《手动清除av终结者》由会员分享,可在线阅读,更多相关《手动清除av终结者(4页珍藏版)》请在金锄头文库上搜索。
1、手动清除手动清除 AV 终结者终结者最近 AV 终结者病毒很流行,许多人都中了,杀毒软件打不开,只格 C 盘重装也会马上又中毒.因为 AV 终结者也 在不断的更新,所以杀毒软件和专杀总是落后一步,不能查杀.事实上 AV 终结者并不是指某一个特定的病毒,其本身 也没有远程控制和盗号的功能.AV 终结者的作用就是下载一个或几个指定网址的木马,但 AV 终结者给自已 设定许 多保护措施,它会关闭大多数杀毒软件和杀毒辅助软件,并且在各个分区生成 autorun.inf 以及写入注册表,生成映像 劫持等等.“永久下载者“就是 AV 终结者中比较典型的一种,上面提过 AV 终结者并不是指某一特定的病毒,所
2、以这里 只能提供手动杀毒思路,完全按照我的杀毒步骤并不一 定就能完全清除.所以这个教程适合对电脑比较了解的人.在 文章最后我也会给出比较适合初学者的只格 C 盘重装系统不会马上再中毒的方法.好,下面开始动手.工欲善其事,必先利其器.所以,先准备一下会用到的三个杀毒辅助软件 1.Icesword II 1.20(冰刃) 下载地址:http:/ 2.Autoruns 下载地址:http:/ 3.SREng 下载地址:http:/ 和 Autoruns 是主力,原因在后面会提到. 如果在中毒期间曾使用过闪盘移动硬盘之类的,最好接上一起杀,免得刚杀完一插闪盘又中毒.一先把这三个软件改名,名字改为无规则
3、的就行了.比如我这里,Icesword 改为 ii.exe,Autoruns 改名为 aa.exe,SREng 改名为 ss.exe 如图 1. 图 1很多人都说中了这个病毒上面的三个软件都打不开,原因是病毒对常用杀毒软件和杀毒辅助软件进行了映像劫持,运 行这些软件不改名的话,就等于执行了病毒文件.我们可以先运行 Autoruns(已经改名为 aa.exe 了,下面我只提软件 名字,不再提示是改名前的名字了). 如图 2. 图 2发现了什么?呵呵,常见杀毒软件和辅助软件的名字基本都在这儿了.只要你运行和这个列表里名字相同的软件,就会 自动转向运行病毒文件.二运行 Icesword,寻找病毒进程
4、,永久下载者有两个进程,互相保护,使用 Windows 的任务管理器是关不掉它的进程的. 所以这里要求是对电脑较了解的人,要不然不知道病毒进程是哪些.因为 AV 终结者有很多类型,所以需要自已判断哪 些是病毒进程. 如图 3, 图 3找到病毒进程,首先记下后面病毒的路径.按住 Ctrl 把两个进程都选上,点右键结束进程,因为两个进程同时关闭,所以 病毒的进程保护就不起作用了.刷新几次,看看有没有新的病毒进程,如果没有,就可以进行下一步了.三 点 Icesword 左侧的“文件“,找到上面记下的路径里的两件文件,删除.然后找到 C:D:E:等各个分区根目录下的 autoru n.inf 和*.e
5、xe,*.exe 就是 autorun.inf 里面写着的程序名,我这里是 epijcxh.exe. 如图 4. 图 4现在 AV 终结者病毒对 Autorun.inf 文件进行了改进,右键不会出现 Auto 的字样,双击也可以进入分区,但不管右键点 打开进入还是双击进入,都会运行病毒文件,这就是许多人只格 C 盘重装后马上又中毒的原因.要删除这几个文件必 须要用第三方的软件,比如 Winrar,Icesword,Totalcmd 等资源管理器软件,或者 Windows 的 cmd 命令行,否则进入 分区后就运行了病毒程序,前面的所做的一切都要重新来一遍.注意:删除了 Autorun.inf
6、和*.exe 之后,不管右键还是双击都进不去这个分区了,如果想找到某个文件或运行某个 程序,可以直接在地址栏中输入 c: 或 d: 等等然后回车来进入这个分区四现在轮到 Autoruns 出场了,运行 Autoruns,点“用户登录“,找到病毒写入注册表的启动命令.点右键删除这两个.后面 显示的是“未找到文件“,因为我们刚才在 Icesword 里面已经把这两件文件删除了. 如图 5. 图 5然后再点映像劫持,把除了最后的 Your Image File Name Here without a path c:windowssystem32ntsd.ex e 之外的全都删除,累啊,这么多.删完后
7、应该是这样的,如图 6. 图 6到此,AV 终结者病毒基本已经清除了.但是.呵呵,一听到但是,就知道还没完.因为我们仅仅清除了 AV 终结者,AV 终 结者所下载下来的木马我们还没有杀.大家都注意到了图 3 中红色的 iexplorer 进程了吧,这就是 AV 终结者下载下来 的灰鸽子木马进程.Icesword 可以发现隐藏进程并用红色表示,在 Windows 任务管理器下是看不到这个进程的.一般 情况下这种红色进程都不是什么好鸟文章开始已经说了 AV 终结者有很多类型,并不是每一种都像“永久下载者“这样只写入注册表启动项.所以 SREng 这 时候就派上用场了,使用 SREng 扫描,把注册表启动项,服务,驱动这些都检测一遍,结合 Icesword 可以一起把木马也 清除掉.因为 SREng 的使用需要对电脑的服务项和驱动项都比较了解,电脑初学者可以使用 SREng 的智能扫描扫 一个报告发到一些大论坛上请高手指导你哪些要删.这里我就不详细演示怎么手动杀掉灰鸽子了,使用 SREng 和 Ice sword 很容易就可以清除掉.
