中招了！我所见过的最恶毒的病＃毒—“AV终结者”@_@大家小心！！！

steed

AV终结者(随机八位数，映像劫持，破坏安全模式)病毒解决方案
+ Z' U7 T1 S: H8 o( K出处：DSW Avert 时间：2007年6月11日
+ X0 b4 ]- K, \" `' u+ S
" s) ~/ Q7 Y* c6 E) W. ^最近，一种病毒变种(以随机八位字符为文件名)疯狂传播。由于病毒制造者会经常更新病毒文件，使病毒变种狂增，一方面使很多用户深受其害，更一方面使得专杀效果不是很好，所以还是建议进行手工查杀。
          一、病毒相关分析：
) r8 g4 X) x8 G$ D) E0 ?1 C  D          　　病毒标签：
/ {2 D* z* h- `) N% `4 n        病毒名称：Trojan-PSW.Win32.Nilage.gen/Virus.Win32.Autorun.gen
        病毒别名：帕虫--瑞星，AV终结者--金山，U盘寄生虫--江民
        病毒类型：病毒
        危害级别：5
        感染平台：Windows 平台
& c+ T/ {9 m; |        病毒大小：33,363 (字节)
9 C. x9 B' X5 O7 B        SHA1　　：d8ced73c38439ca03bd2f4f07a492b58b9a82947
6 ?1 g: Y& e9 ]- v2 m        加壳类型：upx
        开发工具：Delphi
　　病毒分析：
* ]+ f+ j1 b5 r! b  \5 n9 v
6 V9 T7 `  k& j+ L8 z       1、运行病毒文件后，会生成以下文件：
" x2 f: o! k# v  ]0 m* x          %CommonProgramFiles%\Microsoft Shared\MSInfo\随机八位字符.dll (46163字节)
          %CommonProgramFiles%\Microsoft Shared\MSInfo\随机八位字符.dat (33363字节)
          %SystemRoot%\Help\随机八位字符.chm                            (33363字节)
          %SystemRoot%\随机八位字符.hlp                                    (33字节)
          在除系统盘外的各盘根目录下生成
( p  x3 b5 B' T0 T          autorun.inf                                                     (172字节)
9 f% W- a! L- \# f5 l% j          随机八位字符.exe                                              (33363字节)

[ 本帖最后由 steed 于 2007-6-21 13:52 编辑 ]

