中招了！我所见过的最恶毒的病＃毒—“AV终结者”@_@大家小心！！！

steed

AV终结者(随机八位数，映像劫持，破坏安全模式)病毒解决方案
. s1 N9 f; |% R出处：DSW Avert 时间：2007年6月11日

最近，一种病毒变种(以随机八位字符为文件名)疯狂传播。由于病毒制造者会经常更新病毒文件，使病毒变种狂增，一方面使很多用户深受其害，更一方面使得专杀效果不是很好，所以还是建议进行手工查杀。
          一、病毒相关分析：
          　　病毒标签：
8 D5 I) f2 ?; Z- T7 T        病毒名称：Trojan-PSW.Win32.Nilage.gen/Virus.Win32.Autorun.gen
        病毒别名：帕虫--瑞星，AV终结者--金山，U盘寄生虫--江民
        病毒类型：病毒
% \+ u$ S- ~9 Z# v        危害级别：5
( o6 I. E7 b: n. d& a! L% Q        感染平台：Windows 平台
        病毒大小：33,363 (字节)
        SHA1　　：d8ced73c38439ca03bd2f4f07a492b58b9a82947
9 Z6 Q" ]# m- f        加壳类型：upx
; ^* w( L3 m: n) [) ^/ b/ r; s        开发工具：Delphi
# B9 w: J; I0 y, ]　　病毒分析：
: F+ M7 f. Q' q
       1、运行病毒文件后，会生成以下文件：
  Z& T' j. w( u! Y/ c          %CommonProgramFiles%\Microsoft Shared\MSInfo\随机八位字符.dll (46163字节)
          %CommonProgramFiles%\Microsoft Shared\MSInfo\随机八位字符.dat (33363字节)
9 X. p! _5 X4 L8 C$ w7 i) z$ y  Q          %SystemRoot%\Help\随机八位字符.chm                            (33363字节)
          %SystemRoot%\随机八位字符.hlp                                    (33字节)
  E* R7 o: F" D: Z2 @+ j          在除系统盘外的各盘根目录下生成
          autorun.inf                                                     (172字节)
          随机八位字符.exe                                              (33363字节)

