我中了AV终结者了 中了AV终结者2010怎么办？

\u75c5\u6bd2 \u6211\u4e2d\u4e86AV\u7ec8\u7ed3\u8005 \u600e\u4e48\u529e

\u58f3\u6728\u9a6c\u4e13\u6740\u662f\u7eff\u8272\u8f6f\u4ef6\uff0c\u76f4\u63a5\u53cc\u51fb\u8fd0\u884c\u5c31\u53ef\u4ee5\u4e86
\u6211\u63a8\u8350\u8d1d\u58f3\u4e13\u6740\u800c\u4e0d\u662f360\u5b89\u5168\u536b\u58eb
\u56e0\u4e3a\u8fd9\u5b8c\u5168\u662f\u4e24\u4e2a\u6982\u5ff5\u7684\u5b89\u5168\u8f85\u52a9\u8f6f\u4ef6
360\u867d\u7136\u4e0d\u9519\uff0c\u4f46\u662f\u5bf9\u4e8e\u65b0\u6728\u9a6c\u5b8c\u5168\u6ca1\u6709\u514d\u75ab\u529b
\u8d1d\u58f3\u4e3b\u8981\u662f\u9488\u5bf9\u65b0\u6728\u9a6c\u75c5\u6bd2\u8bbe\u8ba1\u7684
\u7b2c\u4e00\u6b21\u4f7f\u7528\uff0c\u70b9\u51fb\u626b\u63cf\u540e\u8d1d\u58f3\u4f1a\u5feb\u901f\u626b\u63cf\uff0c\u5927\u7ea61-3\u5206\u949f
\u7136\u540e\u5217\u51fa\u56db\u79cd\u7b49\u7ea7\u7684\u6587\u4ef6\uff0c1.\u4fe1\u4efb2.\u65e0\u5a01\u80c13.\u672a\u77e54.\u75c5\u6bd2\u6728\u9a6c
\u4e00\u822c\u4f60\u7b2c\u4e00\u6b21\u626b\u63cf\u5927\u591a\u6570\u662f\u4fe1\u4efb\u6216\u8005\u65e0\u5a01\u80c1\u6587\u4ef6\uff0c\u5982\u679c\u6709\u672a\u77e5\u6587\u4ef6\u7684\u8bdd\uff0c\u4f60\u5c31\u70b9\u51fb\u4e0a\u62a5\uff08\u8fd9\u662f\u91cd\u70b9\uff09\uff0c\u7136\u540e\u8010\u5fc3\u7b49\u5f851-5\u5206\u949f,\u6700\u540e\u518d\u91cd\u65b0\u626b\u63cf\u4e00\u6b21\uff0c\u7b2c\u4e8c\u6b21\u626b\u63cf\u901f\u5ea6\u6bd4\u7b2c\u4e00\u6b21\u5feb\u51e0\u500d
\u7b2c\u4e00\u6b21\u626b\u63cf\u663e\u793a\u672a\u77e5\u7684\u6587\u4ef6\uff08\u5c31\u662f\u4f60\u4e0a\u62a5\u7684\u6587\u4ef6\uff09\u5c31\u80fd\u6b63\u786e\u8bc6\u522b\u65f6\u6728\u9a6c\u75c5\u6bd2\u6216\u8005\u662f\u6b63\u5e38\u6587\u4ef6\u4e86
\u8bf4\u5230\u8fd9\u91cc\u660e\u767d\u4e86\u5427\uff0c\u8d1d\u58f3\u7684\u4e91\u5b89\u5168\u8ba1\u7b97\u76ee\u524d\u662f\u6700\u5feb\u7684\uff0c\u4e5f\u5c31\u662f\u8bf4\u65e0\u8bba\u4f60\u5728\u54ea\u91cc\uff0c\u7f51\u5427\u6216\u8005\u5bb6\u91cc\uff0c\u73a9\u6e38\u620f\u6216\u8005\u7f51\u94f6\u524d\u7528\u8d1d\u58f3\u626b\u4e00\u4e0b\uff0c\u65e0\u8bba\u662f\u591a\u65b0\u7684\u75c5\u6bd2\uff0c\u53ea\u8981\u4e0a\u62a5\u4e86\uff0c3\u5206\u949f\u540e\u5c31\u80fd\u8bc6\u522b\u51fa\u6765\u4e86\u3002360\u5bf9\u4e8e\u65b0\u75c5\u6bd2\u53ef\u662f\u65e0\u80fd\u4e3a\u529b\u3002
\u5bf9\u4e8e\u987d\u56fa\u75c5\u6bd2\uff0c\u8d1d\u58f3\u4e5f\u53ef\u4ee5\u66ff\u6362\u88ab\u611f\u67d3\u7684\u7684\u7cfb\u7edf\u6587\u4ef6\uff0c\u4fdd\u62a4\u7cfb\u7edf\u5b89\u5168
\u8d1d\u58f3\u7684\u7f3a\u70b9\u662f\u53ea\u80fd\u626b\u63cf\u7cfb\u7edf\u5173\u952e\u76ee\u5f55\uff08\u8fd9\u4e5f\u662f\u4e3a\u4e86\u901f\u5ea6\uff09
\u5e0c\u671b\u697c\u4e3b\u8bd5\u7528\u4e00\u4e0b\u8d1d\u58f3\uff0c\u771f\u7684\u4e0d\u9519\uff01
\u8d1d\u58f3\u5b98\u65b9\u7f51\u7ad9\u4e0b\u8f7d\u5730\u5740\uff1a
http://www.beike.cn/

