中招了！我所见过的最恶毒的病＃毒—“AV终结者”@_@大家小心！！！

steed

AV终结者(随机八位数，映像劫持，破坏安全模式)病毒解决方案
出处：DSW Avert 时间：2007年6月11日

, ~8 M6 E& g! Y0 l' T2 Y" ]最近，一种病毒变种(以随机八位字符为文件名)疯狂传播。由于病毒制造者会经常更新病毒文件，使病毒变种狂增，一方面使很多用户深受其害，更一方面使得专杀效果不是很好，所以还是建议进行手工查杀。
' e9 J- B- D9 U( M( g0 b- T          一、病毒相关分析：
          　　病毒标签：
5 m! \2 z4 \3 h6 I3 l+ S3 W        病毒名称：Trojan-PSW.Win32.Nilage.gen/Virus.Win32.Autorun.gen
, b6 w7 t, @1 O$ ]* E5 n        病毒别名：帕虫--瑞星，AV终结者--金山，U盘寄生虫--江民
        病毒类型：病毒
        危害级别：5
        感染平台：Windows 平台
        病毒大小：33,363 (字节)
        SHA1　　：d8ced73c38439ca03bd2f4f07a492b58b9a82947
) F7 R2 L6 w" |/ j9 }$ c+ V1 l( g        加壳类型：upx
& \; ^, t# z& Y0 }' ?        开发工具：Delphi
　　病毒分析：

       1、运行病毒文件后，会生成以下文件：
          %CommonProgramFiles%\Microsoft Shared\MSInfo\随机八位字符.dll (46163字节)
          %CommonProgramFiles%\Microsoft Shared\MSInfo\随机八位字符.dat (33363字节)
          %SystemRoot%\Help\随机八位字符.chm                            (33363字节)
          %SystemRoot%\随机八位字符.hlp                                    (33字节)
: l" q: y4 q  Q; v8 Q4 e8 S          在除系统盘外的各盘根目录下生成
1 a! K9 e, o/ q( ~# G% J          autorun.inf                                                     (172字节)
4 p0 V# f( z& w          随机八位字符.exe                                              (33363字节)

  H3 F3 ]9 A5 P; X* g7 J8 z[ 本帖最后由 steed 于 2007-6-21 13:52 编辑 ]