0 P; l2 T1 P  T2 i9 T[ 本帖最后由 steed 于 2007-6-21 13:52 编辑 ]

steed

2、关闭运行的安全软件，监控并关闭以下含有以下字符串的文件夹、窗体、进程、服务、网页或文本：
( x" J- G- U. x8 E6 _5 p1 \! n; P
# }7 a# l. f; T# ^' i          AntiVirus、Trojan、Firewall、Kaspersky、JiangMin、KV200、kxp、Rising、RAV、RFW、KAV200、KAV6、
          McAfe、Network Associates、TrustPort、Norton、Symantec、SYMANT~1、Norton、SystemWorks、ESET、
0 f1 u- K. B* ^' B; e: t' h          Grisoft、F-Pro、Alwil Software、ALWILS~1、F-Secure、ArcaBit、Softwin、ClamWin、DrWe、Fortine、
6 L; L8 {2 b1 N# z* ?          anda Software、Vba3、TrendMicro、QUICKH~1、TRENDM~1、Quick Heal、eSaf、ewido、Prevx1、ersavg、
          Ikarus、Sopho、Sunbelt、PC-cilli、ZoneAlar、 Agnitum、WinAntiVirus、AhnLab、Norma、surfsecret、
  N! e1 M! r- e+ Y' _6 F( x& K          Bullguard、BlackICE、Armor2net、360safe、SkyNet、k2007、AntiyLabs、LinDirMicro Lab、Filseclab、ast、
3 X9 z* A5 s) J# }2 z6 ~' z6 y          System Safety Monitor、ProcessGuard、FengYun、Lavasoft、Defendio、kis6、Behead、sreng、IceSword、
* Z+ M1 B% b! ]& n          HijackThis、killbox、procexp、Magicset、EQSysSecure、ProSecurity、Yahoo!、Google、baidu、P4P、
          Sogou PXP、yaskp.sys、BDGuard.sys、超级兔子、木马、KSysFilt.sys、KSysCall.sys、AVK、K7、Zondex、
          blcorp、TinyFirewall Pro、Jetico、HAURI、CA、kmx、PCClear_Plus、Novatix、Ashampoo、WinPatrol、
" ]( j- J* S. u) t( D6 n5 t( B          Spy Cleaner Gold、CounterSpy、EagleEyeOS、Webroot、BufferZone、avp、AgentSvr、Ccenter、Rav、
& v# n3 Z* X) K. y8 q          RavMonD、RavStub、RavTask、rfwcfg、rfwsrv、RsAgent、Rsaupd、runiep、SmartUp、FileDsty、RegClean、
          360tray、360Safe、360rpt、kabaload、safelive、Ras、KASMain、KASTask、KAV32、KAVDX、KAVStart、
0 r4 d! H) r0 K! w2 m/ y. ~" A* H3 X          KISLnchr、KmailMon、KMFilter、KPFW32、KPFW32X、KPFWSvc、KWatch9x、Kwatch、KwatchX、TrojanDetector、
          UpLive.EXE、KVSrvXP、KvDetect、KregEx、kvol、kvolself、kvupload、kvwsc、UIHost、IceSword、iparmo、
$ |# R. Y; C: C; l& M3 X' A, q          mmsk、adam、MagicSet、PFWLiveUpdate、SREng、WoptiClean、scan32、shcfg32、mcconsol、HijackThis、
5 G7 P4 v- P: ~          mmqcj、Trojanwall、FTCleanerShell、loaddll.、rfwProxy、KsLoader、KvfwMcl、autoruns.、AppSvc32、
1 R2 k; V8 }/ y6 x          ccSvcHst、isPwdSvc、symlcsvc、nod32kui、avgrssvc、RfwMain、KAVPFW、Iparmor、nod32krn、PFW、RavMon、
% \2 v2 `. y6 s          KAVSetup、NAVSetup、SysSafe、QHSET、xsweep.、AvMonitor、UmxCfg、UmxFwHlp、UmxPol、UmxAgent、
7 Z* _$ v. U" D          UmxAttachment、KPFW32、KPFW32X、KvXP_1、KVMonXP_1、KvReport、KVScan、KVStub、KvXP、KVMonXP、KVCenter、
          TrojDie、avp.com、krepair.COM、KaScrScn.SCR、Trojan、Virus、kaspersky、jiangmin、rising、ikaka、duba、
; V- u. J$ p* }2 c          kingsoft、360safe、木马、木馬、病毒、杀毒、殺毒、查毒、防毒、反病毒、专杀、專殺、卡巴、江民、瑞星、
          卡卡社区、金山毒霸、毒霸、金山、社区、360安全、恶意软件、流氓软件、举报、报警、杀软、殺軟、防駭、微点、
& l  k4 s; A, d$ m- K          MSInfo、WinRAR、KvNative、bsmain、aswBoot

steed

3、删除以下注册表项破坏安全模式
          HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
8 c% k, n+ T5 O$ N% H: ~4 I          HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}
          HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
          HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}
          修改系统隐藏属性:
          改HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
          Folder\Hidden\SHOWALL\CheckedValue值为0
          //1为显示隐藏文件

steed

4、添加IFEO映像劫持项
1 T- k, V2 A. r  q" p" L5 a          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360rpt.exe
          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360Safe.exe
          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360tray.exe
/ d! P) G( ^6 @+ u0 x/ D& S0 f: k          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\adam.exe
, Y1 Z' t: F/ y5 ^  `          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AgentSvr.exe
' {& \2 g  v$ U6 ^$ S* W          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AppSvc32.exe
0 S2 W( \. k( E. Q* i. M          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AST.exe
: M1 I) ]' z- |          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\autoruns.exe
          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avgrssvc.exe
          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AvMonitor.exe
          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.com
8 X% F2 A8 E8 T          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.exe
          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\CCenter.exe
          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ccSvcHst.exe
          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\FileDsty.exe
          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\FTCleanerShell.exe
          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\HijackThis.exe
. a2 p' a4 a2 H7 V6 b% Z5 o          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IceSword.exe
          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\iparmo.exe
( Q! \; _3 ^1 F' j$ ]4 N2 t' Q          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Iparmor.exe
3 J, X+ A" D9 n' _- D* {3 Q& C          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\isPwdSvc.exe
; L. ?+ b% V2 U          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kabaload.exe
- ?  _# i5 l5 J( S6 \. g; `: k          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KaScrScn.SCR
          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KASMain.exe
          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KASTask.exe

