最近AV終結(jié)者病毒很流行,許多人都中了,殺毒軟件打不開,只格C盤重裝也會馬上又中毒.因為AV終結(jié)者也在不斷的更新,所以殺毒軟件和專殺總是落后一步,不能查殺.
在這里算是打個小廣告吧,我新建了一個QQ群給大家提供一個交流的地方,群號4550740.歡迎各高手和需要幫助的朋友加入.寫這些的時候,群里只有我一個光桿司令....
現(xiàn)在我給大家一個手動殺毒的思路,并且以"永久下載者"為例教大家怎樣手動清除病毒.
事實(shí)上AV終結(jié)者并不是指某一個特定的病毒,其本身也沒有遠(yuǎn)程控制和盜號的功能.AV終結(jié)者的作用就是下載一個或幾個指定網(wǎng)址的木馬,但AV終結(jié)者給自已設(shè)定許多保護(hù)措施,它會關(guān)閉大多數(shù)殺毒軟件和殺毒輔助軟件,并且在各個分區(qū)生成autorun.inf以及寫入注冊表,生成映像劫持等等.
"永久下載者"就是AV終結(jié)者中比較典型的一種,上面提過AV終結(jié)者并不是指某一特定的病毒,所以這里只能提供手動殺毒思路,完全按照我的殺毒步驟并不一定就能完全清除.所以這個教程適合對電腦比較了解的人.在文章最后我也會給出比較適合初學(xué)者的只格C盤重裝系統(tǒng)不會馬上再中毒的方法.
好,下面開始動手.
工欲善其事,必先利其器.所以,先準(zhǔn)備一下會用到的三個殺毒輔助軟件
1.Icesword II 1.20(冰刃)
下載地址:http://www.crsky.com/soft/6947.html
2.Autoruns
下載地址:http://www.crsky.com/soft/5285.html
3.SREng
下載地址:http://www.kztechs.com/sreng/download.html
對于這個病毒,Icesword和Autoruns是主力,原因在后面會提到.
如果在中毒期間曾使用過閃盤移動硬盤之類的,最好接上一起殺,免得剛殺完一插閃盤又中毒.
一 
先把這三個軟件改名,名字改為無規(guī)則的就行了.比如我這里,Icesword改為ii.exe,Autoruns改名為aa.exe,SREng改名為ss.exe
如圖1.


很多人都說中了這個病毒上面的三個軟件都打不開,原因是病毒對常用殺毒軟件和殺毒輔助軟件進(jìn)行了映像劫持,運(yùn)行這些軟件不改名的話,就等于執(zhí)行了病毒文件.我們可以先運(yùn)行Autoruns(已經(jīng)改名為aa.exe了,下面我只提軟件名字,不再提示是改名前的名字了).
如圖2.

發(fā)現(xiàn)了什么?呵呵,常見殺毒軟件和輔助軟件的名字基本都在這兒了.只要你運(yùn)行和這個列表里名字相同的軟件,就會自動轉(zhuǎn)向運(yùn)行病毒文件.

二

運(yùn)行Icesword,尋找病毒進(jìn)程,永久下載者有兩個進(jìn)程,互相保護(hù),使用Windows的任務(wù)管理器是關(guān)不掉它的進(jìn)程的.所以這里要求是對電腦較了解的人,要不然不知道病毒進(jìn)程是哪些.因為AV終結(jié)者有很多類型,所以需要自已判斷哪些是病毒進(jìn)程.

如圖3,

找到病毒進(jìn)程,首先記下后面病毒的路徑.按住Ctrl把兩個進(jìn)程都選上,點(diǎn)右鍵結(jié)束進(jìn)程,因為兩個進(jìn)程同時關(guān)閉,所以病毒的進(jìn)程保護(hù)就不起作用了.刷新幾次,看看有沒有新的病毒進(jìn)程,如果沒有,就可以進(jìn)行下一步了.

三
點(diǎn)Icesword左側(cè)的"文件",找到上面記下的路徑里的兩件文件,刪除.然后找到C:\D:\E:\等各個分區(qū)根目錄下的autorun.inf和*****.exe,*****.exe就是autorun.inf里面寫著的程序名,我這里是epijcxh.exe.
如圖4.

現(xiàn)在AV終結(jié)者病毒對Autorun.inf文件進(jìn)行了改進(jìn),右鍵不會出現(xiàn)Auto的字樣,雙擊也可以進(jìn)入分區(qū),但不管右鍵點(diǎn)打開進(jìn)入還是雙擊進(jìn)入,都會運(yùn)行病毒文件,這就是許多人只格C盤重裝后馬上又中毒的原因.要刪除這幾個文件必須要用第三方的軟件,比如Winrar,Icesword,Totalcmd等資源管理器軟件,或者Windows的cmd命令行,否則進(jìn)入分區(qū)后就運(yùn)行了病毒程序,前面的所做的一切都要重新來一遍.
注意:刪除了Autorun.inf和*****.exe之后,不管右鍵還是雙擊都進(jìn)不去這個分區(qū)了,如果想找到某個文件或運(yùn)行某個程序,可以直接在地址欄中輸入 c: 或 d: 等等然后回車來進(jìn)入這個分區(qū)
四
現(xiàn)在輪到Autoruns出場了,運(yùn)行Autoruns,點(diǎn)"用戶登錄",找到病毒寫入注冊表的啟動命令.點(diǎn)右鍵刪除這兩個.后面顯示的是"未找到文件",因為我們剛才在Icesword里面已經(jīng)把這兩件文件刪除了.
如圖5.

然后再點(diǎn)映像劫持,把除了最后的Your Image File Name Here without a path   c:\windows\system32\ntsd.exe之外的全都刪除,累啊,這么多....刪完后應(yīng)該是這樣的,如圖6.

到此,AV終結(jié)者病毒基本已經(jīng)清除了.但是....呵呵,一聽到但是,就知道還沒完.因為我們僅僅清除了AV終結(jié)者,AV終結(jié)者所下載下來的木馬我們還沒有殺.大家都注意到了圖3中紅色的iexplorer進(jìn)程了吧,這就是AV終結(jié)者下載下來的灰鴿子木馬進(jìn)程.Icesword可以發(fā)現(xiàn)隱藏進(jìn)程并用紅色表示,在Windows任務(wù)管理器下是看不到這個進(jìn)程的.一般情況下這種紅色進(jìn)程都不是什么好鳥~
文章開始已經(jīng)說了AV終結(jié)者有很多類型,并不是每一種都像"永久下載者"這樣只寫入注冊表啟動項.所以SREng這時候就派上用場了,使用SREng掃描,把注冊表啟動項,服務(wù),驅(qū)動這些都檢測一遍,結(jié)合Icesword可以一起把木馬也清除掉.因為SREng的使用需要對電腦的服務(wù)項和驅(qū)動項都比較了解,電腦初學(xué)者可以使用SREng的智能掃描掃一個報告發(fā)到一些大論壇上請高手指導(dǎo)你哪些要刪.這里我就不詳細(xì)演示怎么手動殺掉灰鴿子了,使用SREng和Icesword很容易就可以清除掉.

我還考慮做一個動畫教程,但現(xiàn)在是在辦公室里機(jī)子很爛也不太方便,以后有時間我會做的.
歡迎大家加入群:4550740

最新評論