\u5927\u54e5\u4eec\uff0c\u4e2d\u4e86\u8fd9\u75c5\u6bd2\u7528\u5b89\u5168\u6a21\u5f0f\u4e0d\u9876\u7528\uff0c\u8fd9\u7c7b\u75c5\u6bd2\u6211\u4e2d\u8fc7\u4fe9\u6b21\uff0c\u7b2c\u4e00\u6b21\u8ba9\u4eba\u5bb6\u6765\u4e86\u5206\u533a\uff0c\u91cd\u88c5\u7cfb\u7edf\u6ca1\u7528\uff0c\u5206\u533a\u662f\u662f\u5f7b\u5e95\u7684\u65b9\u6cd5\uff0c\u6216\u8005\u7ed9\u4f60\u63a8\u8350\u4e00\u79cd\u65b9\u6cd5\uff1a1. \u5728\u80fd\u6b63\u5e38\u4e0a\u7f51\u7684\u7535\u8111\u4e0a\u5230 http://zhuansha.duba.net/259.shtml \u4e0b\u8f7dAV\u7ec8\u7ed3\u8005\u75c5\u6bd2\u4e13\u6740\u5de5\u5177\u3002 2. \u5728\u6b63\u5e38\u7684\u7535\u8111\u4e0a\u7981\u6b62\u81ea\u52a8\u64ad\u653e\u529f\u80fd\uff0c\u4ee5\u907f\u514d\u901a\u8fc7\u63d2\u5165U\u76d8\u6216\u79fb\u52a8\u786c\u76d8\u800c\u88ab\u75c5\u6bd2\u611f\u67d3\u3002\u7981\u6b62\u65b9\u6cd5\u53c2\u8003\u65b9\u6848\u9644\u4ef6\uff1a \u628aAV\u7ec8\u7ed3\u8005\u4e13\u6740\u5de5\u5177\u4ece\u6b63\u5e38\u7684\u7535\u8111\u590d\u5236\u5230U\u76d8\u6216\u79fb\u52a8\u786c\u76d8\u4e0a\uff0c\u7136\u540e\u518d\u590d\u5236\u5230\u4e2d\u6bd2\u7684\u7535\u8111\u4e0a\u3002 3. \u6267\u884cAV\u7ec8\u7ed3\u8005\u4e13\u6740\u5de5\u5177\uff0c\u6e05\u9664\u5df2\u77e5\u7684\u75c5\u6bd2\uff0c\u4fee\u590d\u88ab\u7834\u574f\u7684\u7cfb\u7edf\u914d\u7f6e\u3002 \uff08\u6ce8\uff1aAV\u7ec8\u7ed3\u8005\u4e13\u6740\u5de5\u5177\u7684\u91cd\u8981\u529f\u80fd\u662f\u4fee\u590d\u88ab\u7834\u574f\u7684\u7cfb\u7edf\uff0c\u5305\u62ec\u4fee\u590d\u6620\u50cf\u52ab\u6301\uff1b\u4fee\u590d\u88ab\u7834\u574f\u7684\u5b89\u5168\u6a21\u5f0f\uff1b\u4fee\u590d\u9690\u85cf\u6587\u4ef6\u5939\u7684\u6b63\u5e38\u663e\u793a\u548c\u5220\u9664\u5404\u78c1\u76d8\u5206\u533a\u7684\u81ea\u52a8\u64ad\u653e\u914d\u7f6e\u3002\uff09 4. \u4e0d\u8981\u7acb\u5373\u91cd\u542f\u7535\u8111\uff0c\u7136\u540e\u542f\u52a8\u6740\u6bd2\u8f6f\u4ef6\uff0c\u5347\u7ea7\u75c5\u6bd2\u5e93\uff0c\u8fdb\u884c\u5168\u76d8\u626b\u63cf\u3002\u4ee5\u6e05\u9664\u6728\u9a6c\u4e0b\u8f7d\u5668\u4e0b\u8f7d\u7684\u5176\u5b83\u75c5\u6bd2\u3002 \u3002 \u7136\u540e\u5c31OK\u4e86\u3002