steed

2、关闭运行的安全软件，监控并关闭以下含有以下字符串的文件夹、窗体、进程、服务、网页或文本：

          AntiVirus、Trojan、Firewall、Kaspersky、JiangMin、KV200、kxp、Rising、RAV、RFW、KAV200、KAV6、
          McAfe、Network Associates、TrustPort、Norton、Symantec、SYMANT~1、Norton、SystemWorks、ESET、
/ n# `6 m, Y, ^# D6 F          Grisoft、F-Pro、Alwil Software、ALWILS~1、F-Secure、ArcaBit、Softwin、ClamWin、DrWe、Fortine、
" L% m1 V+ A! Y) e          anda Software、Vba3、TrendMicro、QUICKH~1、TRENDM~1、Quick Heal、eSaf、ewido、Prevx1、ersavg、
/ p; c6 b) q/ Y) \' `          Ikarus、Sopho、Sunbelt、PC-cilli、ZoneAlar、 Agnitum、WinAntiVirus、AhnLab、Norma、surfsecret、
! \) \( Q  A5 T4 ?          Bullguard、BlackICE、Armor2net、360safe、SkyNet、k2007、AntiyLabs、LinDirMicro Lab、Filseclab、ast、
8 S; T. D8 y/ c- h0 y          System Safety Monitor、ProcessGuard、FengYun、Lavasoft、Defendio、kis6、Behead、sreng、IceSword、
          HijackThis、killbox、procexp、Magicset、EQSysSecure、ProSecurity、Yahoo!、Google、baidu、P4P、
) ]% y0 U' |1 ^  y+ T5 ?" z          Sogou PXP、yaskp.sys、BDGuard.sys、超级兔子、木马、KSysFilt.sys、KSysCall.sys、AVK、K7、Zondex、
. D# r, ]2 j+ J7 a' N$ w/ S          blcorp、TinyFirewall Pro、Jetico、HAURI、CA、kmx、PCClear_Plus、Novatix、Ashampoo、WinPatrol、
! ~2 a, x$ w0 r1 b8 p4 _# j4 y& d          Spy Cleaner Gold、CounterSpy、EagleEyeOS、Webroot、BufferZone、avp、AgentSvr、Ccenter、Rav、
          RavMonD、RavStub、RavTask、rfwcfg、rfwsrv、RsAgent、Rsaupd、runiep、SmartUp、FileDsty、RegClean、
          360tray、360Safe、360rpt、kabaload、safelive、Ras、KASMain、KASTask、KAV32、KAVDX、KAVStart、
- S) J- z) W; E9 B1 s' f          KISLnchr、KmailMon、KMFilter、KPFW32、KPFW32X、KPFWSvc、KWatch9x、Kwatch、KwatchX、TrojanDetector、
          UpLive.EXE、KVSrvXP、KvDetect、KregEx、kvol、kvolself、kvupload、kvwsc、UIHost、IceSword、iparmo、
          mmsk、adam、MagicSet、PFWLiveUpdate、SREng、WoptiClean、scan32、shcfg32、mcconsol、HijackThis、
8 f* D+ S+ M2 w( }" X0 Z% j6 h: `          mmqcj、Trojanwall、FTCleanerShell、loaddll.、rfwProxy、KsLoader、KvfwMcl、autoruns.、AppSvc32、
, \% j! x3 U* m  S% W          ccSvcHst、isPwdSvc、symlcsvc、nod32kui、avgrssvc、RfwMain、KAVPFW、Iparmor、nod32krn、PFW、RavMon、
          KAVSetup、NAVSetup、SysSafe、QHSET、xsweep.、AvMonitor、UmxCfg、UmxFwHlp、UmxPol、UmxAgent、
          UmxAttachment、KPFW32、KPFW32X、KvXP_1、KVMonXP_1、KvReport、KVScan、KVStub、KvXP、KVMonXP、KVCenter、
* Q6 q$ v' D8 ^+ \! v          TrojDie、avp.com、krepair.COM、KaScrScn.SCR、Trojan、Virus、kaspersky、jiangmin、rising、ikaka、duba、
" T5 x& F" Y; }/ \4 v8 D4 }2 O% I1 r          kingsoft、360safe、木马、木馬、病毒、杀毒、殺毒、查毒、防毒、反病毒、专杀、專殺、卡巴、江民、瑞星、
          卡卡社区、金山毒霸、毒霸、金山、社区、360安全、恶意软件、流氓软件、举报、报警、杀软、殺軟、防駭、微点、
$ o( k2 o* z1 E          MSInfo、WinRAR、KvNative、bsmain、aswBoot

steed

3、删除以下注册表项破坏安全模式
5 M0 [1 H4 x* C          HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
          HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}
          HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
8 ~3 V8 @. h. Z2 O1 d          HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}
6 \4 A. x/ s: x3 b: d          修改系统隐藏属性:
          改HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
          Folder\Hidden\SHOWALL\CheckedValue值为0
5 Q3 ]. h7 r8 E7 B6 }- a* _9 F          //1为显示隐藏文件

steed

4、添加IFEO映像劫持项
          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360rpt.exe
          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360Safe.exe
          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360tray.exe
          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\adam.exe
+ `2 a: |/ [5 G- X3 k6 f* j7 D          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AgentSvr.exe
/ q8 o  x( _5 _, M          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AppSvc32.exe
7 q( b' K0 I6 X& i          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AST.exe
          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\autoruns.exe
          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avgrssvc.exe
" O1 b; V7 I& c# N8 x9 e6 s          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AvMonitor.exe
          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.com
0 X/ x( Z9 J$ J. Q/ [          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.exe
          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\CCenter.exe
7 Z4 t' o8 C$ ]# t, _. M6 U- u2 D          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ccSvcHst.exe
9 g+ p6 B2 k4 Z- p* J6 L5 I* {9 ~0 y          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\FileDsty.exe
          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\FTCleanerShell.exe
, K! _7 E6 x" y5 s          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\HijackThis.exe
          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IceSword.exe
, o0 R9 G5 L; v4 j7 V$ i" F          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\iparmo.exe
- }0 L. [& B) x. B% j. N          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Iparmor.exe
          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\isPwdSvc.exe
8 N3 M+ Z$ N+ N( ~# _( p          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kabaload.exe
: T3 t9 G, x4 n: k% V! a% }          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KaScrScn.SCR
( B/ N7 T0 y; x) }! ^( y          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KASMain.exe
          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KASTask.exe

