AV终结者的杀法（杀完后一定要重装系统，不然后果自负）

最近开始流行AV终结者...
我都中招了...
不过这病毒还比较好杀...（当然是有了专杀以后....至少不破坏数据...）
一般AV集成着很多别的木马，一旦中了以后，请先用AV专杀杀一遍
然后用落雪再杀上几遍，一般它都附带着落雪，在盘符下有AUTO的文件
然后杀完后，一定要重新启动，再用AV专杀杀一遍（内存里面肯定还带着进程），然后一定要重装系统
因为还有其他的病毒，只不过看不出来而已，放弃再重新安装杀毒再杀的念头，直接重装吧，因为AV把系统文件已经搞坏了，杀毒装了也没作用~~~

AV的具体症状是基本上所有带杀毒，专杀字样的网站全都上不去，隐藏文件无法打开（因为集成了落雪...），双击盘符会在新页面打开（没有设置开一个窗口就打开一个），其他的进程里面有两个EXE的进程，具体我忘了叫什么了...还有就是，打开C:\Program Files\Common Files\Microsoft Shared这个文件夹的时候会自动关闭，因为在这里面有病毒本体的EXE文件，还有就是安全模式直接无法进入，直接蓝屏，就是修复了安全模式，在安全模式下病毒还是会起作用...所有的杀毒软件都会被屏蔽...完全无法打开...
即使修复了安全模式，在安全模式下病毒进程还是会运行...

启动项里的两个EXE的进程，死活关不掉...（貌似应该改注册表应该可以，不过我懒，直接就格盘了...）

[size=5][color=red][/color][/size][size=5][color=red][/color][/size]
[size=5][color=red]记住先杀毒以后，再重新安装系统，如果无法打开下栽专杀网页的话，可以用PE盘引导，然后上网，或者找个没中毒的人把专杀给你发到邮箱即可~~~[/color][/size]
[size=5][color=#ff0000][/color][/size]
[size=5][color=#ff0000]重装系统后，记得第一步是先把杀毒安装上，升级到最新，然后全面扫描一遍，这样AV后台下载的那些木马也会被杀光，推荐使用卡巴6.0，KEY我在另一个贴子发过了[/color][/size]
[size=5][color=#ff0000][/color][/size]
[size=5][color=#ff0000]（6月14号加入安全模式修复，隐藏文件显示，管理进程的SYSCHECK2）[/color][/size]
[size=5][color=#ff0000][/color][/size]
[color=#ff0000][size=5]如果不想用专杀，想手动清除的话，先用SYSCHECK2打开，观看一下进程和服务，点击SYSCHECK2下面的仅显示非微软的，一般在WINDOWS/SYSTEM32下，还有每个盘的根目录下，[color=red]C:\Program Files\Common Files\Microsoft Shared这个文件夹下也有，找到后，用右键删除服务与文件，这样只是删除了EXE的文件，其他的还需要修改注册表里的东西，不过病毒已经让我干掉了，不知道都附带进了哪几个启动项，其他的木马还是无法干掉，还是用专杀杀一下吧...（这种方法只是理论上行的通，我没试过，不过附上这比较有用的工具吧）[/color][/size][/color]




[color=red]最后，我费了这么大口舌，还是不厚道的收银子~~~[/color]

[[i] 本帖最后由 wgaqq 于 2007-6-15 11:32 编辑 [/i]]

“AV终结者”专杀修复映像劫持和破坏的安全模式


AV终结者病毒包括一系列破坏杀毒软件的病毒，有网友命名为“8位随机文件名病毒”。该病毒利用了IFEO重定向劫持技术，使大量的杀毒软件和安全相关工具无法运行；会破坏安全模式，使中毒用户无法在安全模式下查杀病毒；会下载大量病毒到用户计算机来盗取用户有价值的信息和某些帐号；能通过可移动存储介质传播；病毒还会关闭windows安全中心和windows防火墙，以降低系统安全性。

注意：这两天发现采用类似手段破坏杀毒软件的病毒较多，已经发现专杀不能全部解决，请将专杀修复和毒霸升级杀毒结合使用。

AV终结者专杀可修复映像劫持，修复破坏的安全模式，修复隐藏文件夹的正常显示配置，修复autorun.inf配置的自动播放。推荐遇到这种情况的用户采用。然后，您可以重启系统进入带网络连接的安全模式，升级毒霸后杀毒。如果仍不能解决，那就是有更新的病毒了，建议此时采用毒霸工具菜单下的可疑文件扫描工具，提取新样本。

1.生成文件
%programfiles%\Common Files\Microsoft Shared\MSInfo\{随机8位字母+数字名字}.dat
C:\Program Files\Common Files\Microsoft Shared\MSInfo\{随机8位字母+数字名字}.dll
%windir%\{随机8位字母+数字名字}.hlp
%windir%\Help\{随机8位字母+数字名字}.chm
也有可能生成如下文件
%sys32dir%\{随机字母}.exe
替换%sys32dir%\verclsid.exe文件