\u5e0c\u671b\u91c7\u7eb3

■专杀工具下载

金山毒霸专杀工具下载地址：http://duba-011.duba.net/duba/kavtools/DubaTool_AV_Killer.COM

瑞星反病毒中心专杀工具下载地址：http://it.rising.com.cn/Channels/Service/2006-08/1154786729d36873.shtml

■手动清除办法

1.到网上下载IceSword工具，并将该工具改名，如改成abc.exe 名称，这样就可以突破病毒进程对该工具的屏蔽。然后双击打开IceSword工具，结束一个8位数字的EXE文件的进程，有时可能无该进程。

2.利用IceSword的文件管理功能，展开到C:\Program Files\Common Files\Microsoft Shared\MSINFO\下，删除2个8位随机数字的文件，其扩展名分别为：dat 和dll 。再到%windir%\help\目录下，删除同名的.hlp或者同名的.chm文件，该文件为系统帮助文件图标。

3. 然后到各个硬盘根目录下面删除Autorun.inf 文件和可疑的8位数字文件，注意，不要直接双击打开各个硬盘分区，而应该利用Windows资源管理器左边的树状目录来浏览。有时电脑中毒后可能无法查看隐藏文件，这时可以利用WinRar软件的文件管理功能来浏览文件和进行删除操作。

4.利用IceSword的注册表管理功能，展开注册表项到：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]，删除里面的IFEO劫持项。

当完成以上操作之后，就可以安装或打开杀毒软件了，然后升级杀毒软件到最新的病毒库，对电脑进行全盘杀毒。（手动清除办法由江民反病毒专家提供）

最近发现很多人出现了打不开杀毒软件 反病毒工具 甚至带有病毒字样的窗口
这是一个可以说结合了几乎所有病毒的特征的病毒
“映像劫持”以及“随机8位数字病毒”其实是一个叫作“AV终结者”的电脑病毒，该病毒通过映像劫持技术，将大量杀毒软件“绑架”，使其无法正常应用，而用户在点击相关安全软件后，实际上已经运行了病毒文件，实现病毒的“先劫持后掉包”的计划。