steed

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAV32.exe
1 ]0 q% ?4 s( H2 I          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVDX.exe
          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVPFW.exe
5 \0 a4 C; \+ @$ f6 J. X          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVSetup.exe
8 U! i' E' `) B4 H7 `; Q          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVStart.exe
4 N+ [4 C- M/ Q  G% h9 C: i          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KISLnchr.exe
          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KMailMon.exe
% R  N3 Y' a0 T1 _          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KMFilter.exe
          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KPFW32.exe
' w4 i2 N$ J0 Y) d4 K, l          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KPFW32X.exe
          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KPFWSvc.exe
          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KRegEx.exe
6 u4 H" l( }( k0 Z5 [          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\krepair.COM
9 j4 E+ n6 u5 Z  _8 \% M          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KsLoader.exe
          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVCenter.kxp
! P* H0 d" v  C: \          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KvDetect.exe
* s* E( Z/ [0 k9 ]% C          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KvfwMcl.exe
          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVMonXP.kxp
9 H, ], n/ P0 I5 y$ U. g, _0 t; u          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVMonXP_1.kxp
          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kvol.exe
% {2 j$ r- s( `/ O$ U5 F          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kvolself.exe
9 y; C/ I! _# r( i- P          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KvReport.kxp
$ N- z1 A" Q+ B; u3 p5 r# A1 R          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVScan.kxp
          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVSrvXP.exe
          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVStub.kxp
          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kvupload.exe
          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kvwsc.exe
          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KvXP.kxp
          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KvXP_1.kxp
          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KWatch.exe
5 K3 I& A1 L. P  v0 Z7 v  b          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KWatch9x.exe
6 ^) a1 `" N3 a$ a  y- m! u$ Z- M          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KWatchX.exe
          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\loaddll.exe
          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MagicSet.exe
          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mcconsol.exe
          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mmqczj.exe
$ E! C3 r4 U% U          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mmsk.exe
9 W) u: ]! ^3 Z. U/ K# t+ C1 N& J          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\NAVSetup.exe
          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\nod32krn.exe
          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\nod32kui.exe
          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PFW.exe
          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PFWLiveUpdate.exe

steed

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\QHSET.exe
8 f1 W" X4 z+ n9 X% q          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Ras.exe
" ~) J; ~- |4 g          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Rav.exe
2 u( H4 @- F' I% u          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavMon.exe
0 e% u+ J* `( O9 ^2 P1 l+ j          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavMonD.exe
          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavStub.exe
: @0 a# o5 D3 C. ]3 G          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavTask.exe
          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RegClean.exe
& I+ y8 P) `1 i: t, a" F5 F8 X          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rfwcfg.exe
          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RfwMain.exe
1 z6 V' ?/ Z7 J1 R5 V          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rfwProxy.exe
) R1 D4 d" D9 G7 P& v          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rfwsrv.exe
          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RsAgent.exe
# K; A$ o) s' o  q9 r0 |' o: F          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Rsaupd.exe
          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\runiep.exe
          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\safelive.exe
/ G" k! ]3 c' W5 v5 r, m          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\scan32.exe
& U# V2 H  J2 ~& J          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\shcfg32.exe
          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SmartUp.exe
          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SREng.exe
; ^. Q. S$ l" p  p2 i9 ]3 y# C          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\symlcsvc.exe
          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SysSafe.exe
          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\TrojanDetector.exe
          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Trojanwall.exe
          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\TrojDie.kxp
1 U9 |9 O. D. B4 W) o          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\UIHost.exe
          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\UmxAgent.exe
2 _: m( o. j& j3 t% Y& o          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\UmxAttachment.exe
4 f" G) O+ [  a" B6 z+ b2 g          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\UmxCfg.exe
) C" G, F% O! Y" J          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\UmxFwHlp.exe
# \. o7 S# h  P$ F* D          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\UmxPol.exe
          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\UpLive.EXE.exe
          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\WoptiClean.exe
3 y- D8 |0 L8 r. D/ V          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\zxsweep.exe
          以上键值均指向
0 H! B, l% d* e" V; L          %CommonProgramFiles%\Microsoft Shared\MSInfo\随机八位字符.dat

steed

5、连接http://google。171738。org 和http://head.bodyhtml。biz/ani.js
6 G# I3 n; W6 B9 b* m          下载ani.c (1,156 字节)Ani.c为ANI溢出程序，并通过该文件下载
% K% m0 z; j, a0 Y          http://head。bodyhtml。biz/update。exe。
0 N6 ]6 y; D5 k          通过连接http://www。cnzz。com/stat/website.php?web_id=518199记录访问量。
' O3 ~$ D7 `2 m# R