steed

2、关闭运行的安全软件，监控并关闭以下含有以下字符串的文件夹、窗体、进程、服务、网页或文本：
6 t  K6 d+ z5 a) T0 V: v
          AntiVirus、Trojan、Firewall、Kaspersky、JiangMin、KV200、kxp、Rising、RAV、RFW、KAV200、KAV6、
          McAfe、Network Associates、TrustPort、Norton、Symantec、SYMANT~1、Norton、SystemWorks、ESET、
* T/ W  k/ O# q1 L( \, s          Grisoft、F-Pro、Alwil Software、ALWILS~1、F-Secure、ArcaBit、Softwin、ClamWin、DrWe、Fortine、
          anda Software、Vba3、TrendMicro、QUICKH~1、TRENDM~1、Quick Heal、eSaf、ewido、Prevx1、ersavg、
          Ikarus、Sopho、Sunbelt、PC-cilli、ZoneAlar、 Agnitum、WinAntiVirus、AhnLab、Norma、surfsecret、
          Bullguard、BlackICE、Armor2net、360safe、SkyNet、k2007、AntiyLabs、LinDirMicro Lab、Filseclab、ast、
1 I4 e5 T  @& y* }          System Safety Monitor、ProcessGuard、FengYun、Lavasoft、Defendio、kis6、Behead、sreng、IceSword、
- ?& }% h" Z) I) h" a          HijackThis、killbox、procexp、Magicset、EQSysSecure、ProSecurity、Yahoo!、Google、baidu、P4P、
# R8 ]  t# M' e+ x  @8 S# o          Sogou PXP、yaskp.sys、BDGuard.sys、超级兔子、木马、KSysFilt.sys、KSysCall.sys、AVK、K7、Zondex、
) Z( m6 G; ^9 `) g          blcorp、TinyFirewall Pro、Jetico、HAURI、CA、kmx、PCClear_Plus、Novatix、Ashampoo、WinPatrol、
4 ^, ~/ p5 i5 V2 b          Spy Cleaner Gold、CounterSpy、EagleEyeOS、Webroot、BufferZone、avp、AgentSvr、Ccenter、Rav、
) V! V  m4 W2 G8 r0 X' L- Q5 F          RavMonD、RavStub、RavTask、rfwcfg、rfwsrv、RsAgent、Rsaupd、runiep、SmartUp、FileDsty、RegClean、
          360tray、360Safe、360rpt、kabaload、safelive、Ras、KASMain、KASTask、KAV32、KAVDX、KAVStart、
- f3 X& Z9 p3 ^1 S3 d( C' v          KISLnchr、KmailMon、KMFilter、KPFW32、KPFW32X、KPFWSvc、KWatch9x、Kwatch、KwatchX、TrojanDetector、
          UpLive.EXE、KVSrvXP、KvDetect、KregEx、kvol、kvolself、kvupload、kvwsc、UIHost、IceSword、iparmo、
          mmsk、adam、MagicSet、PFWLiveUpdate、SREng、WoptiClean、scan32、shcfg32、mcconsol、HijackThis、
, i* a+ @) Z' _3 t; G( M          mmqcj、Trojanwall、FTCleanerShell、loaddll.、rfwProxy、KsLoader、KvfwMcl、autoruns.、AppSvc32、
          ccSvcHst、isPwdSvc、symlcsvc、nod32kui、avgrssvc、RfwMain、KAVPFW、Iparmor、nod32krn、PFW、RavMon、
/ Z0 {; ~7 T8 S6 M' m          KAVSetup、NAVSetup、SysSafe、QHSET、xsweep.、AvMonitor、UmxCfg、UmxFwHlp、UmxPol、UmxAgent、
          UmxAttachment、KPFW32、KPFW32X、KvXP_1、KVMonXP_1、KvReport、KVScan、KVStub、KvXP、KVMonXP、KVCenter、
          TrojDie、avp.com、krepair.COM、KaScrScn.SCR、Trojan、Virus、kaspersky、jiangmin、rising、ikaka、duba、
          kingsoft、360safe、木马、木馬、病毒、杀毒、殺毒、查毒、防毒、反病毒、专杀、專殺、卡巴、江民、瑞星、
          卡卡社区、金山毒霸、毒霸、金山、社区、360安全、恶意软件、流氓软件、举报、报警、杀软、殺軟、防駭、微点、
          MSInfo、WinRAR、KvNative、bsmain、aswBoot

steed

3、删除以下注册表项破坏安全模式
          HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
& ?2 |8 m( D4 j          HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}
          HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
5 x7 O4 K/ X9 h          HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}
( j% r& I2 B. y/ [. M) i          修改系统隐藏属性:
, b' r7 e' S' e  C          改HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
+ s: [- l! O* ~) C- K          Folder\Hidden\SHOWALL\CheckedValue值为0
( r7 F/ d# u' y. ~% v( g          //1为显示隐藏文件

steed

4、添加IFEO映像劫持项
0 r$ W! R+ P0 E# _0 r5 o) X          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360rpt.exe
          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360Safe.exe
          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360tray.exe
          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\adam.exe
. o  o8 N6 U1 {; I5 y; `4 Z1 s          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AgentSvr.exe
          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AppSvc32.exe
: U; Q( v) R+ r$ V8 |          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AST.exe
7 v; D0 G- |/ I7 \8 `          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\autoruns.exe
          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avgrssvc.exe
          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AvMonitor.exe
6 e" i; X3 F( O$ m) p+ c          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.com
, G2 W9 o. ~( ?) ]( k5 l- ~4 d9 u6 O          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.exe
) `( t" w) ?9 R' O! `4 {/ m. c          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\CCenter.exe
* }0 Z5 f7 k+ q3 V          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ccSvcHst.exe
          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\FileDsty.exe
, z( n  k* i/ K% g          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\FTCleanerShell.exe
  m: w& \: s% Z          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\HijackThis.exe
3 z9 l# b9 K* h* k' Z* P( r. w; l          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IceSword.exe
          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\iparmo.exe
          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Iparmor.exe
          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\isPwdSvc.exe
7 @  X7 Y) K7 K          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kabaload.exe
          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KaScrScn.SCR
# A( t  ^) L1 I; g          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KASMain.exe
          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KASTask.exe

