,修复安全模式 下载网址: http://www.apsoft.com.cn/down/soft/52764.htm AV终结者之原理 AV终结者不是指某个病毒,而是指一类具有相同特征的病毒,它们的病毒名可能多种多样,但是它们所表现出来的症状都是差不多的,而且其原理也基本相同。可以这么说,AV终结者实际上是一类病毒的总称。 其基本原理就是劫持系统IFEO镜像。 所谓的映像劫持(IFEO)就是Image File Execution Options,位于注册表的 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options 由于这个项主要是用来调试程序用的,对一般用户意义不大。默认是只有管理员和local system有权读写修改。 通俗一点来说,就是比如我想运行QQ.exe,结果运行的却是FlashGet.exe,也就是说在这种情况下,QQ程序被FLASHGET给劫持了,即你想运行的程序被另外一个程序代替了。 映像劫持病毒主要通过修改注册表中的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution options 项来劫持正常的程序,比如有一个病毒 vires.exe 要劫持 qq 程序,它会在上面注册表的位置新建一个qq.exe项,再这个项下面新建一个字符串的键值 debugger 内容是:C:\WINDOWS\SYSTEM32\VIRES.EXE(这里是病毒藏身的目录)即可。当然如果你把该字符串值改为任意的其他值的话,系统就会提示找不到该文件。 既然了解了这类病毒的工作原理,那么,要剿灭它们就变得非常容易! 再教你一个放法: 1、 用WINRAR浏览磁盘根目录,打开AUTORUN.INF文件,查看其关联的DLL文件,(这些DLL病毒名都是随机的,不同的病毒文件名肯定不一样,AV是一类病毒的总称,这里只是给出查杀的原理),记下这些DLL的名字。 2、 运行WSYSCHECK(或者运行冰刃,这两个功能差不多,这里就以WSYSCHECK为例),如果系统提示不能运行,就将其改个名字,例如改为ABC.EXE或者ABC.COM,因为病毒可能劫持了WSYSCHECK的镜像,所以不改名可能无法运行。 查看进程所调用的模块,如果其中有上述AUTORUN.INF文件关联的DLL,则直接删除这些DLL模块。对于典型病毒进程(可疑的,你不认识的)都直接结束掉,如果是你确定的病毒进程,则可选择结束进程并删除文件。 服务管理功能:可疑显示所有隐藏的服务,在系统服务列表中看不到的,这里都可以看到,可以轻而易举的删除病毒加载的服务 文件管理功能:可以显示所有隐藏的文件和文件夹,对于用WINRAR无法删除的顽固病毒文件,可以直接在这里删除。 注册表管理功能:病毒可能会禁用系统注册表,使REGEDIT.EXE无法运行,那么可以用WSYSCHECK来打开注册表,搜索下面这几项 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce 大部分的病毒和木马都是通过加载系统启动项来运行的,也有一些是注册成为系统服务来启动,他们主要通过修改注册表来实现这个目的。 将上述几项找到,删除可疑的键值,一般来说,这里的键值和病毒DLL模块、驱动服务文件以及进程名是相关的,因此很容易发现不正常的注册表键值。 3. 将autoruns也改名,然后再运行,选择映像劫持项目,删除除Your Image File Name Here without a path之外的所有项目! 或者用WSYSCHECK的注册表管理定位到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options,删除Your Image File Name Here without a path之外的所有项目! 4、 运行SRENG,修复EXE文件关联,修复安全模式。 5、 运行USBCleaner6.0,修复显示隐藏文件和系统文件(这个工具也可疑修复安全模式)。 6、 重启进入安全模式,运行USBCleaner6.0全盘查杀。运行你的杀软进行全盘查杀。 7、 重启进入WINDOWS,再次检查 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce 这几项,删除可疑键值。 运行MSCONFIG,删除可疑的自启动项 8、 至此,AV终结者已经被赶尽杀绝。 兄弟够详细了吧.搞不好不要B俺啊.俺会骂人的....不用谢 ![]() |
0 |
kor 发表于 2008-2-20 09:55 只看TA 3楼 |
---|
其实也不用太多麻烦 开机进入安全模式,在安全模式下全盘杀毒,应该就可以杀干净了 如果还不放心,可以在注册表里把所有涉及到“zhqbdf080220.dl”的值全部删除 |
0 |
zhang8817026 发表于 2008-2-20 11:12 只看TA 4楼 |
---|
AV终结者对我等狼兄弟来说可是心腹大患呀! |
0 |
|
---|