2.生成以下注册表项来达到使病毒随系统启动而启动的目的
HKEY_CLASSES_ROOT\CLSID\"随机CLSID"[url=file://\\InprocServer32]\\InprocServer32[/url] "病毒文件全路径"  
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\"随机CLSID" "病毒文件全路径"  
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks "生成的随机CLSID" ""
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "随机字符串" "病毒文件全路径"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc Start dword:00000004

3.生成以下注册表项来进行文件映像劫持，从而试图阻止相关安全软件运行，并执行病毒体。

被劫持的软件包括：
360rpt.exe;
360Safe.exe;
360tray.exe;
adam.exe;
AgentSvr.exe;
AppSvc32.exe;
autoruns.exe;
avgrssvc.exe;
AvMonitor.exe;
avp.com;
avp.exe;
CCenter.exe;
ccSvcHst.exe;
FileDsty.exe;
FTCleanerShell.exe;
HijackThis.exe;
IceSword.exe;
iparmo.exe;
Iparmor.exe;
isPwdSvc.exe;
kabaload.exe;
KaScrScn.SCR;
KASMain.exe;
KASTask.exe;
KAV32.exe;
KAVDX.exe;
KAVPFW.exe;
KAVSetup.exe;
KAVStart.exe;
KISLnchr.exe;
KMailMon.exe;
KMFilter.exe;
KPFW32.exe;
KPFW32X.exe;
KPFWSvc.exe;
KRegEx.exe;
KRepair.COM;
KsLoader.exe;
KVCenter.kxp;
KvDetect.exe;
KvfwMcl.exe;
KVMonXP.kxp;
KVMonXP_1.kxp;
kvol.exe;
kvolself.exe;
KvReport.kxp;
KVScan.kxp;
KVSrvXP.exe;
KVStub.kxp;
kvupload.exe;
kvwsc.exe;
KvXP.kxp;
KvXP_1.kxp;
KWatch.exe;
KWatch9x.exe;
KWatchX.exe;
loaddll.exe;
MagicSet.exe;
mcconsol.exe;
mmqczj.exe;
mmsk.exe;
NAVSetup.exe;
nod32krn.exe;
nod32kui.exe;
PFW.exe;
PFWLiveUpdate.exe;
QHSET.exe;
Ras.exe;
Rav.exe;
RavMon.exe;
RavMonD.exe;
RavStub.exe;
RavTask.exe;
RegClean.exe;
rfwcfg.exe;
RfwMain.exe;
rfwProxy.exe;
rfwsrv.exe;
RsAgent.exe;
Rsaupd.exe;
runiep.exe;
safelive.exe;
scan32.exe;
shcfg32.exe;
SmartUp.exe;
SREng.exe;
symlcsvc.exe;
SysSafe.exe;
TrojanDetector.exe;
Trojanwall.exe;
TrojDie.kxp;
UIHost.exe;
UmxAgent.exe;
UmxAttachment.exe;
UmxCfg.exe;
UmxFwHlp.exe;
UmxPol.exe;
UpLive.EXE.exe;
WoptiClean.exe;
zxsweep.exe;

4.修改以下注册表，导致无法显示隐藏文件
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced Hidden dword:00000002
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL CheckedValue dword:00000000

5、修改以下服务的启动类型来禁止Windows的自更新和系统自带的防火墙。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess Start dword:00000004
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv Start dword:00000004

6.删除以下注册表项，使用户无法进入安全模式
HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKEY_CURRENT_USER\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}

7.连接网络下载病毒
hxxp://www.webxxx.com/xxx.exe

8.关闭杀毒软件实时监控窗口，如毒霸、瑞星、卡巴，通过自动点击"跳过"按钮来逃过查杀

9.尝试关闭包含以下关键字窗口
Anti
AgentSvr
CCenter
Rsaupd
SmartUp
FileDsty
RegClean
360tray
360safe
kabaload
safelive
KASTask
KPFW32
KPFW32X
KvXP_1
KVMonXP_1
KvReport
KvXP
KVMonXP
nter
TrojDie
avp.com
KRepair.COM
Trojan
KvNative
Virus
Filewall
Kaspersky
JiangMin
RavMonD
RavStub
RavTask
adam
cSet
PFWliveUpdate
mmqczj
Trojanwall
Ras.exe
runiep.exe
avp.exe
PFW.exe
rising
ikaka
.duba
kingsoft
木马
社区
aswBoot
...
10.注入Explorer.exe和TIMPlatform.exe反弹连接，以逃过防火墙的内墙的审核。

11.隐藏病毒进程，但是可以通过结束桌面进程显示出来

12.在硬盘分区生成文件：autorun.inf 和 随机字母+数字组成的病毒复制体，并修改“NoDriveTypeAutoRun”使病毒可以随可移动存储介质传播。

另外发现用DOS命令行的安全模式可以避免病毒的运行，这样就又多了一种杀毒的方法，如果自身机器没有什么重要数据的话，还是推荐重新安装系统，原因是有的机器在杀毒完后，还是安装不上杀软，AV是没了，其他的病毒可是成堆了...