       6、update.exe文件会从http://head。bodyhtml。biz上下载大量木马与病毒。
" ]0 v1 H+ w* Z/ s! n4 C          其中包括AV终结者变种，病毒如下：%CommonProgramFiles%\system\jbtmfqq。exe          (25240字节)
4 F  o; R+ ^8 g$ _1 c4 T' e' [          %CommonProgramFiles%\microsoft shared\ytbikec。exe                                (25240字节)
- |7 G6 D3 K- Z2 k' y          在除系统盘根目录下
          autorun.inf
; V5 M3 ^% @* a' H# X. Q6 o" |: B          hsomklg.exe             (28672字节)
# c" V4 g  \' U9 \% @3 D" v          %temp%目录下
          LYLOADER.EXE            (10196字节)
/ i% g& ~8 E1 X& r          LYMANGR.DLL              (2816字节)
, Z+ l! n1 X. l# O          MSDEG32.DLL              (4999字节)
' M) p" t4 j) G+ X1 I6 Q3 ^; j          ~SM3.tmp                (19504字节)
          ~SM4.tmp                (19504字节)
6 I$ f* q# ~; [/ `7 s          ~SM5.tmp                (19504字节)
          ~SM6.tmp                (19504字节)
7 |7 u0 }3 f$ o( g4 s+ h          ~SM7.tmp                (19504字节)
( \) L4 O2 k1 O+ w6 ~+ o* ]          以上文件会采用添加自身到启动项或插入explorer.exe进程进行自我保护，还会下载其他盗取网游帐号的木马。

[ 本帖最后由 steed 于 2007-6-20 23:24 编辑 ]

steed

二、解决方案：
           
" @7 m/ y$ s+ G+ J* Z
# [+ o6 H' L' q4 H6 {
' \5 l" W9 Z: R& M# i    1、先找突破点。因为映像劫持(image File Execution Options Hijack)只是针对文件名，所以只要更改变文件名，就
3 t) j; k" w8 H% A. \' |* N      可以使它失效。为了防止刚清理的病毒又被重新生成或者安全软件不能使用。我们先解除映像支持，使用超级巡警中
& H8 P5 R. @' o9 m0 a5 U' r      新发布的IFEO修复功能(“安全优化”中“系统修复”下的“Fix IFEO”) 即可。因为AST可能已经被映像劫持，所以
& G% r4 B$ c1 h! D) W. X/ v. Z      推荐使用超级巡警团队针对此类病毒新推出的“ToolsLoader”(详见http://www.dswlab.com/d3.html)。
, p8 Y+ E4 @! c: U" i! `
3 W4 y; |+ e) w4 l) h1 ~
) z7 u6 K  U/ d0 B    2、清出内存病毒和病毒文件。找到加载到 explorer.exe 的dll文件(文件名应该与就是刚才记着的相同)，用超级巡警
      ToolsLoader卸载它。然后删除掉dll文件和同目录下的扩展名为dat的文件(因为病毒会监控以上文件的目录，所以推
( W  I: P7 y2 Q' n2 K( I# k- p! j      荐使用巡警中的“文件粉碎机”删除以上文件)。 然后用 win+e 打开资源管理器，找到根目录下的 autorun.inf 和
% @4 j9 O9 E9 @, O/ K# E0 M      autorun.inf 里面记录的exe文件(注意： 不要双击盘符或单击盘符右键选打开，这样让autorun.inf失效，然后使用
      巡警中的“文件粉碎机”删除这两个文件)。现在病毒的主文件已经都清理了。剩下的可以用病毒文件的文件名(不要
      扩展名)和病毒文件生成时间进行全盘搜索，找到的文件都删除掉。此病毒还会连接一些网站，下载大量盗号软件 ，
" z6 K) P( L  Z7 W: c      这些盗号软件目的是盗取游戏程序或其他程序的帐号与密码，清除不会很复杂。它们一般都采用加载启动的方法，达
      到开机运行的效果。所以只要删除了启动项及其对应的文件，就可解决。这些病毒文件产生的dll文件和垃圾文件 ，
1 W1 c( O. Z9 A      就可以交给杀毒软件处理了。