steed

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAV32.exe
4 w4 c6 o# w* o) k3 s$ L% W          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVDX.exe
          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVPFW.exe
; H4 A3 E5 ^( e, J, {7 N          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVSetup.exe
          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVStart.exe
1 G( a4 `: H% R          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KISLnchr.exe
          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KMailMon.exe
6 H- t- F3 ~  d  ~$ ]/ }1 v          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KMFilter.exe
          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KPFW32.exe
          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KPFW32X.exe
          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KPFWSvc.exe
* R7 M+ g! t1 R0 P" a$ w          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KRegEx.exe
# r3 _. }- ~* [          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\krepair.COM
          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KsLoader.exe
          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVCenter.kxp
* ^  H8 _9 s3 s8 S" L: [          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KvDetect.exe
          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KvfwMcl.exe
          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVMonXP.kxp
7 Z. a! t' g1 g8 d" s, v          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVMonXP_1.kxp
          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kvol.exe
6 M4 H6 }& Y) ~6 e          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kvolself.exe
          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KvReport.kxp
          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVScan.kxp
6 a# [* f( r9 S0 D          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVSrvXP.exe
          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVStub.kxp
          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kvupload.exe
          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kvwsc.exe
          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KvXP.kxp
          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KvXP_1.kxp
# l2 R- A  K* H2 x! X( E          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KWatch.exe
          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KWatch9x.exe
( K. n9 a& j: A5 F$ d0 [3 B          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KWatchX.exe
          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\loaddll.exe
          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MagicSet.exe
* X/ f7 o( D  D  P4 b& a7 F) E( u          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mcconsol.exe
          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mmqczj.exe
          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mmsk.exe
: D# P* j6 J* e1 D          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\NAVSetup.exe
- K1 \& _* Z; a, V! F          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\nod32krn.exe
          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\nod32kui.exe
% }. z" {, H$ [7 ~" O% J1 Z0 c          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PFW.exe
          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PFWLiveUpdate.exe

steed

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\QHSET.exe
          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Ras.exe
; p! x% }$ a" {+ j7 P) A" D          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Rav.exe
8 Y( ]  |' }4 ?  R          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavMon.exe
          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavMonD.exe
, L0 O( A( [$ \5 r+ @          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavStub.exe
9 ]4 ~9 l6 e/ b% }; c          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavTask.exe
          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RegClean.exe
          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rfwcfg.exe
7 N4 d- p8 `! d, ]" h! e2 C          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RfwMain.exe
' i5 r9 F) H0 H' R7 I* O          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rfwProxy.exe
          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rfwsrv.exe
          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RsAgent.exe
- u3 `) O- F' G$ |& t; G8 x+ n8 g. F          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Rsaupd.exe
  w9 Q2 q" a" M) c          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\runiep.exe
          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\safelive.exe
3 F: T  S9 Z9 P1 W          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\scan32.exe
          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\shcfg32.exe
3 K% j6 O7 }5 [3 C          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SmartUp.exe
          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SREng.exe
* [7 u6 N: Y' q          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\symlcsvc.exe
          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SysSafe.exe
          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\TrojanDetector.exe
( O0 A  O2 ?+ g          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Trojanwall.exe
          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\TrojDie.kxp
, p( Y7 w) a+ X- B          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\UIHost.exe
' _+ h( {( w7 c9 U6 g          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\UmxAgent.exe
9 {5 P8 G1 c/ t3 U3 C          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\UmxAttachment.exe
          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\UmxCfg.exe
" T6 I# A$ O; z          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\UmxFwHlp.exe
- ]$ b  c( ], s) L          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\UmxPol.exe
( M) C; E2 ^# p2 p6 h5 F, }7 B          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\UpLive.EXE.exe
  L5 F! {* ^3 t0 q& n" C6 v8 j! v          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\WoptiClean.exe
          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\zxsweep.exe
1 E* z3 Y2 Z) @$ K8 y          以上键值均指向
6 r0 |7 |- Y1 [% e5 Q          %CommonProgramFiles%\Microsoft Shared\MSInfo\随机八位字符.dat

steed

5、连接http://google。171738。org 和http://head.bodyhtml。biz/ani.js
$ A6 ~, y6 ?- S/ B4 H8 D          下载ani.c (1,156 字节)Ani.c为ANI溢出程序，并通过该文件下载
          http://head。bodyhtml。biz/update。exe。
5 J3 g, W0 V2 G& I0 E- ?          通过连接http://www。cnzz。com/stat/website.php?web_id=518199记录访问量。

