最近AV終結(jié)者病毒很流行,許多人都中了,殺毒軟件打不開(kāi),只格C盤(pán)重裝也會(huì)馬上又中毒.因?yàn)锳V終結(jié)者也在不斷的更新,所以殺毒軟件和專殺總是落后一步,不能查殺.
在這里算是打個(gè)小廣告吧,我新建了一個(gè)QQ群給大家提供一個(gè)交流的地方,群號(hào)4550740.歡迎各高手和需要幫助的朋友加入.寫(xiě)這些的時(shí)候,群里只有我一個(gè)光桿司令....
現(xiàn)在我給大家一個(gè)手動(dòng)殺毒的思路,并且以"永久下載者"為例教大家怎樣手動(dòng)清除病毒.
事實(shí)上AV終結(jié)者并不是指某一個(gè)特定的病毒,其本身也沒(méi)有遠(yuǎn)程控制和盜號(hào)的功能.AV終結(jié)者的作用就是下載一個(gè)或幾個(gè)指定網(wǎng)址的木馬,但AV終結(jié)者給自已設(shè)定許多保護(hù)措施,它會(huì)關(guān)閉大多數(shù)殺毒軟件和殺毒輔助軟件,并且在各個(gè)分區(qū)生成autorun.inf以及寫(xiě)入注冊(cè)表,生成映像劫持等等.
"永久下載者"就是AV終結(jié)者中比較典型的一種,上面提過(guò)AV終結(jié)者并不是指某一特定的病毒,所以這里只能提供手動(dòng)殺毒思路,完全按照我的殺毒步驟并不一定就能完全清除.所以這個(gè)教程適合對(duì)電腦比較了解的人.在文章最后我也會(huì)給出比較適合初學(xué)者的只格C盤(pán)重裝系統(tǒng)不會(huì)馬上再中毒的方法.
好,下面開(kāi)始動(dòng)手.
工欲善其事,必先利其器.所以,先準(zhǔn)備一下會(huì)用到的三個(gè)殺毒輔助軟件
1.Icesword II 1.20(冰刃)
下載地址:http://www.crsky.com/soft/6947.html
2.Autoruns
下載地址:http://www.crsky.com/soft/5285.html
3.SREng
下載地址:http://www.kztechs.com/sreng/download.html
對(duì)于這個(gè)病毒,Icesword和Autoruns是主力,原因在后面會(huì)提到.
如果在中毒期間曾使用過(guò)閃盤(pán)移動(dòng)硬盤(pán)之類的,最好接上一起殺,免得剛殺完一插閃盤(pán)又中毒.
一 
先把這三個(gè)軟件改名,名字改為無(wú)規(guī)則的就行了.比如我這里,Icesword改為ii.exe,Autoruns改名為aa.exe,SREng改名為ss.exe
如圖1.


很多人都說(shuō)中了這個(gè)病毒上面的三個(gè)軟件都打不開(kāi),原因是病毒對(duì)常用殺毒軟件和殺毒輔助軟件進(jìn)行了映像劫持,運(yùn)行這些軟件不改名的話,就等于執(zhí)行了病毒文件.我們可以先運(yùn)行Autoruns(已經(jīng)改名為aa.exe了,下面我只提軟件名字,不再提示是改名前的名字了).
如圖2.

發(fā)現(xiàn)了什么?呵呵,常見(jiàn)殺毒軟件和輔助軟件的名字基本都在這兒了.只要你運(yùn)行和這個(gè)列表里名字相同的軟件,就會(huì)自動(dòng)轉(zhuǎn)向運(yùn)行病毒文件.

二

運(yùn)行Icesword,尋找病毒進(jìn)程,永久下載者有兩個(gè)進(jìn)程,互相保護(hù),使用Windows的任務(wù)管理器是關(guān)不掉它的進(jìn)程的.所以這里要求是對(duì)電腦較了解的人,要不然不知道病毒進(jìn)程是哪些.因?yàn)锳V終結(jié)者有很多類型,所以需要自已判斷哪些是病毒進(jìn)程.

如圖3,

找到病毒進(jìn)程,首先記下后面病毒的路徑.按住Ctrl把兩個(gè)進(jìn)程都選上,點(diǎn)右鍵結(jié)束進(jìn)程,因?yàn)閮蓚€(gè)進(jìn)程同時(shí)關(guān)閉,所以病毒的進(jìn)程保護(hù)就不起作用了.刷新幾次,看看有沒(méi)有新的病毒進(jìn)程,如果沒(méi)有,就可以進(jìn)行下一步了.