此外，与以往针对杀毒软件的病毒不同，AV终结者会破坏安全模式，即使用户发现电脑感染了病毒，重新启动后也无法进入安全模式进行查毒，而且该病毒还可下载大量的木马病毒到用户电脑内，用户有价值的信息以及某些帐号将面临严重威胁。

“AV终结者”不但可以劫持大量杀毒软件以及安全工具，而且还可禁止Windows的自更新和系统自带的防火墙，大大降低了用户系统的安全性，这也是近几年来对用户的系统安全破坏程度最大的一个病毒之一。

反病毒专家表示，该病毒的破坏程度与熊猫烧香非常相似，只是比熊猫烧香更加隐蔽，病毒可随系统启动而启动，并通过修改注册表，隐藏进程的方式，让用户不易察觉。该病毒可在硬盘分区生成文件autorun.inf和随机字母+数字组成的病毒复制体，并修改“NoDriveTypeAutoRun”使病毒可以随可移动存储介质传播。

根据该病毒的传播特点，升级金山毒霸到2007年6月8日的病毒库即可查杀。同时，用户可以利用金山专杀工具进行查杀。

防范措施

因为AV终结者病毒一旦感染，清除过程相当复杂，可能不少用户就会去重装。我们建议用户不要轻易重装系统，使用我们推荐的步骤完成清除，必要时拨打客服电话，请求支持。请采取以下措施防范AV终结者病毒

1. 使用金山网镖或Windows防火墙，可有效防止网络病毒通过黑客攻击手段入侵。

2. 使用金山毒霸的漏洞修复功能或者windows update来修补系统漏洞，特别需要注意安装浏览器的最新补丁。

3. 升级杀毒软件，开启实时监控

4. 网管采取综合措施防范ARP攻击挂马事件，有关ARP攻击的解决办法，请参考附件二

5. 关闭windows的自动播放功能

“帕虫”（瑞星），AV终结者（金山命名）病毒的几种解决方法

最近“帕虫”（瑞星），AV终结者（金山命名）蛮流行的，其实就是7、8位字符病毒。我们民间的菜鸟管它叫“随机字母、数字病毒”。貌似反病毒论坛每天都有人因为这个病毒求助，我也跟该病毒打过几次照面了，觉得没什么特别的，现在将它们病毒的技术做简单介绍，并附上几个破解方法。

Autorun.inf

一个暗藏杀机的文本格式，以至于有些杀软都加入病毒库，传播U盘病毒的罪魁祸首，很多情况下我们把它视为敌人，如果配合系统默认的"自动播放"功能,那激活病毒的机率将会是100%。

关闭自动播放功能：计算机配置—管理模板—系统—停用自动播放—设置为“已启用”—选上所有驱动器—确定，至于Autorun.inf，可以下载U盘免疫工具。

线程插入

全名叫“远程创建线程”。这样的病毒通常是Dll格式的文件，可能依附系统服务\EXE载体\Rundll32.exe\注册表插入进程。那么除非用第三方工具，否则无法发现宿主内的dll病毒，因为进程管理器里毫无异常。这种技术在木马界应用非常广泛，具有一定的隐蔽性。8位字符病毒就是利用这个技术，使得无法在进程里直接发现，给查杀工作带来难度。

我们可以下载第三方工具，可以查看进程模块的，推荐用冰刃。主要检测Explorer进程模块，该进程是木马常聚集的场所，应当特别留意。最好可以配合SREng日志查看，那样会更容易辨认。

另：增强版的冰刃该病毒并无法关闭，同时IFEO劫持亦无效。

IFEO重定向劫持

最近被滥用的技术，在知名的安全工具就Autoruns能追踪到（新版本的SREng同样具有IFEO检测能力），为此我还曾写过一篇防御方法。可惜的是并没有人愿意去看```

IFEO其实是位于注册表：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\

下的Image File Execution Options（简写为IFEO）

这个项主要是用来调试程序（防止溢出），一般用户根本用不到。默认是只有管理员和local system能读写修改。假设在这个项新建个“Filename.exe”,键值为Debugger，指向的是另一个程序（virus.exe)路径的话，那么运行A程序的时候，会执行B，这就是重定向劫持。