" |% z) v+ o% Z1 c
. h2 H! w: ~2 D3 c  ]0 G# T    3、全面修复。修复隐藏属性：使[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
- R5 c6 y2 t' F3 X$ v/ o2 e      Explorer\Advanced\Folder\Hidden\SHOWALL]下的"CheckedValue"= dword:00000001。修复安全模式，可以用超级巡
4 Y# e3 o  R) W6 S" _6 Q, c      警的安全修复(“安全优化”中“系统修复”下的“Fix IFEO”)。也可以先在能进入安全模式的机器中导出
      HKLM\SYSTEM\ControSet001\Control\SafeBoot\
      HKLM\SYSTEM\ControSet003\Control\SafeBoot\
) L+ b0 Z8 t+ q) F7 V. s      HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\然后复制到本机上导入。
      修复映像劫持：这个在第一步已经做了。
9 M( a/ s& X3 N+ y1 q! o
+ W# `( e$ S2 x1 l
5 a( @$ l$ q; d% o    4、安全模式杀毒。确保杀毒软件升级到最新，确保打上了最新的系统补丁(用巡警的补丁检查功能，没打的补丁一定要
, U3 U! W. m' d6 D  v1 H      打上)，进入安全模式(推荐断开网络)，使用超级巡警进行全盘扫描，彻底清除各种病毒。
8 ~6 t8 N6 V( V3 K. E: i

# F, B) I: J  }% `9 S" C+ n    5、使用超级巡警屏蔽网站http://head.bodyhtml.biz

steed

6月8日，金山毒霸发布紧急预警，“AV终结者”病毒导致大量安全软件无法正常使用，用户系统安全面临严峻威胁；短短三天之后，6月12日，“AV终结者”危害行为变得更加恶劣，杀毒软件被禁用，反病毒网站无法打开，安全模式遭破坏，格式化系统盘后病毒仍无法清除，用户电脑的安全性被大大降低，电脑内的重要信息、机密文件、网络财产等面临严峻威胁。
% Y$ p8 O& D( O, j$ A+ q* v7 v
　　金山毒霸反病毒专家戴光剑表示，“AV终结者”集目前最流行的病毒技术于一身，而且破坏过程经过了严密的“策划”，普通用户一旦感染该病毒，从病毒进入电脑，到实施破坏，四步就可导致用户电脑彻底崩溃：
: j3 c% w. L# z
　　1. 禁用所有杀毒软件以相关安全工具，让用户电脑失去安全保障；
3 _0 Y" p1 L- v6 W, H+ }6 j
' f4 P/ \, b7 d& s" ?) x　　2.　破坏安全模式，致使用户根本无法进入安全模式清除病毒；

　　3.　强行关闭带有病毒字样的网页，只要在网页中输入“病毒”相关字样，网页遂被强行关闭，即使是一些安全论坛也无法登陆，用户无法通过网络寻求解决办法；

* i! ]1 m& d- Q　　4.　格式化系统盘重装后很容易被再次感染。用户格式化后，只要双击其他盘符，病毒将再次运行。

3 P  Y" W& ?) Y. ?0 E0 t' ]* ^　　经过“AV终结者”的精心“策划”，用户电脑的安全防御体系被彻底摧毁，安全性几乎为零，而“AV终结者”并未就此罢手，自动连接到某网站，大量下载数百种木马病毒，各类盗号木马、广告木马、风险程序用用户电脑毫无抵抗力的情况下，鱼贯而来，用户的网银、网游、QQ帐号密码以及机密文件都处于极度危险之中。

　　据了解，“AV终结者”变种仍在不断更新，如果不即及时进行查杀，广大用户利益将面临更大威胁。基于“AV终结者”危害的严重性，金山毒霸呼吁所有反病毒厂商对该病毒进行联合绞杀。

