“AV终结者病毒”专杀工具
软件分类: 杀毒软件 - 系统工具 - 杀毒软件 - / 免费软件 / 金山毒霸
软件大小: 414KB
运行环境: Win9X/Win2000/WinXP/Win2003/
软件更新: 2008-1-15 15:05:00
这款专杀工具是最新版本的金山“AV终结者病毒”专杀工具v4.4,主要功能有:清除AV终结者病毒,修复“映像劫持”,修复Autorun.inf,修复安全模式
下载网址:
http://www.apsoft.com.cn/down/soft/52764.htm
AV终结者之原理
AV终结者不是指某个病毒,而是指一类具有相同特征的病毒,它们的病毒名可能多种多样,但是它们所表现出来的症状都是差不多的,而且其原理也基本相同。可以这么说,AV终结者实际上是一类病毒的总称。
其基本原理就是劫持系统IFEO镜像。
所谓的映像劫持(IFEO)就是Image File Execution Options,位于注册表的
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
由于这个项主要是用来调试程序用的,对一般用户意义不大。默认是只有管理员和local system有权读写修改。
通俗一点来说,就是比如我想运行QQ.exe,结果运行的却是FlashGet.exe,也就是说在这种情况下,QQ程序被FLASHGET给劫持了,即你想运行的程序被另外一个程序代替了。
映像劫持病毒主要通过修改注册表中的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution options 项来劫持正常的程序,比如有一个病毒 vires.exe 要劫持 qq 程序,它会在上面注册表的位置新建一个qq.exe项,再这个项下面新建一个字符串的键值 debugger 内容是:C:\WINDOWS\SYSTEM32\VIRES.EXE(这里是病毒藏身的目录)即可。当然如果你把该字符串值改为任意的其他值的话,系统就会提示找不到该文件。
既然了解了这类病毒的工作原理,那么,要剿灭它们就变得非常容易!
再教你一个放法:
1、 用WINRAR浏览磁盘根目录,打开AUTORUN.INF文件,查看其关联的DLL文件,(这些DLL病毒名都是随机的,不同的病毒文件名肯定不一样,AV是一类病毒的总称,这里只是给出查杀的原理),记下这些DLL的名字。
2、 运行WSYSCHECK(或者运行冰刃,这两个功能差不多,这里就以WSYSCHECK为例),如果系统提示不能运行,就将其改个名字,例如改为ABC.EXE或者ABC.COM,因为病毒可能劫持了WSYSCHECK的镜像,所以不改名可能无法运行。
查看进程所调用的模块,如果其中有上述AUTORUN.INF文件关联的DLL,则直接删除这些DLL模块。对于典型病毒进程(可疑的,你不认识的)都直接结束掉,如果是你确定的病毒进程,则可选择结束进程并删除文件。
服务管理功能:可疑显示所有隐藏的服务,在系统服务列表中看不到的,这里都可以看到,可以轻而易举的删除病毒加载的服务
文件管理功能:可以显示所有隐藏的文件和文件夹,对于用WINRAR无法删除的顽固病毒文件,可以直接在这里删除。
注册表管理功能:病毒可能会禁用系统注册表,使REGEDIT.EXE无法运行,那么可以用WSYSCHECK来打开注册表,搜索下面这几项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
大部分的病毒和木马都是通过加载系统启动项来运行的,也有一些是注册成为系统服务来启动,他们主要通过修改注册表来实现这个目的。
将上述几项找到,删除可疑的键值,一般来说,这里的键值和病毒DLL模块、驱动服务文件以及进程名是相关的,因此很容易发现不正常的注册表键值。
3. 将autoruns也改名,然后再运行,选择映像劫持项目,删除除Your Image File Name Here without a path之外的所有项目!
或者用WSYSCHECK的注册表管理定位到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options,删除Your Image File Name Here without a path之外的所有项目!
4、 运行SRENG,修复EXE文件关联,修复安全模式。
5、 运行USBCleaner6.0,修复显示隐藏文件和系统文件(这个工具也可疑修复安全模式)。
6、 重启进入安全模式,运行USBCleaner6.0全盘查杀。运行你的杀软进行全盘查杀。
7、 重启进入WINDOWS,再次检查
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
这几项,删除可疑键值。
运行MSCONFIG,删除可疑的自启动项
8、 至此,AV终结者已经被赶尽杀绝。
兄弟够详细了吧.搞不好不要B俺啊.俺会骂人的....不用谢