) F5 _" l1 N+ A/ M% M! V. @
+ u' a# o$ h6 Y/ ~       6、update.exe文件会从http://head。bodyhtml。biz上下载大量木马与病毒。
9 M/ n8 C7 i* s; P  K% N9 m          其中包括AV终结者变种，病毒如下：%CommonProgramFiles%\system\jbtmfqq。exe          (25240字节)
          %CommonProgramFiles%\microsoft shared\ytbikec。exe                                (25240字节)
& i& L4 _; L/ f) j- g! j/ H          在除系统盘根目录下
/ \1 _+ S4 m+ {3 P* ~: V          autorun.inf
          hsomklg.exe             (28672字节)
          %temp%目录下
          LYLOADER.EXE            (10196字节)
          LYMANGR.DLL              (2816字节)
          MSDEG32.DLL              (4999字节)
          ~SM3.tmp                (19504字节)
          ~SM4.tmp                (19504字节)
9 @& r3 g2 @" Q& C0 w9 b) f          ~SM5.tmp                (19504字节)
          ~SM6.tmp                (19504字节)
          ~SM7.tmp                (19504字节)
          以上文件会采用添加自身到启动项或插入explorer.exe进程进行自我保护，还会下载其他盗取网游帐号的木马。

[ 本帖最后由 steed 于 2007-6-20 23:24 编辑 ]

steed

二、解决方案：
6 z9 X, r% J- P8 v) E! K           
. X3 ^. L7 i0 G3 k% F$ r- a

    1、先找突破点。因为映像劫持(image File Execution Options Hijack)只是针对文件名，所以只要更改变文件名，就
      可以使它失效。为了防止刚清理的病毒又被重新生成或者安全软件不能使用。我们先解除映像支持，使用超级巡警中
      新发布的IFEO修复功能(“安全优化”中“系统修复”下的“Fix IFEO”) 即可。因为AST可能已经被映像劫持，所以
      推荐使用超级巡警团队针对此类病毒新推出的“ToolsLoader”(详见http://www.dswlab.com/d3.html)。
' ?; H5 e* {  B' b
' V- }0 E  z+ H4 _# j
2 g0 P" D. R) B" ~, l    2、清出内存病毒和病毒文件。找到加载到 explorer.exe 的dll文件(文件名应该与就是刚才记着的相同)，用超级巡警
! u2 |/ @. ]: l$ N( j6 |6 b% M      ToolsLoader卸载它。然后删除掉dll文件和同目录下的扩展名为dat的文件(因为病毒会监控以上文件的目录，所以推
1 l/ V& Q& j' D      荐使用巡警中的“文件粉碎机”删除以上文件)。 然后用 win+e 打开资源管理器，找到根目录下的 autorun.inf 和
4 a) t" O: m5 B7 K* G2 }      autorun.inf 里面记录的exe文件(注意： 不要双击盘符或单击盘符右键选打开，这样让autorun.inf失效，然后使用
      巡警中的“文件粉碎机”删除这两个文件)。现在病毒的主文件已经都清理了。剩下的可以用病毒文件的文件名(不要
      扩展名)和病毒文件生成时间进行全盘搜索，找到的文件都删除掉。此病毒还会连接一些网站，下载大量盗号软件 ，
5 J, q+ [) b# x      这些盗号软件目的是盗取游戏程序或其他程序的帐号与密码，清除不会很复杂。它们一般都采用加载启动的方法，达
8 v7 F8 P/ M  [5 l% x. {      到开机运行的效果。所以只要删除了启动项及其对应的文件，就可解决。这些病毒文件产生的dll文件和垃圾文件 ，
3 Y3 n/ R7 n) Y; [      就可以交给杀毒软件处理了。
* A, Q- J# u! y/ z  X  p9 l
' R% Z' c: d  x; A2 |: E3 a
( H4 S/ U! x3 q5 V3 k    3、全面修复。修复隐藏属性：使[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
      Explorer\Advanced\Folder\Hidden\SHOWALL]下的"CheckedValue"= dword:00000001。修复安全模式，可以用超级巡
0 d- B% r6 B( T- Y2 T, z      警的安全修复(“安全优化”中“系统修复”下的“Fix IFEO”)。也可以先在能进入安全模式的机器中导出
# S) T8 O% w  m. A      HKLM\SYSTEM\ControSet001\Control\SafeBoot\
0 n8 f: b+ E5 b5 g) m" v8 e      HKLM\SYSTEM\ControSet003\Control\SafeBoot\
. }- f, S0 Y; n: E  {9 z" i' E      HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\然后复制到本机上导入。
+ j7 J' ~; c. N% j0 `1 g      修复映像劫持：这个在第一步已经做了。
! M7 z4 ]0 R) X- p3 H: C* m: E