steed

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAV32.exe
. ?% n! X/ W; p' u          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVDX.exe
) g2 [' c  m2 F6 d' W- q          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVPFW.exe
. I% K1 o. O/ i5 m$ h  k  V) b7 W          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVSetup.exe
+ [/ A. ~/ y$ m7 q+ i6 G          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVStart.exe
& o0 w* b8 u+ L1 I2 B, {% I6 `. x          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KISLnchr.exe
          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KMailMon.exe
+ b1 d4 s) S  U1 A          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KMFilter.exe
9 m6 S0 \3 b" ?          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KPFW32.exe
; e$ u6 N) y) M0 U5 Z          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KPFW32X.exe
1 g- s- O5 ~, M- t          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KPFWSvc.exe
  r  W0 T) j) ]          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KRegEx.exe
" m; H! f0 @" ]- S1 F0 G; z1 `  h% N          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\krepair.COM
          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KsLoader.exe
/ @  T" I" M9 k* X: V$ b; v          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVCenter.kxp
          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KvDetect.exe
! Z2 p6 i3 j3 H" n& t% `          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KvfwMcl.exe
6 ]0 t( ]4 P3 J: c3 I' s! R          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVMonXP.kxp
          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVMonXP_1.kxp
5 I7 F% k' F+ Q$ }1 z( Y          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kvol.exe
' S8 f  n9 e1 t) A, U7 t( g          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kvolself.exe
5 V; d: H* u9 X4 s9 o7 w2 R          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KvReport.kxp
8 R; r, ^$ N8 O& |/ `          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVScan.kxp
          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVSrvXP.exe
8 I+ z0 J9 B; I3 `& M          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVStub.kxp
8 ?5 B- k1 P* R( b: x          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kvupload.exe
          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kvwsc.exe
          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KvXP.kxp
4 [, `1 k' Z6 }4 {9 Z8 A& H          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KvXP_1.kxp
3 g! ~' C- g( k3 [* U9 {" T          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KWatch.exe
! o$ b& F2 q2 ]8 z) g! h          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KWatch9x.exe
2 Q, ^9 ~3 ^8 c          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KWatchX.exe
          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\loaddll.exe
          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MagicSet.exe
          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mcconsol.exe
6 z% y+ C: `; ]3 r7 g          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mmqczj.exe
1 ^  g: R& ^; a5 z7 O3 @          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mmsk.exe
  H6 e4 v3 A! Q" K5 M          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\NAVSetup.exe
5 I' B, ~: ~4 \! y1 |          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\nod32krn.exe
          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\nod32kui.exe
0 L' M/ _3 F0 d9 K# ?          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PFW.exe
- l( F. X! U0 O* m0 P& R, Z          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PFWLiveUpdate.exe

steed

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\QHSET.exe
: i. s. }7 n+ |          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Ras.exe
          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Rav.exe
/ p/ a) p: @$ i$ X1 q          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavMon.exe
- a, W, H  {! P8 V          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavMonD.exe
          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavStub.exe
          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavTask.exe
          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RegClean.exe
9 y6 E, J/ d3 c2 `, v6 L          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rfwcfg.exe
          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RfwMain.exe
          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rfwProxy.exe
          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rfwsrv.exe
$ c) Q, s; i; \: T9 Z          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RsAgent.exe
: \2 I  |6 w; B  g3 V( _          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Rsaupd.exe
& G4 S3 [1 N% v% B9 y7 i          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\runiep.exe
" x9 P5 ]/ n- m3 K0 Z/ _          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\safelive.exe
( f4 n# A- C( W& R( |          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\scan32.exe
          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\shcfg32.exe
* |% `- O+ u; Z# T4 C) }          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SmartUp.exe
          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SREng.exe
' |/ Y3 I: q+ g; o  D7 }9 L6 L# ], s          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\symlcsvc.exe
          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SysSafe.exe
          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\TrojanDetector.exe
          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Trojanwall.exe
* c8 _' E( X4 h" I* n8 w/ i! r          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\TrojDie.kxp
          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\UIHost.exe
          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\UmxAgent.exe
) \3 R# S( b; S- o+ @" `          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\UmxAttachment.exe
          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\UmxCfg.exe
0 }9 X3 |, \2 u9 [9 m          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\UmxFwHlp.exe
+ g. z$ p$ O/ d1 A          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\UmxPol.exe
          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\UpLive.EXE.exe
& G; b" j. j6 M; p0 B4 t          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\WoptiClean.exe
          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\zxsweep.exe
          以上键值均指向
3 w- s/ Y1 c. ~# G& M/ W" D          %CommonProgramFiles%\Microsoft Shared\MSInfo\随机八位字符.dat

