《av终结者的解决方法.doc》由会员分享,可在线阅读,更多相关《av终结者的解决方法.doc(7页珍藏版)》请在金锄头文库上搜索。
1、AV终结者最彻底解决方案 病毒名称:AV终结者 传播方式:内存,windows漏洞 破坏方式:进程插入 生成病毒文件名:随机8位字符 自我保护:应用程序绑架 病毒目的:从网络上下载大量木马 危害等级: 近日网络上出现了一种破坏力及强的病毒“AV终结者”,不到一个月时间,变种就已达到数百个之多 ,波及人群超过十几万人,这个病毒非常变态,一旦感染就很难清楚。 “AV终结者”是由随机8位数字和字母组合而成的病毒,是闪存寄生病毒,它是通过闪存等存储介质或者注 入服务器来实现的。 一、什么是“AV终结者” “AV终结者”病毒运行后会在系统中生成如下几个文件:C:program filescommon f
2、ilesmicrosoft sharedmsinfo随机生成病毒名.dat、C:program filescommon filesmicrosoft sharedmsinfo随机 生成病毒名.dll、C:windows随机生成病毒名.chm “AV终结者”的病毒名是由大写字母+数字随机组合而成,其长度为8位,可以说生成同名病毒的概率是很 低的。因此即使我们知道了这是病毒生成的文件,也别指望通过病毒名在网络上找到病毒的清楚方法。 “AV终结者”病毒运行后会在本地磁盘和移动磁盘中复制病毒文件和anuorun.inf文件,当用户双击盘符 时就会激活病毒,即使是重装系统也是无法将病毒彻底清楚的。这是目
3、前很多病毒热衷的传播方法,不少 用户也懂得删除病毒生成的anuorun.inf文件,但是当我们进入“文件夹选项里”,想显示隐藏文件时, 可以发现这里已经被病毒给禁用了。 针对杀毒软件的攻击,是“AV终结者”的特点。病毒会终止大部分的杀毒软件和安全工具的进程。 国内绝大多数的杀毒软件和安全工具都被列入了黑名单。当杀毒软件暂时失去作用时,病毒就会乘胜追击 ,通过一种“映象劫持”技术将杀毒软件彻底打入死牢。 “映象劫持”会在注册表的“HKEY-LOCAL-MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Exeution Optio
4、ns”位置新建一个以杀毒软件和安全工具程序名称命名 的项。建立完毕后,病毒还会在里面建立一个Debugger键,键值为“c:progra1common1micros1 msinfo05cc73b2.dat”。这样当我们双机运行杀毒软件的主程序时,运行的其实是病毒程序。 为了避免在“任务管理器”中露出破绽,病毒会将自己的进程注入到系统的资源管理器进程 explorer.exe中,这样我就无法通过“任务管理器”发现病毒的进程了。病毒进程的主要作用是监视系统 中的用户操作,例如你想手动清楚病毒,修改注册表,病毒没隔一段时间就会把注册表改回去,让你百费 劲。另一个作用是监视IE窗口,发现用户搜索病毒资
5、料时,立即关闭网页。 此外,病毒还会破坏windows防火墙和安全模式,封堵用户的后路。最重要的是,病毒会从网络上下 载大量盗号木马,盗取用户的游戏帐户信息,这也是它的真正目的。 二、彻底清楚“AV终结者” 1、运行“任务管理器”,结束“explorer.exe”进程,单击“任务管理器的”文件菜单,选择“新 建任务”,输入“regedit”,找到HEKEY-LOCAL- MACHINEsoftwaremicrosoftwindowscurrentversionexploreradvancedfolderhiddenshowall,将 Checkedvalue的的键值改为“1”。 2、在“reg
6、edit”中找到HEKEY-LOCAL-MACHINEsoftwaremicrosoftwindows NTcurrentversionimage file execution options,将以杀毒软件和安全工具命名的项删除。 3、在“资源管理器”中单击“工具”“文件夹选项”,切换到“查看”,取消“隐藏受保护的 操作系统文件”前面的勾,然后选中“显示所有文件和文件夹”。根据上文中提供的路径删除所有的病毒 文件。删除其他分区中的病毒,注意不要双击进入盘符,而要用右键点击进入。 三、预防“AV终结种” 首先,要禁止自动播放功能,并能及时更新系统补丁,尤其是MS06-014和MS07-017这两
7、个补丁。 其次,要限制IFEO的读写权,达到限制病毒通过IFEO劫持杀毒软件的目的。操作方法如下:开始运行 ,输入regedit32,找到HEKEY-LOCAL-MACHINEsoftwaremicrosoftwindows NTcurrentversionimage file execution options,右击此选项,在弹出的菜单中选择“权限”,然后把administrors用户组和 users用户组的权限全部取消即可。最后,要限制SAFEBOOT的读写权,达到限制“AV终极者”修改或删除 Drives,保护安全模式正常运行的目的。操作方法如下:同样是在32位注册表里找到HKEY-LOCAL- MACHINESYSTEMcontorlset001controlsafebootnetwork4d36e967-e325-11ce-bfc1-08002be10318 和HKEY-LOCAL-MACHINESYSTEMcurrentcontrolsetcontrolsafebootminimal4d36e967-e325-11ce- bfc1-08002be10318,将administors用户组和users用户组的权限全部取消即可。 相关工具到http:/ %SystemRoot%system32restorerstrui.exe 把上面的粘贴到地址拦,回车!OK
