最近AV終結者病毒很流行,許多人都中了,殺毒軟件打不開,只格C盤重裝也會馬上又中毒.因為AV終結者也在不斷的更新,所以殺毒軟件和專殺總是落后一步,不能查殺.
在這里算是打個小廣告吧,我新建了一個QQ群給大家提供一個交流的地方,群號4550740.歡迎各高手和需要幫助的朋友加入.寫這些的時候,群里只有我一個光桿司令....
現在我給大家一個手動殺毒的思路,并且以"永久下載者"為例教大家怎樣手動清除病毒.
事實上AV終結者并不是指某一個特定的病毒,其本身也沒有遠程控制和盜號的功能.AV終結者的作用就是下載一個或幾個指定網址的木馬,但AV終結者給自已設定許多保護措施,它會關閉大多數殺毒軟件和殺毒輔助軟件,并且在各個分區(qū)生成autorun.inf以及寫入注冊表,生成映像劫持等等.
"永久下載者"就是AV終結者中比較典型的一種,上面提過AV終結者并不是指某一特定的病毒,所以這里只能提供手動殺毒思路,完全按照我的殺毒步驟并不一定就能完全清除.所以這個教程適合對電腦比較了解的人.在文章最后我也會給出比較適合初學者的只格C盤重裝系統(tǒng)不會馬上再中毒的方法.
好,下面開始動手.
工欲善其事,必先利其器.所以,先準備一下會用到的三個殺毒輔助軟件
1.Icesword II 1.20(冰刃)
下載地址:http://www.crsky.com/soft/6947.html
2.Autoruns
下載地址:http://www.crsky.com/soft/5285.html
3.SREng
下載地址:http://www.kztechs.com/sreng/download.html
對于這個病毒,Icesword和Autoruns是主力,原因在后面會提到.
如果在中毒期間曾使用過閃盤移動硬盤之類的,最好接上一起殺,免得剛殺完一插閃盤又中毒.
一 
先把這三個軟件改名,名字改為無規(guī)則的就行了.比如我這里,Icesword改為ii.exe,Autoruns改名為aa.exe,SREng改名為ss.exe
如圖1.


很多人都說中了這個病毒上面的三個軟件都打不開,原因是病毒對常用殺毒軟件和殺毒輔助軟件進行了映像劫持,運行這些軟件不改名的話,就等于執(zhí)行了病毒文件.我們可以先運行Autoruns(已經改名為aa.exe了,下面我只提軟件名字,不再提示是改名前的名字了).
如圖2.

發(fā)現了什么?呵呵,常見殺毒軟件和輔助軟件的名字基本都在這兒了.只要你運行和這個列表里名字相同的軟件,就會自動轉向運行病毒文件.

二

運行Icesword,尋找病毒進程,永久下載者有兩個進程,互相保護,使用Windows的任務管理器是關不掉它的進程的.所以這里要求是對電腦較了解的人,要不然不知道病毒進程是哪些.因為AV終結者有很多類型,所以需要自已判斷哪些是病毒進程.

如圖3,

找到病毒進程,首先記下后面病毒的路徑.按住Ctrl把兩個進程都選上,點右鍵結束進程,因為兩個進程同時關閉,所以病毒的進程保護就不起作用了.刷新幾次,看看有沒有新的病毒進程,如果沒有,就可以進行下一步了.

三
點Icesword左側的"文件",找到上面記下的路徑里的兩件文件,刪除.然后找到C:\D:\E:\等各個分區(qū)根目錄下的autorun.inf和*****.exe,*****.exe就是autorun.inf里面寫著的程序名,我這里是epijcxh.exe.
如圖4.

現在AV終結者病毒對Autorun.inf文件進行了改進,右鍵不會出現Auto的字樣,雙擊也可以進入分區(qū),但不管右鍵點打開進入還是雙擊進入,都會運行病毒文件,這就是許多人只格C盤重裝后馬上又中毒的原因.要刪除這幾個文件必須要用第三方的軟件,比如Winrar,Icesword,Totalcmd等資源管理器軟件,或者Windows的cmd命令行,否則進入分區(qū)后就運行了病毒程序,前面的所做的一切都要重新來一遍.
注意:刪除了Autorun.inf和*****.exe之后,不管右鍵還是雙擊都進不去這個分區(qū)了,如果想找到某個文件或運行某個程序,可以直接在地址欄中輸入 c: 或 d: 等等然后回車來進入這個分區(qū)
四
現在輪到Autoruns出場了,運行Autoruns,點"用戶登錄",找到病毒寫入注冊表的啟動命令.點右鍵刪除這兩個.后面顯示的是"未找到文件",因為我們剛才在Icesword里面已經把這兩件文件刪除了.
如圖5.

然后再點映像劫持,把除了最后的Your Image File Name Here without a path   c:\windows\system32\ntsd.exe之外的全都刪除,累啊,這么多....刪完后應該是這樣的,如圖6.

到此,AV終結者病毒基本已經清除了.但是....呵呵,一聽到但是,就知道還沒完.因為我們僅僅清除了AV終結者,AV終結者所下載下來的木馬我們還沒有殺.大家都注意到了圖3中紅色的iexplorer進程了吧,這就是AV終結者下載下來的灰鴿子木馬進程.Icesword可以發(fā)現隱藏進程并用紅色表示,在Windows任務管理器下是看不到這個進程的.一般情況下這種紅色進程都不是什么好鳥~
文章開始已經說了AV終結者有很多類型,并不是每一種都像"永久下載者"這樣只寫入注冊表啟動項.所以SREng這時候就派上用場了,使用SREng掃描,把注冊表啟動項,服務,驅動這些都檢測一遍,結合Icesword可以一起把木馬也清除掉.因為SREng的使用需要對電腦的服務項和驅動項都比較了解,電腦初學者可以使用SREng的智能掃描掃一個報告發(fā)到一些大論壇上請高手指導你哪些要刪.這里我就不詳細演示怎么手動殺掉灰鴿子了,使用SREng和Icesword很容易就可以清除掉.

我還考慮做一個動畫教程,但現在是在辦公室里機子很爛也不太方便,以后有時間我會做的.
歡迎大家加入群:4550740

最新評論