AV终结者解决方法

作者:hesper 日期:2007-06-21

字体大小: 小中大

今天帮同学看电脑，发现了这个病毒，往上搜索之后将解决方案与大家共享：）

症状:
　　1. 电脑开机时自动运行。

　　2. 绑架安全软件，中毒后会发现几乎所有杀毒软件，系统管理工具，反间谍软件不能正常启动。即使手动删除了病毒程序，下次启动这些软件时，还会报错。

　　3. 不能正常显示隐藏文件，其目的是更好的隐藏自身不被发现。

　　4. 禁用windows自动更新和Windows防火墙。

　　5. 破坏系统安全模式.

　　6. 当前活动窗口中有杀毒、安全、社区相关的关键字时，病毒会关闭这些窗口。假如你想通过浏览器搜索有关病毒的关键字，浏览器窗口会自动关闭。

　　7. 在本地硬盘、U盘或移动硬盘生成autorun.inf和相应的病毒程序文件，　　

    8. 下载更多木马、后门程序。

解决步骤:

    1.根据症状2可以得出结论:IFEO 映像劫持.

     可以使用autoruns这个软件 http://www.skycn.com/soft/17567.html
     改个名字打开这个软件后,找到Image hijack (映像劫持）删除除了Your  Image File Name Here without a pathSymbolic Debugger   for Windows 2000 Microsoft Corporation c:\windows\system32\ntsd.exe 以外的所有项目

   2.针对症状3我们可以把下面红色代码拷入记事本中然后另存为XXX.reg文件(XXX可以自己定义)

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"
然后双击导入注册表

3.针对症状5...

下载sreng  http://www.kztechs.com/sreng/download.html
打开sreng
系统修复高级修复点击修复安全模式在弹出的对话框中点击是

4.现在我们就可以手工清理病毒了

开始-运行-CMD-然后在DOS里进入各个盘根目录:

输入: attrib -s -h -r  (显示隐藏文件,去除只读属性)

再次输入 attrib 回车,就可以看到里面有 autorun.inf 和 rxukgcm.exe(病毒主体) 然后输入 del autorun.inf 回车 del rxukgcm.exe回车

就把病毒文件清理了

这个时候我们只是清理了病毒主体,但是留在电脑里的东西还没有解决掉,我们可以利用冰刃,可以发现进程里有两个可疑文件互相绑定,我们可以选择打开模块-强制卸除对应的病毒模块,然后选择终止进程,然后在冰刃文件里浏览到病毒文件目录下强制删除..

然后启动杀毒软件,把病毒库升级到最新,全盘扫描,清楚病毒尸体..

至此,病毒彻底清理完成

如果嫌这个过程麻烦的话,可以有一个简单的方法:下载金山AV终结者专杀  扫描电脑,注意,这个时候要把移动存储设备全部弹出,否则不容易杀干净

扫描完成以后可能会出现硬盘不能双击打开或右键打开的问题,解决办法如下:

我的电脑-工具-文件夹选项-文件类型-然后找到驱动器并选中-点高级-新建

在操作里面写 open  下面的应用程序里面写 explorer.exe  注意这里千万不要写错

然后确定  然后开始-注销-注销再进入用户 OK,问题得到解决

这个时候我们不要忘了移动存储设备里的病毒还没有杀

然后我们就可以这样做:打开“开始→运行”，在对话框中输入“gpedit.msc”命令，在出现“组策略”窗口中依次选择“在计算机配置→管理模板→系统”，双击“关闭自动播放”，在“设置”选项卡中选“已启用”选项，最后单击“确定”按钮即可。

这样我们就可以放心插入移动存储设备了,因为我们已经把自动播放功能关闭,设备插入后,记住千万不要打开,利用步骤4,把移动存储设备里的病毒删除,然后在盘符上点右键,选择杀软扫描,OK,全部病毒被搞定!!

附:病毒样本的 AUTORUN.INF

[AutoRun]
open=rxukgcm.exe
shell\open=打开(&O)
shell\open\Command=rxukgcm.exe
shell\open\Default=1
shell\explore=资源管理器(&X)
shell\explore\Command=rxukgcm.exe

[本日志由 hesper 于 2007-12-17 01:46 PM 编辑]

文章来自: 转贴

引用通告地址: http://www.wantfly.cn/trackback.asp?tbID=258

Tags: av终结者

评论: 7 | 引用: 0 | 查看次数: 4069

hesper [2007-12-17 07:08 PM]

建议你还不如重装系统呢，这样搞下去，还不如重装来得快呢，重装顶多花一个下午的时间就可以搞定。现在的那种ghost安装盘很多，虽然网上有人评论说他们怎么不好，不过我个人觉得深度的xp还是不错的，可就是安装完了要重新装驱动，如果你图方便，找张番茄花园的也可以，而且一般的驱动他都带了！

最后要记得装好系统后，安装杀毒软件，用一键ghost做个备份，这样以后即使出问题也方便了许多。

梦若晨曦 [2007-12-17 06:04 PM]

ARP防火墙检测到的是C:\WINDOWS\system32\drivers\alg.exe（PID:2560）正在向外发起进攻！！我们学校现在ARP病毒泛滥！让安装这防火墙和360安全卫士，360安全卫士被那个恶心的病毒给弄没了！您能帮我想想办法吗，我是电脑盲啊，寝室里头现在是束手无策了！有台电脑就是不停的关机，现在都开不了机了，现在是写论文的时候，出这个鬼东西，学校的网管不理会我们了！