0 R; Q0 D: k( [, `( s* M4 I+ l$ [3 |    4、安全模式杀毒。确保杀毒软件升级到最新，确保打上了最新的系统补丁(用巡警的补丁检查功能，没打的补丁一定要
" U1 C) Y" N- l0 s% Z      打上)，进入安全模式(推荐断开网络)，使用超级巡警进行全盘扫描，彻底清除各种病毒。
& \9 `2 A6 E- a6 p
( g) U5 A/ Y1 m9 g% C# Z$ l
* h* y  Z: S9 W3 u$ R! }    5、使用超级巡警屏蔽网站http://head.bodyhtml.biz

steed

6月8日，金山毒霸发布紧急预警，“AV终结者”病毒导致大量安全软件无法正常使用，用户系统安全面临严峻威胁；短短三天之后，6月12日，“AV终结者”危害行为变得更加恶劣，杀毒软件被禁用，反病毒网站无法打开，安全模式遭破坏，格式化系统盘后病毒仍无法清除，用户电脑的安全性被大大降低，电脑内的重要信息、机密文件、网络财产等面临严峻威胁。
* i0 i3 b- ?# H6 l. B, U
8 A8 m6 T: D. h: P" \. [% \! R　　金山毒霸反病毒专家戴光剑表示，“AV终结者”集目前最流行的病毒技术于一身，而且破坏过程经过了严密的“策划”，普通用户一旦感染该病毒，从病毒进入电脑，到实施破坏，四步就可导致用户电脑彻底崩溃：

7 i$ J1 |& W" t9 [　　1. 禁用所有杀毒软件以相关安全工具，让用户电脑失去安全保障；

　　2.　破坏安全模式，致使用户根本无法进入安全模式清除病毒；

　　3.　强行关闭带有病毒字样的网页，只要在网页中输入“病毒”相关字样，网页遂被强行关闭，即使是一些安全论坛也无法登陆，用户无法通过网络寻求解决办法；

( j* M& r2 @' G% G3 I& g! X　　4.　格式化系统盘重装后很容易被再次感染。用户格式化后，只要双击其他盘符，病毒将再次运行。

　　经过“AV终结者”的精心“策划”，用户电脑的安全防御体系被彻底摧毁，安全性几乎为零，而“AV终结者”并未就此罢手，自动连接到某网站，大量下载数百种木马病毒，各类盗号木马、广告木马、风险程序用用户电脑毫无抵抗力的情况下，鱼贯而来，用户的网银、网游、QQ帐号密码以及机密文件都处于极度危险之中。

　　据了解，“AV终结者”变种仍在不断更新，如果不即及时进行查杀，广大用户利益将面临更大威胁。基于“AV终结者”危害的严重性，金山毒霸呼吁所有反病毒厂商对该病毒进行联合绞杀。
) u* p; x/ e: P4 N9 o
5 M  q  n! m9 H3 f/ \3 H( I" g　　根据该病毒的传播特点，基于该病毒危害严重，金山毒霸反病毒中心第一时间推出了专杀工具，用户利用专杀工具进行查杀，[立即下载专杀工具]。此外由于遭遇该病毒破坏的电脑无法登陆反病毒网站，用户可到正常电脑或全国各大软件专卖店下载“AV终结者”专杀工具，然后接到中毒电脑中进行查杀。