steed

5、连接http://google。171738。org 和http://head.bodyhtml。biz/ani.js
1 i1 C: }" \: A1 d2 b          下载ani.c (1,156 字节)Ani.c为ANI溢出程序，并通过该文件下载
          http://head。bodyhtml。biz/update。exe。
          通过连接http://www。cnzz。com/stat/website.php?web_id=518199记录访问量。
& F0 X3 @  Z9 e( U
) t5 q: j9 R1 w% R5 T
0 t' a/ W. E/ ~( q' U3 r6 b       6、update.exe文件会从http://head。bodyhtml。biz上下载大量木马与病毒。
/ e2 r  ^* F- W; t, d# a          其中包括AV终结者变种，病毒如下：%CommonProgramFiles%\system\jbtmfqq。exe          (25240字节)
          %CommonProgramFiles%\microsoft shared\ytbikec。exe                                (25240字节)
$ Z4 t. x! [: c- y$ C( {. o          在除系统盘根目录下
          autorun.inf
' w7 Y5 l' K: K/ ]% ~' C" R          hsomklg.exe             (28672字节)
          %temp%目录下
2 w8 x4 w% C2 n$ i1 Y          LYLOADER.EXE            (10196字节)
          LYMANGR.DLL              (2816字节)
          MSDEG32.DLL              (4999字节)
4 P6 S- c* E' ?/ }, j% N          ~SM3.tmp                (19504字节)
2 t) b6 y5 z2 P7 a          ~SM4.tmp                (19504字节)
          ~SM5.tmp                (19504字节)
          ~SM6.tmp                (19504字节)
/ h  y- _) B* M; R/ r3 f" A          ~SM7.tmp                (19504字节)
          以上文件会采用添加自身到启动项或插入explorer.exe进程进行自我保护，还会下载其他盗取网游帐号的木马。
* l4 _, S; I6 J3 L& P+ |( g# V$ o
[ 本帖最后由 steed 于 2007-6-20 23:24 编辑 ]

steed

二、解决方案：
8 C# @# b6 S$ m9 b) L6 E           

$ X. B/ G% t3 S2 r
    1、先找突破点。因为映像劫持(image File Execution Options Hijack)只是针对文件名，所以只要更改变文件名，就
      可以使它失效。为了防止刚清理的病毒又被重新生成或者安全软件不能使用。我们先解除映像支持，使用超级巡警中
1 O) x" R+ c  D& o- H; F      新发布的IFEO修复功能(“安全优化”中“系统修复”下的“Fix IFEO”) 即可。因为AST可能已经被映像劫持，所以
      推荐使用超级巡警团队针对此类病毒新推出的“ToolsLoader”(详见http://www.dswlab.com/d3.html)。
! w" Y9 e' Q: V  _* {0 q0 S
8 E0 Z! i/ r0 `' g# U
7 [- j) z) F6 n# e; l    2、清出内存病毒和病毒文件。找到加载到 explorer.exe 的dll文件(文件名应该与就是刚才记着的相同)，用超级巡警
  U& [- X; j: n/ [. F      ToolsLoader卸载它。然后删除掉dll文件和同目录下的扩展名为dat的文件(因为病毒会监控以上文件的目录，所以推
2 j9 _# d0 P5 q* a% ]- E8 H. |      荐使用巡警中的“文件粉碎机”删除以上文件)。 然后用 win+e 打开资源管理器，找到根目录下的 autorun.inf 和
+ q- A+ N" Q, ?" `& q      autorun.inf 里面记录的exe文件(注意： 不要双击盘符或单击盘符右键选打开，这样让autorun.inf失效，然后使用
      巡警中的“文件粉碎机”删除这两个文件)。现在病毒的主文件已经都清理了。剩下的可以用病毒文件的文件名(不要
      扩展名)和病毒文件生成时间进行全盘搜索，找到的文件都删除掉。此病毒还会连接一些网站，下载大量盗号软件 ，
# H" Q* y2 L7 q  [6 N" r      这些盗号软件目的是盗取游戏程序或其他程序的帐号与密码，清除不会很复杂。它们一般都采用加载启动的方法，达
      到开机运行的效果。所以只要删除了启动项及其对应的文件，就可解决。这些病毒文件产生的dll文件和垃圾文件 ，
      就可以交给杀毒软件处理了。
3 p, K% M/ ?0 u  X; B2 P

