发表于: 2007-06-24 11:33 | 显示全部 短消息 资料
字号: 1楼

【转贴】一个网友的AV终结者解决方法

前几天自己种了终结者,经历惨痛,至今还记忆忧新.今天在快乐学吧(www.china568.com)看到一篇很好得文章,特意转贴给大家分析:
昨天遭遇了一个比较棘手的病毒,搞了N久才搞定..  因为自己机器由于上次维护系统没有来的及装虚拟机,所以这里只能靠机器症状来简单分析一下了  症状:
  1. 电脑开机时自动运行。

  2. 绑架安全软件,中毒后会发现几乎所有杀毒软件,系统管理工具,反间谍软件不能正常启动。即使手动删除了病毒程序,下次启动这些软件时,还会报错。

  3. 不能正常显示隐藏文件,其目的是更好的隐藏自身不被发现。

  4. 禁用windows自动更新和Windows防火墙。

  5. 破坏系统安全模式.

  6. 当前活动窗口中有杀毒、安全、社区相关的关键字时,病毒会关闭这些窗口。假如你想通过浏览器搜索有关病毒的关键字,浏览器窗口会自动关闭。

  7. 在本地硬盘、U盘或移动硬盘生成autorun.inf和相应的病毒程序文件,    8. 下载更多木马、后门程序。

解决步骤:

    1.根据症状2可以得出结论:IFEO 映像劫持.

    可以使用autoruns这个软件 http://www.skycn.com/soft/17567.html
    改个名字打开这个软件后,找到Image hijack (映像劫持)删除除了Your  Image File Name Here without a pathSymbolic Debugger  for Windows 2000 Microsoft Corporation c:\windows\system32\ntsd.exe 以外的所有项目

    2.针对症状3我们可以把下面红色代码拷入记事本中然后另存为XXX.reg文件(XXX可以自己定义)


以下是引用片段:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"

然后双击导入注册表

3.针对症状5...

下载sreng  http://www.kztechs.com/sreng/download.html
打开sreng
系统修复 高级修复 点击修复安全模式 在弹出的对话框中点击是


4.现在我们就可以手工清理病毒了

开始-运行-CMD-然后在DOS里 进入各个盘根目录:

输入: attrib -s -h -r  (显示隐藏文件,去除只读属性)

再次输入 attrib 回车,就可以看到里面有 autorun.inf 和 rxukgcm.exe(病毒主体) 然后输入 del autorun.inf 回车 del rxukgcm.exe回车

就把病毒文件清理了

这个时候我们只是清理了病毒主体,但是留在电脑里的东西还没有解决掉,我们可以利用冰刃,可以发现进程里有两个可疑文件互相绑定,我们可以选择打开模块-强制卸除对应的病毒模块,然后选择终止进程,然后在冰刃文件里浏览到病毒文件目录下强制删除..

然后启动杀毒软件,把病毒库升级到最新,全盘扫描,清楚病毒尸体..

至此,病毒彻底清理完成

如果嫌这个过程麻烦的话,可以有一个简单的方法:下载 金山AV终结者专杀  扫描电脑,注意,这个时候要把移动存储设备全部弹出,否则不容易杀干净

扫描完成以后可能会出现 硬盘不能双击打开或右键打开的问题,解决办法如下:

我的电脑-工具-文件夹选项-文件类型-然后找到驱动器并选中-点高级-新建

在操作里面写 open  下面的应用程序里面 写 explorer.exe  注意这里千万不要写错

然后确定  然后 开始-注销-注销 再进入用户 OK,问题得到解决

这个时候我们不要忘了移动存储设备里的病毒还没有杀

然后我们就可以这样做:打开“开始→运行”,在对话框中输入“gpedit.msc”命令,在出现“组策略”窗口中依次选择“在计算机配置→管理模板→系统”,双击“关闭自动播放”,在“设置”选项卡中选“已启用”选项,最后单击“确定”按钮即可。

这样我们就可以放心插入移动存储设备了,因为我们已经把自动播放功能关闭,设备插入后,记住千万不要打开,利用步骤4,把移动存储设备里的病毒删除,然后在盘符上点右键,选择杀软扫描,OK,全部病毒被搞定!!

附:我拿到的病毒样本的 AUTORUN.INF

以下是引用片段:
[AutoRun]
open=rxukgcm.exe
shell\open=打开(&O)
shell\open\Command=rxukgcm.exe
shell\open\Default=1
shell\explore=资源管理器(&X)
shell\explore\Command=rxukgcm.exe
病毒主体如果有想要的可以留言告诉我,发给你们..

如果大家有新的病毒样本可以发送到littel@yahoo.com.cn 病毒样本请加密压缩,谢谢  密码:123
转自:
http://www.china568.com
最后编辑2007-06-24 11:33:16.483000000