newheur_pe(AV终结者) 查杀手记
中病毒啦!杀毒软件无法启动,打开带“杀毒”字样的窗口自动关闭,卡卡、360、兔子、大师集体崩溃,安全模式不能启用,重装系统再次中毒……都是"AV终结者"惹的祸! 怎么查杀?
注意:如果你仅仅是想杀掉这个病毒,请使用专杀工具。点这里下载。如果你想知道我是怎么跟这个病毒挑战的,那么请继续。如果不知道我在说什么,麻烦点下右上角的*或者按下快捷键Ctrl+W。
一个幽灵,“杀毒软件克星”的幽灵,在互联网上徘徊——
先来听网上的一片喊声吧。
这是一个刚装不久的XP2系统,上网不到三天,突然发现如下现象:
1、升级到2007-5-22日的瑞星杀毒软件绿伞不见了;
2、随系统启动的360卫士的绿盾也没有了;
3、超级兔子双击后一闪就没有了(任务管理器中也没有);
4、瑞星卡卡不能启动;
5、ewido运行它也没有反应;
6、Wopti 流氓软件清除大师也是一闪就关了;
7、网页可以正常浏览,上网也正常,百度也可以搜索,但是但是但是当我输入:“杀毒软件无法运行”之类的关键词时,一点“百度搜索”浏览器就关闭了,可搜索其它关键却不出现这种情况(我用的是IE6.0换了firefox还是这样。。。);
8、后来我用GHOST几次还原系统到没上网前备份的状态(装机时网没通就做了一个备份),系统刚打开时还可以运行瑞星,可不到几分钟又自动关闭了(这些杀毒软件也太不禁风雨了!)一切又如上面描述的那样了(这时网络是断开 的)。
9、用安全模式登录系统就出现蓝屏(反几次登录都 这样)
10、任务管理器中有几个不明进程:好像有一个51944.exe吧,我记不清了
11、……
12、不过一些与杀毒无关的播放软件,小游戏如:千千静听、连连看、暴风影音等都可正常使用。
我要声明下,中了木马后杀毒利器兵刃(IceSword)是启动不了的,否则我们今天也不用费这么大的力气。也不浪费大家时间,准备好家伙,我们动手吧!
武林至尊宝刀屠龙,号令天下莫敢不从,倚天不出谁与争锋!首先请出我们的金刚钻:
1、 SSM(System Security Monitor)(系统安全超级工具)
2、 Restorator 2006 (应用程序资源修改器)
3、 360安全卫士、瑞星卡卡(负责收尾工作)
把这些工具的安装文件下载到桌面上,杀毒期间不要打开C盘(系统盘)以外的其他磁盘驱动器。拔掉网线。
杀毒第一步:安装Restorator 2006和SSM。注意安装时请将文件名SETUP.EXE改名,比如123.exe之类,否则安装不了。为什么?因为我们的程序被劫持了。谁劫持的?打开注册表找到:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ 看看吧,都看看吧!好阴险的病毒啊!凡是它列出来的程序都被拦截了,拦截我们的是"Debugger"键值所对应的文件C:\\PROGRA~1\\COMMON~1\\MICROS~1\\MSINFO\\02D309A1.dat 一不做二不休,cmd下先把这个文件名字改掉再说。
第二步:修改ssm程序版权信息。请注意SSM不要安装在默认文件夹下!运行Restorator 2006 ,点文件-〉打开-〉选择D:\11\SysSafe.exe
展开左侧资源树,找到版权信息,删除。操作如下图。
删除后,将程序另存为SysSafe2.exe。
第三步:启动安全检测工具SSM(SysSafe2.exe)
参照下图所示,凡是黑色的进程一律保留,其他所程序都应该结束。结束的方法是,鼠标选中该程序,按下键盘上的F2键。然后再点右键terminate,把它杀掉。
最后留下的进程有:smss.exe、csrss.exe、winlogon.exe、services.exe、svchost.exe、lsass.exe、explorer.exe和SysSafe2.exe
Yeah!整个世界清静了许多!
第四步:定位病毒
鼠标点击explorer.exe,然后看module lists(模块列表),找到没有版权信息的几个dll文件。看到那个名字最长的C:\Program Files\Common Files\Microsoft Shared\MSInfo\02D309A1.dll了吧,不用怀疑,就是他了!好,鼠标选中,右键看属性。弹出属性对话框, 02D309A1.dll改成你喜欢的名字,点击确定就行了。同样的方法我们还能找到svchost.exe中其中有一个也被插入了改dll。我们把explorer.exe和被插入dll的svchost.exe结束掉。
第五步:删除病毒 将C:\\PROGRA~1\\COMMON~1\\MICROS~1\\MSINFO\\02D309A1.dat和C:\Program Files\Common Files\Microsoft Shared\MSInfo\02D309A1.dll改名后的文件删除。但是现在还删除不了,等下次重启后才有效。现在要把非系统盘双击不能打开的问题解决掉。开始菜单运行cmd,回车。D:回车进入D盘。Attrib autorun.inf –s –h –r & del autorun.inf
删除 autuorun.inf。依次删除另外两个隐藏文件:如果还有其他盘符,也需要这样操作。最好把你的U盘也清理下。记得插入U盘时按住键盘上的shift键。
第六步:收尾工作。 重新启动计算机,安装杀毒软件。
最近AV终结者泛滥,你一定中了AV终结者病毒了.
解决方法:
1. 在能正常上网的电脑上登录金山毒霸网站下载AV终结者病毒专杀工具
下载地址:http://zhuansha.duba.net/259.shtml
2. 在正常的电脑上禁止自动播放功能,以避免通过插入U盘或移动硬盘而被病毒感染.把AV终结者专杀工具从正常的电脑复制到U盘或移动硬盘上,然后再复制到中毒的电脑上。
3. 执行AV终结者专杀工具,清除已知的病毒,修复被系统配置。
(注:AV终结者专杀工具的重要功能是修复被破坏的系统,包括修复映像劫持;修复被破坏的安全模式;修复隐藏文件夹的正常显示和删除各磁盘分区的自动播放配置。)
4. 不要立即重启电脑,然后启动杀毒软件,升级病毒库,进行全盘扫描。以清除木马下载器下载的其它病毒。
如何防范“AV终结者”?
因为AV终结者病毒一旦感染,清除过程相当复杂,可能不少用户就会去重装。我们建议用户不要轻易重装系统,使用我们推荐的步骤完成清除,必要时拨打客服电话,请求支持。请采取以下措施防范AV终结者病毒
1. 使用金山网镖或Windows防火墙,可有效防止网络病毒通过黑客攻击手段入侵。
2. 使用者windows update来修补系统漏洞,特别需要注意安装浏览器的最新补丁。
3. 升级杀毒软件,开启实时监控
4. 关闭windows的自动播放功能
中了AV终结者了,到百度一下有很多专杀的!
你也可试下进入安全模式看能不能直接启动卡巴
不行就在运行输入msconfig回车,把启动里的不明启动项的勾去掉,应用重启再进入安全模式直接启动卡巴!
还不行就把硬盘挂到别人的机子上用专杀杀,先在别人的机子上下载专杀!
又一个这样的,我只能告诉你重装系统,不过也不安全,装完立即杀毒,只要你的杀毒软件够好,一定就行!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
进入安全模式用杀毒软件杀,你这病毒有点像熊猫烧香
内容全部来源于网络收集,如有侵权,请联系网站删除:QQ:24596024