; n- |/ m, Z+ `    3、全面修复。修复隐藏属性：使[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
      Explorer\Advanced\Folder\Hidden\SHOWALL]下的"CheckedValue"= dword:00000001。修复安全模式，可以用超级巡
      警的安全修复(“安全优化”中“系统修复”下的“Fix IFEO”)。也可以先在能进入安全模式的机器中导出
* W' S  }3 A! b; Q      HKLM\SYSTEM\ControSet001\Control\SafeBoot\
      HKLM\SYSTEM\ControSet003\Control\SafeBoot\
      HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\然后复制到本机上导入。
0 a3 M! X1 r% z2 a1 q" X' _      修复映像劫持：这个在第一步已经做了。


    4、安全模式杀毒。确保杀毒软件升级到最新，确保打上了最新的系统补丁(用巡警的补丁检查功能，没打的补丁一定要
* H) H) b9 z, V) Z      打上)，进入安全模式(推荐断开网络)，使用超级巡警进行全盘扫描，彻底清除各种病毒。
( @2 G  T) R  e2 L
+ n- D# M1 V/ {3 d( l
    5、使用超级巡警屏蔽网站http://head.bodyhtml.biz

steed

6月8日，金山毒霸发布紧急预警，“AV终结者”病毒导致大量安全软件无法正常使用，用户系统安全面临严峻威胁；短短三天之后，6月12日，“AV终结者”危害行为变得更加恶劣，杀毒软件被禁用，反病毒网站无法打开，安全模式遭破坏，格式化系统盘后病毒仍无法清除，用户电脑的安全性被大大降低，电脑内的重要信息、机密文件、网络财产等面临严峻威胁。
& t2 |) L: S+ N
3 _; l- n" ~9 ~2 n5 w　　金山毒霸反病毒专家戴光剑表示，“AV终结者”集目前最流行的病毒技术于一身，而且破坏过程经过了严密的“策划”，普通用户一旦感染该病毒，从病毒进入电脑，到实施破坏，四步就可导致用户电脑彻底崩溃：
" V3 \+ o1 T  p" J) t* w# g
  m  w1 i. E+ F$ p　　1. 禁用所有杀毒软件以相关安全工具，让用户电脑失去安全保障；
0 n- d, ]2 r) Y, J& O6 R+ V, J
　　2.　破坏安全模式，致使用户根本无法进入安全模式清除病毒；
/ r2 `1 p; L5 `; E
& N9 @! d% \" {# R( O1 F: X　　3.　强行关闭带有病毒字样的网页，只要在网页中输入“病毒”相关字样，网页遂被强行关闭，即使是一些安全论坛也无法登陆，用户无法通过网络寻求解决办法；
: L' c7 }( U( a4 W, r
! }, B9 m$ S) h' f8 t: |# H　　4.　格式化系统盘重装后很容易被再次感染。用户格式化后，只要双击其他盘符，病毒将再次运行。

: k9 h' b# F% _　　经过“AV终结者”的精心“策划”，用户电脑的安全防御体系被彻底摧毁，安全性几乎为零，而“AV终结者”并未就此罢手，自动连接到某网站，大量下载数百种木马病毒，各类盗号木马、广告木马、风险程序用用户电脑毫无抵抗力的情况下，鱼贯而来，用户的网银、网游、QQ帐号密码以及机密文件都处于极度危险之中。