　　根据该病毒的传播特点，基于该病毒危害严重，金山毒霸反病毒中心第一时间推出了专杀工具，用户利用专杀工具进行查杀，[立即下载专杀工具]。此外由于遭遇该病毒破坏的电脑无法登陆反病毒网站，用户可到正常电脑或全国各大软件专卖店下载“AV终结者”专杀工具，然后接到中毒电脑中进行查杀。

" S- A% I1 {: k  v) d! e/ _, H　　同时，金山毒霸反病毒应急中心及时进行了病毒库更新，升级毒霸到2007年6月8日免费下载最新版金山毒霸2007或使用金山毒霸在线杀毒来防止病毒入侵，拨打金山毒霸反病毒急救电话010—82331816反病毒专家将为您提供帮助。

steed

第1步：在能正常上网的电脑上登录金山毒霸网站，
4 r2 t1 i" w: n- l* |& ]( r, S0 G6 s% a下载AV终结者病毒专杀工具
# L1 |* s  Q$ G9 A) w4 b适用平台：WinXP 更新版本：v3.7
工具大小：309 KB
工具说明：彻底清除AV终结者病毒
第2步：在正常的电脑上禁止自动播放功能，避免插入U盘或移动硬盘而被病毒感染。[方法图示]
把AV终结者专杀工具从正常的电脑复制到U盘或移动硬盘上，然后再复制到中毒的电脑上。
第3步：执行AV终结者专杀工具，清除已知的病毒，修复被破坏的系统配置。
第4步：不要立即重启电脑，请先启动杀毒软件，升级病毒库，进行全盘扫描。以清除木马下载器下载的其它病毒。
3. 如何预防“AV终结者”病毒？
因为AV终结者病毒一旦感染，清除过程相当复杂，可能不少用户就会去重装。我们建议用户不要轻易重装系统，使用我们推荐的步骤完成清除：
2 d2 I- I$ l& W, K, _5 t4 J1. 使用金山网镖或Windows防火墙，可有效防止网络病毒通过黑客攻击手段入侵，
! h) c- h% P! @/ B2. 使用金山毒霸的漏洞修复功能或者windows update来修补系统漏洞，特别需要注意安装浏览器的最新补丁，
3. 升级杀毒软件，开启实时监控，
4. 网管采取综合措施防范ARP攻击挂马事件，有关ARP攻击的解决办法[详细]，
5. 关闭windows的自动播放功能。

=|HERO|=XIAOYAO

LZ有刷盾嫌疑……

steed

http://zhuansha.duba.net/259.shtml

中这个病毒，我头大了3天！

3 D8 O/ k" F5 M大家赶快采取防范措施！！！

steed

原帖由 =|HERO|=XIAOYAO@BF2 于 2007-6-20 23:19 发表
LZ有刷盾嫌疑……

" {+ i' p3 ^" @( i/ ?  E+ U
好心当作驴肝肺！！！我要那点破盾干什么？

* z! [8 B6 u3 \0 D: M我曾经有六七年的工作文档全部被病毒删除，欲哭无泪。
$ f- H, G3 A3 S4 ]$ z& y) f
( O! e/ N8 K+ s% Y& `我也不多解释，有同样经历的朋友会知道厉害的！

但愿[email==|HERO|=XIAOYAO@BF2]=|HERO|=XIAOYAO@BF2[/email] 别中了毒后悔来找这个帖子就好

希望管事的能加个亮，让更多的朋友看到，并做好防护措施。

' z" B+ g; W# k: b$ E! I# N尤其是存有重要资料的公用电脑。还有在网上炒股的朋友们……
8 x% `) T' ^0 M6 {! o

: }2 a5 z' t: @0 g, {  L
[ 本帖最后由 steed 于 2007-6-20 23:37 编辑 ]

=|HERO|=..P_P..

妖装重..

=|HERO|=XIAOYAO

灭哈哈，那就感谢LZ分享……
: i8 D8 v" f# ^5 f
8 G' ?* ]# {4 L% z6 N% ~我觉得我的电脑安全防护固若金汤，呵呵， 好的防火墙+杀毒软件， 还有好的操作习惯。