[[wiki]wiki[/wiki]][/wiki] “AV终结者”病毒泛滥成灾,身边不断有朋友的[wiki]电脑[/wiki]倒在“AV终结者”的刀下,毒霸终结者专杀工具也更新到了3.8版。从昨天论坛的反馈看,效果比以前的版本好用多了。但是,我们现在面对的敌人不再是散兵游勇,而是一群分工合作的病毒生产、传播、盗号工作室,其从业人数可能比杀毒[wiki]软件[/wiki]公司更多。专杀工具,仍是不能保证对付未来的“AV终结者的”。
“AV终结者”病毒泛滥成灾,身边不断有朋友的电脑倒在“AV终结者”的刀下,毒霸终结者专杀工具也更新到了3.8版。从昨天论坛的反馈看,效果比以前的版本好用多了。但是,我们现在面对的敌人不再是散兵游勇,而是一群分工合作的病毒生产、传播、盗号工作室,其从业人数可能比杀毒软件公司更多。专杀工具,仍是不能保证对付未来的“AV终结者的”。 本文想介绍一下我处理这[wiki]类[/wiki]病毒的经验,希望对学[wiki]技术[/wiki]有兴趣的朋友有所帮助。本例并未针对真实的病毒操作,只给出相关工具的用法。 1.需要准备的工具软件 “AV终结者”病毒专杀,autoruns,冰刃,process e[wiki]XP[/wiki]lorer。
2.运行毒霸的AV终结者专杀工具 修复被破坏的[wiki]安全[/wiki]模式、修复映像劫持、修复隐藏文件夹不能显示等病毒做礫wiki]氖[/wiki]纸[wiki]牛[/wiki]梢郧宄阎腁V终结者病毒,是手工清除病毒首选工具。 这时,你很可能还会发现杀毒软件、冰刃、Sreng等都无法正常运行。这是因为病毒还会检查当前活动窗口是否有杀毒、木马等病毒想关闭的关键字。 3.使用Autoruns 注意一定要选中隐藏MS签名认证的项目,不然要累死
然后注意检查autoruns的每一页,比如在explorer页可能发现AV终结者的DLL,这样,即使你启动到安全模式,病毒也照样执行。接下来,该用Process Explorer了。 4.使用Process Explorer终止病毒线程 根据Autoruns的提示可以顺利找到相关线程,立即将病毒线程暂停。方法是在[wiki]系统[/wiki]进程点右键,再点击Properties。
然后,在弹出的窗口中选择线程。找到对应的木马线程,将其暂停或结束,推荐暂停,因为有时你停止后,木马的其他进程会尝试重启,而暂停就不会了。
5.使用冰刃 强行删除[wiki]木马[wiki]程序[/wiki][/wiki],很多人注意到冰刃的进程[wiki]管理[/wiki],但没注意到文件管理器和注册表[wiki]编辑[/wiki]器功能,其文件管理器可以直接操作隐藏文件,将正在运行的程序强行删除掉。 6.尝试升级杀毒软件 因为AV终结者病毒实际上是个木马下载器,终结者干扰杀毒软件运行的目的是为了下载更多木马。使用资源管理器,进入毒霸目录,双击uplive.exe升级。 建议避免使用双击我的电脑,双击某[wiki]磁盘[/wiki]分区的方式操作,这样会重新激活病毒。直接点击资源管理器左边目录树的 号,使用win键 E就直接打开了。 7.使用杀毒软件完整扫描 你会惊讶的发现,原来中AV终结者后会中这样多的木马,基本以盗号木马为主,也有灰鸽子之类的木马。 8.修复你的杀毒软件 在使用autoruns的过程中,有时会发现病毒删除了杀毒软件注册的服务。在解决完病毒之后,你的杀毒软件需要修复一下。否则,可能重启电脑后,杀毒软件的实时监控不能正常加载。 总结: 类似AV终结者的病毒,会把杀毒软件做为攻击的第一道关。攻击成功后,会使用下载器下载一堆的木马。并且,看完这篇文章,你已经发现这个病毒太难清除了。建议你一定要立足预防为主。坚持下面这几条原则吧: 防毒很简单: 1.使用金山网镖或[wiki]windows[/wiki][wiki]防火墙[/wiki]; 2.使用毒霸漏洞修复或windows update修补系统漏洞; 3.升级杀毒软件,开启实时监控; 4.关闭windows自动播放。
