打印

[求助] 对于AV终结者我已头大~~~请教高手~~~~~~

0

对于AV终结者我已头大~~~请教高手~~~~~~

最近电脑不慎中了AV终结者木马,我已经用金山清理专家清理过了,可清理后发现,每次启动电脑后,用清理专家查杀还是会查到AV终结者外加一个OSO蠕虫病毒,再清理一次,下次开电脑的时候还是会查到这两个病毒,而且金山毒霸每次都会提醒什么浏览器后台下载了一个C:\WINDOWS\system\zhqbdf080220.dl文件,经过实验这个文件一下载就会出现AV和OSO蠕虫,我已经被他们搞的头大,望高手能指点解决办法,小弟不胜感激

TOP

0
“AV终结者病毒”专杀工具
软件分类: 杀毒软件 - 系统工具 - 杀毒软件 - / 免费软件 / 金山毒霸
软件大小: 414KB
运行环境: Win9X/Win2000/WinXP/Win2003/
软件更新: 2008-1-15 15:05:00
这款专杀工具是最新版本的金山“AV终结者病毒”专杀工具v4.4,主要功能有:清除AV终结者病毒,修复“映像劫持”,修复Autorun.inf,修复安全模式
下载网址:  http://www.apsoft.com.cn/down/soft/52764.htm

AV终结者之原理
AV终结者不是指某个病毒,而是指一类具有相同特征的病毒,它们的病毒名可能多种多样,但是它们所表现出来的症状都是差不多的,而且其原理也基本相同。可以这么说,AV终结者实际上是一类病毒的总称。
其基本原理就是劫持系统IFEO镜像。
所谓的映像劫持(IFEO)就是Image File Execution Options,位于注册表的
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
由于这个项主要是用来调试程序用的,对一般用户意义不大。默认是只有管理员和local system有权读写修改。
通俗一点来说,就是比如我想运行QQ.exe,结果运行的却是FlashGet.exe,也就是说在这种情况下,QQ程序被FLASHGET给劫持了,即你想运行的程序被另外一个程序代替了。
映像劫持病毒主要通过修改注册表中的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution options 项来劫持正常的程序,比如有一个病毒 vires.exe 要劫持 qq 程序,它会在上面注册表的位置新建一个qq.exe项,再这个项下面新建一个字符串的键值 debugger 内容是:C:\WINDOWS\SYSTEM32\VIRES.EXE(这里是病毒藏身的目录)即可。当然如果你把该字符串值改为任意的其他值的话,系统就会提示找不到该文件。
既然了解了这类病毒的工作原理,那么,要剿灭它们就变得非常容易!

再教你一个放法:
1、 用WINRAR浏览磁盘根目录,打开AUTORUN.INF文件,查看其关联的DLL文件,(这些DLL病毒名都是随机的,不同的病毒文件名肯定不一样,AV是一类病毒的总称,这里只是给出查杀的原理),记下这些DLL的名字。

2、 运行WSYSCHECK(或者运行冰刃,这两个功能差不多,这里就以WSYSCHECK为例),如果系统提示不能运行,就将其改个名字,例如改为ABC.EXE或者ABC.COM,因为病毒可能劫持了WSYSCHECK的镜像,所以不改名可能无法运行。
查看进程所调用的模块,如果其中有上述AUTORUN.INF文件关联的DLL,则直接删除这些DLL模块。对于典型病毒进程(可疑的,你不认识的)都直接结束掉,如果是你确定的病毒进程,则可选择结束进程并删除文件。
服务管理功能:可疑显示所有隐藏的服务,在系统服务列表中看不到的,这里都可以看到,可以轻而易举的删除病毒加载的服务
文件管理功能:可以显示所有隐藏的文件和文件夹,对于用WINRAR无法删除的顽固病毒文件,可以直接在这里删除。

注册表管理功能:病毒可能会禁用系统注册表,使REGEDIT.EXE无法运行,那么可以用WSYSCHECK来打开注册表,搜索下面这几项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
大部分的病毒和木马都是通过加载系统启动项来运行的,也有一些是注册成为系统服务来启动,他们主要通过修改注册表来实现这个目的。
将上述几项找到,删除可疑的键值,一般来说,这里的键值和病毒DLL模块、驱动服务文件以及进程名是相关的,因此很容易发现不正常的注册表键值。
3. 将autoruns也改名,然后再运行,选择映像劫持项目,删除除Your Image File Name Here without a path之外的所有项目!
或者用WSYSCHECK的注册表管理定位到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options,删除Your Image File Name Here without a path之外的所有项目!
4、 运行SRENG,修复EXE文件关联,修复安全模式。
5、 运行USBCleaner6.0,修复显示隐藏文件和系统文件(这个工具也可疑修复安全模式)。
6、 重启进入安全模式,运行USBCleaner6.0全盘查杀。运行你的杀软进行全盘查杀。

7、 重启进入WINDOWS,再次检查
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
这几项,删除可疑键值。
运行MSCONFIG,删除可疑的自启动项

8、 至此,AV终结者已经被赶尽杀绝。

兄弟够详细了吧.搞不好不要B俺啊.俺会骂人的....不用谢

TOP

0
其实也不用太多麻烦
开机进入安全模式,在安全模式下全盘杀毒,应该就可以杀干净了
如果还不放心,可以在注册表里把所有涉及到“zhqbdf080220.dl”的值全部删除

TOP

0
AV终结者对我等狼兄弟来说可是心腹大患呀!

TOP

0
上帝保佑,我目前还没有中招,希望不要找我

TOP

0
有什么明显的特征吗?
我用的是瑞星和360安全卫士,还没发现有

TOP

0
这些都是很重要的,当然这些都是机器可以运行的东西,如果不注意防范的话,到时只能重做竹编啦

TOP

0
我台电脑也中过这个毒,我用金山清理专家查杀了之后(注意:不要重启电脑.),再用金山毒霸查杀后重启就可以了.

TOP

0
对于病毒无法杀掉,又不想重新做系统的朋友,可以看一下丁香鱼工作室的DOS杀毒软件,拿起我们久违的DOS捍卫我们的系统吧.

TOP

0
不错,非常详细的解答,很适合狼们的需要!

TOP

当前时区 GMT+8, 现在时间是 2025-3-17 05:38