　　据了解，“AV终结者”变种仍在不断更新，如果不即及时进行查杀，广大用户利益将面临更大威胁。基于“AV终结者”危害的严重性，金山毒霸呼吁所有反病毒厂商对该病毒进行联合绞杀。
/ C' e, _' b+ B$ g+ n$ Z) w
# m2 y9 u& O6 U& u　　根据该病毒的传播特点，基于该病毒危害严重，金山毒霸反病毒中心第一时间推出了专杀工具，用户利用专杀工具进行查杀，[立即下载专杀工具]。此外由于遭遇该病毒破坏的电脑无法登陆反病毒网站，用户可到正常电脑或全国各大软件专卖店下载“AV终结者”专杀工具，然后接到中毒电脑中进行查杀。
0 D. X! M7 h- v& o! }/ v+ `& P- `* ]- u, T
　　同时，金山毒霸反病毒应急中心及时进行了病毒库更新，升级毒霸到2007年6月8日免费下载最新版金山毒霸2007或使用金山毒霸在线杀毒来防止病毒入侵，拨打金山毒霸反病毒急救电话010—82331816反病毒专家将为您提供帮助。

steed

第1步：在能正常上网的电脑上登录金山毒霸网站，
下载AV终结者病毒专杀工具
适用平台：WinXP 更新版本：v3.7
$ _$ G- p' b. W工具大小：309 KB
工具说明：彻底清除AV终结者病毒
第2步：在正常的电脑上禁止自动播放功能，避免插入U盘或移动硬盘而被病毒感染。[方法图示]
把AV终结者专杀工具从正常的电脑复制到U盘或移动硬盘上，然后再复制到中毒的电脑上。
- I% {. ^3 Y; J/ ]. |第3步：执行AV终结者专杀工具，清除已知的病毒，修复被破坏的系统配置。
第4步：不要立即重启电脑，请先启动杀毒软件，升级病毒库，进行全盘扫描。以清除木马下载器下载的其它病毒。
3. 如何预防“AV终结者”病毒？
因为AV终结者病毒一旦感染，清除过程相当复杂，可能不少用户就会去重装。我们建议用户不要轻易重装系统，使用我们推荐的步骤完成清除：
1. 使用金山网镖或Windows防火墙，可有效防止网络病毒通过黑客攻击手段入侵，
2. 使用金山毒霸的漏洞修复功能或者windows update来修补系统漏洞，特别需要注意安装浏览器的最新补丁，
, u* q6 v4 T5 N" p3. 升级杀毒软件，开启实时监控，
4. 网管采取综合措施防范ARP攻击挂马事件，有关ARP攻击的解决办法[详细]，
5. 关闭windows的自动播放功能。

=|HERO|=XIAOYAO

LZ有刷盾嫌疑……

steed

http://zhuansha.duba.net/259.shtml

, O' g4 x& _/ O( [% D4 X8 O0 m1 Z中这个病毒，我头大了3天！
6 `  M; L) E. ~- f, q) ^% B+ v7 e
大家赶快采取防范措施！！！

steed

原帖由 =|HERO|=XIAOYAO@BF2 于 2007-6-20 23:19 发表
LZ有刷盾嫌疑……

好心当作驴肝肺！！！我要那点破盾干什么？

: S: r  n: ]  Q5 r+ ]1 i9 O, L我曾经有六七年的工作文档全部被病毒删除，欲哭无泪。

我也不多解释，有同样经历的朋友会知道厉害的！
6 d1 s! B* w! E7 e! D& M
. V3 b' i- W- ~" t, @但愿[email==|HERO|=XIAOYAO@BF2]=|HERO|=XIAOYAO@BF2[/email] 别中了毒后悔来找这个帖子就好

希望管事的能加个亮，让更多的朋友看到，并做好防护措施。

尤其是存有重要资料的公用电脑。还有在网上炒股的朋友们……



0 x: h  m' o) T: O1 }[ 本帖最后由 steed 于 2007-6-20 23:37 编辑 ]

=|HERO|=..P_P..

妖装重..

=|HERO|=XIAOYAO

灭哈哈，那就感谢LZ分享……
% N9 U! H% T+ Z9 ~1 S; N% Q
我觉得我的电脑安全防护固若金汤，呵呵， 好的防火墙+杀毒软件， 还有好的操作习惯。