! a' {7 B( F: h; Z+ j　　同时，金山毒霸反病毒应急中心及时进行了病毒库更新，升级毒霸到2007年6月8日免费下载最新版金山毒霸2007或使用金山毒霸在线杀毒来防止病毒入侵，拨打金山毒霸反病毒急救电话010—82331816反病毒专家将为您提供帮助。

steed

第1步：在能正常上网的电脑上登录金山毒霸网站，
1 ~& T3 x% V6 F, n% W下载AV终结者病毒专杀工具
' w' f7 ]- R% @% N适用平台：WinXP 更新版本：v3.7
工具大小：309 KB
( l, L1 X& \# W! |! Z; }3 O工具说明：彻底清除AV终结者病毒
第2步：在正常的电脑上禁止自动播放功能，避免插入U盘或移动硬盘而被病毒感染。[方法图示]
把AV终结者专杀工具从正常的电脑复制到U盘或移动硬盘上，然后再复制到中毒的电脑上。
第3步：执行AV终结者专杀工具，清除已知的病毒，修复被破坏的系统配置。
第4步：不要立即重启电脑，请先启动杀毒软件，升级病毒库，进行全盘扫描。以清除木马下载器下载的其它病毒。
& Y& i+ p5 `6 D3. 如何预防“AV终结者”病毒？
因为AV终结者病毒一旦感染，清除过程相当复杂，可能不少用户就会去重装。我们建议用户不要轻易重装系统，使用我们推荐的步骤完成清除：
1. 使用金山网镖或Windows防火墙，可有效防止网络病毒通过黑客攻击手段入侵，
2. 使用金山毒霸的漏洞修复功能或者windows update来修补系统漏洞，特别需要注意安装浏览器的最新补丁，
3. 升级杀毒软件，开启实时监控，
4. 网管采取综合措施防范ARP攻击挂马事件，有关ARP攻击的解决办法[详细]，
! Y# }/ p3 ]7 i5. 关闭windows的自动播放功能。

=|HERO|=XIAOYAO

LZ有刷盾嫌疑……

steed

http://zhuansha.duba.net/259.shtml

, L! S! ~" P9 l3 c) @  e* l' g中这个病毒，我头大了3天！

, x" L8 j+ q" H! T+ ]& x, g大家赶快采取防范措施！！！

steed

原帖由 =|HERO|=XIAOYAO@BF2 于 2007-6-20 23:19 发表
, ~4 ], h/ w) a$ \# D" E2 e  @LZ有刷盾嫌疑……

3 l! p1 U& T) {, w

1 f/ }5 n9 G6 i6 x好心当作驴肝肺！！！我要那点破盾干什么？
0 x0 z0 V0 b6 |' b/ o4 }- n9 e
我曾经有六七年的工作文档全部被病毒删除，欲哭无泪。

& N. T% c% Q  H% x我也不多解释，有同样经历的朋友会知道厉害的！

但愿[email==|HERO|=XIAOYAO@BF2]=|HERO|=XIAOYAO@BF2[/email] 别中了毒后悔来找这个帖子就好
8 r5 X% C/ z  B/ Z0 X8 [( b; X, e
) L- {0 |; D/ a; V希望管事的能加个亮，让更多的朋友看到，并做好防护措施。
" g4 W; j) T7 z1 v9 X+ w
尤其是存有重要资料的公用电脑。还有在网上炒股的朋友们……
& Y! h9 k( n, ?& W6 Q
! c* J6 T" u) V  G) V% P: ?) x: ?

[ 本帖最后由 steed 于 2007-6-20 23:37 编辑 ]

=|HERO|=..P_P..

妖装重..

=|HERO|=XIAOYAO

灭哈哈，那就感谢LZ分享……
/ B$ X; ^0 D, Y6 n/ b$ R3 Q
* t# x1 d5 a4 T# V& }我觉得我的电脑安全防护固若金汤，呵呵， 好的防火墙+杀毒软件， 还有好的操作习惯。