三
點(diǎn)Icesword左側(cè)的"文件",找到上面記下的路徑里的兩件文件,刪除.然后找到C:\D:\E:\等各個(gè)分區(qū)根目錄下的autorun.inf和*****.exe,*****.exe就是autorun.inf里面寫(xiě)著的程序名,我這里是epijcxh.exe.
如圖4.

現(xiàn)在AV終結(jié)者病毒對(duì)Autorun.inf文件進(jìn)行了改進(jìn),右鍵不會(huì)出現(xiàn)Auto的字樣,雙擊也可以進(jìn)入分區(qū),但不管右鍵點(diǎn)打開(kāi)進(jìn)入還是雙擊進(jìn)入,都會(huì)運(yùn)行病毒文件,這就是許多人只格C盤(pán)重裝后馬上又中毒的原因.要?jiǎng)h除這幾個(gè)文件必須要用第三方的軟件,比如Winrar,Icesword,Totalcmd等資源管理器軟件,或者Windows的cmd命令行,否則進(jìn)入分區(qū)后就運(yùn)行了病毒程序,前面的所做的一切都要重新來(lái)一遍.
注意:刪除了Autorun.inf和*****.exe之后,不管右鍵還是雙擊都進(jìn)不去這個(gè)分區(qū)了,如果想找到某個(gè)文件或運(yùn)行某個(gè)程序,可以直接在地址欄中輸入 c: 或 d: 等等然后回車來(lái)進(jìn)入這個(gè)分區(qū)
四
現(xiàn)在輪到Autoruns出場(chǎng)了,運(yùn)行Autoruns,點(diǎn)"用戶登錄",找到病毒寫(xiě)入注冊(cè)表的啟動(dòng)命令.點(diǎn)右鍵刪除這兩個(gè).后面顯示的是"未找到文件",因?yàn)槲覀儎偛旁贗cesword里面已經(jīng)把這兩件文件刪除了.
如圖5.

然后再點(diǎn)映像劫持,把除了最后的Your Image File Name Here without a path   c:\windows\system32\ntsd.exe之外的全都刪除,累啊,這么多....刪完后應(yīng)該是這樣的,如圖6.

到此,AV終結(jié)者病毒基本已經(jīng)清除了.但是....呵呵,一聽(tīng)到但是,就知道還沒(méi)完.因?yàn)槲覀儍H僅清除了AV終結(jié)者,AV終結(jié)者所下載下來(lái)的木馬我們還沒(méi)有殺.大家都注意到了圖3中紅色的iexplorer進(jìn)程了吧,這就是AV終結(jié)者下載下來(lái)的灰鴿子木馬進(jìn)程.Icesword可以發(fā)現(xiàn)隱藏進(jìn)程并用紅色表示,在Windows任務(wù)管理器下是看不到這個(gè)進(jìn)程的.一般情況下這種紅色進(jìn)程都不是什么好鳥(niǎo)~
文章開(kāi)始已經(jīng)說(shuō)了AV終結(jié)者有很多類型,并不是每一種都像"永久下載者"這樣只寫(xiě)入注冊(cè)表啟動(dòng)項(xiàng).所以SREng這時(shí)候就派上用場(chǎng)了,使用SREng掃描,把注冊(cè)表啟動(dòng)項(xiàng),服務(wù),驅(qū)動(dòng)這些都檢測(cè)一遍,結(jié)合Icesword可以一起把木馬也清除掉.因?yàn)镾REng的使用需要對(duì)電腦的服務(wù)項(xiàng)和驅(qū)動(dòng)項(xiàng)都比較了解,電腦初學(xué)者可以使用SREng的智能掃描掃一個(gè)報(bào)告發(fā)到一些大論壇上請(qǐng)高手指導(dǎo)你哪些要?jiǎng)h.這里我就不詳細(xì)演示怎么手動(dòng)殺掉灰鴿子了,使用SREng和Icesword很容易就可以清除掉.

我還考慮做一個(gè)動(dòng)畫(huà)教程,但現(xiàn)在是在辦公室里機(jī)子很爛也不太方便,以后有時(shí)間我會(huì)做的.
歡迎大家加入群:4550740

最新評(píng)論