打开注册表，展开到IFEO，设置权限，只读不允许写入就可以了。（如果程序运行提示找不到的话，不妨改个名字试试）

HOOK

这个是类似于“监听”的技术，翻译意思为“钩子”，我遇到的一个变种使用的是WH_CALLWNDPROC钩子，由常驻进程的8位随机数字.dll释放的钩子，通过拦截一些敏感的信息并在程序调用中做了修改。不过它并不是修改信息，而是直接关闭一些过滤的“关键字”。

直接删掉对应的Dll病毒就可以了，一般用SREng日志可以检测出来。

Rootkit

在我发现的AV变种中,发现一个木马群使用这个(Rootkit)技术,是7位随机病毒带来的,并实现三进程守护!

这个技术在木马界更多的是应用在隐藏上，最典型的应属灰鸽子(也可能是Hook)，一个合格的RK可以让属于自己的文件（包括进程）人间蒸发。最常见的是修改枚举进程API，使API返回的数据总是“遗漏”（病毒）自身进程的信息，那么在进程里当然就不能发现了。也有一种类似的技术，通过抹杀“进程信息表”的自身信息进行隐藏。从而也达到隐藏的目的，不过该技术设计上缺陷和平台的通用，貌似相当稀少。（至少我没遇到过）

我们可以通过一些反RK的工具，居于RK的技术，反RK工具不一定能盖过对方，最好的方法只能预防。一些常用的反RK有偌顿的RootkitRevealer，IS、Gmer和AVG的Anti-Rootkit Free。

ARP挂马

这个不是重点，简单说了。是在一个AV变种的木马群发现的,由CMD调用，驻进程，其实是个类似嗅探器的东西，隔秒刷新，监听网络，在经过自身的数据包上挂一段恶意代码（JS），那么这些数据包返回时，收到被修改数据包的用户在浏览每个网页上可能都有病毒。

如果在局域的话，那么可以在任意一台主机上用抓包工具检查数据包的异常并定位。

破防

前几个版本中的8位数字病毒就是使用了这个技术，通过拦截FindWindowExA、mouse_event、SendMessageA等函数，捕捉瑞星注册表监控和卡吧主动防御的监控窗口，发送“允许”、“Yes"命令。（不经过用户操作），后来作者发现，把杀软关闭了，这功能不是多余的么。貌似后面的版本都没有再加入该技术。

这种技术比较卑劣，只能通过预防为上。另：HIPS可以拦住。

自身防护

“随机字符”病毒的自我保护方法是破坏安全模式和“显示隐藏文件”，那么这给查杀工作带来相当大的难度，因为这些病毒属性都是隐藏的。也不能进安全模式杀毒。

修复安全模式和“显示隐藏文件”都可以借助相应的注册表导入修复，另SREng带有修复安全模式的功（SREng—系统修复—高级修复—修复安全模式—确定）

破解方法：

1、忽视联防

首先是针对7位数字的双进程守护，可以通用哦。打开冰刃（增强版），按Ctrl选上两个随机7个字母的进程（通过路径辨别）。同时结束掉，然后再删除对应的文件和启动注册表项就可以了。也可以设置冰刃“禁止线程创建”功能，挨个结束。

2、重命名

把“随机数字.dll”改名为“随机数字lld”那么重启后它还可以插入进程吗？答案是不可以的。

3、扼其要道

一个Dll文件如何实现电脑重启后再次加载呢？（1）通过EXE载体释放。（2）通过系统服务加载。（3）跟随Rundll启动。（4）由注册表隐蔽加载（非常规Run启动项）。这里随机8位数字.dll使用的是第4种方法。附在HKLM\SOFTWARE\MICROSOFT\Windows\CURRENTVERSION\Explorer\ShellExecuteHooks下启动。那么好，如果我把这键锁了，你还能启动？这不需要工具。 上次我就是锁住这个键，实现随机病毒全手动删除。（好像40多个病毒这样子）

4、删除工具

这个我就不多说了，等作者开窍，去更新吧，鄙视你。常用的是PowerRMV、KillBox、IS等。只需要删除掉那个随机数字.Dll，那么一切迎刃而解。（其实很有很多工具并没有禁，这里我不说了:D)

5、还施彼身

IFEO？我也会用！这个病毒是依靠插Explorer进程的，如果我们把下面的代码导入注册表并重启，那么等着看随机数字.dll“无家可归”吧

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Explorer.exe]
"Debugger"="C:\\Windows\\system32\\CMD.exe"

这样启动时候不会显示桌面，当然病毒也无法插入进程了。而是显示DOS命令行哦，我们就可以为所欲为了~~~^_^

小聪明：其中C:\\Windows\\system32\\CMD.exe路径如果改成是冰刃或其他安全工具的启动路径话，效果更佳。

6、断电大法

以前对付一个病毒（ByShell)，蛮厉害的，实现三无技术（无文件、无启动项、无进程）。后来就是靠这招险胜的（汗了半个月）。这个方法原理以突发断电法防止病毒从内存回写。我们知道，如果把属于病毒“同党”删除的话，那么驻进程的随机数字.dll会将其再生成。我们可以先使用Autoruns这个工具（记得先改名字哦）删除掉随机数字.dll的注册表项，删除后马上把电源关闭。

如果机子卡或者动作慢的话，这招就不要试拉！
7、借尸还魂

上面提到了,随机数字.dll是依靠宿主Explorer.exe内的，以前是枚举TIMPlatform.exe"（如果有）和"Explorer.exe"后插入进程。后来作者发现，进程里肯定是有Explorer的，在后面的版本中就没有加入枚举TIMPlatform.exe"了。而是直接插入"Explorer.exe"。嘿嘿，思路又来了。如果我们把Explorer.exe进程从任务管理结束掉，那么随机数字.dll不是流露街头？哈哈，看看吧：
这招需要有点DOS知识，配合去病毒的附加属性从而达到目的。你可以直接调用CMD强行删除。这招在前几个版本都有效，后面的我就不知道了。（没有新样本呀，5555~~~~）

8、遗忘的DOS

这里指的是纯DOS啊，不是命令行！找个安装盘并设置CR第一启动项。这样的安装盘一般都有集成DOS的工具，进入之，执行强行删除命令就可以拉，附上命令：

Del 随机数字.dll /f/s/a/q

不过要到它的目录喔，它“老人家”在C:\Program Files\Common Files\Microsoft Shared\MSINFO\

还有个同名的dat病毒。（顺手删了哈）。

9、重返安全模式

AV病毒能破坏安全模式，达到无法进入安全模式清除的效果，其实这是个软肋。只要我们修复安全模式，然后进安全模式把病毒文件删除掉就可以了。

我网盘有专门修复工具（注册表），其中SREng也可以修复，方法在上面。

我的网盘：http://free.ys168.com/?gudugengkekao（如果不能下的话，自己去网上找吧！）

10、挂盘杀

没什么技术含量了，鄙视我吧。（BIOS要设置主从盘，要谨慎，另小心母机不要中标了）

参考资料

进DOS底下找隐藏文件一个盘一个盘找 找autorun.inf 这些 然后用DOS命令删．．一个盘一个盘删．删完之后就重装系统．别改系统再启动起．．装好之后 什么都别动．别的盘也别进．．弄个杀毒开杀

下专杀吧
“毒王”AV终结者专杀

扩展阅读：终结者c人 ... 终结者7免费版完整版 ... 无影终结者删减片段 ... 《终结者4》在线播放 ... 终结者1-6全系列 ... 系列电影 ... 终结者1-6免费观看完整版 ... 终结者1被删部分 ... 终结者2线在线观看完整版 ...