手动清除AV终结者的方法与相关软件_病毒查杀

最近AV终结者病毒很流行,许多人都中了,杀毒软件打不开,只格C盘重装也会马上又中毒.因为AV终结者也在不断的更新,所以杀毒软件和专杀总是落后一步,不能查杀.
在这里算是打个小广告吧,我新建了一个QQ群给大家提供一个交流的地方,群号4550740.欢迎各高手和需要帮助的朋友加入.写这些的时候,群里只有我一个光杆司令....
现在我给大家一个手动杀毒的思路,并且以"永久下载者"为例教大家怎样手动清除病毒.
事实上AV终结者并不是指某一个特定的病毒,其本身也没有远程控制和盗号的功能.AV终结者的作用就是下载一个或几个指定网址的木马,但AV终结者给自已设定许多保护措施,它会关闭大多数杀毒软件和杀毒辅助软件,并且在各个分区生成autorun.inf以及写入注册表,生成映像劫持等等.
"永久下载者"就是AV终结者中比较典型的一种,上面提过AV终结者并不是指某一特定的病毒,所以这里只能提供手动杀毒思路,完全按照我的杀毒步骤并不一定就能完全清除.所以这个教程适合对电脑比较了解的人.在文章最后我也会给出比较适合初学者的只格C盘重装系统不会马上再中毒的方法.
好,下面开始动手.
工欲善其事,必先利其器.所以,先准备一下会用到的三个杀毒辅助软件
1.Icesword II 1.20(冰刃)
下载地址:http://www.crsky.com/soft/6947.html
2.Autoruns
下载地址:http://www.crsky.com/soft/5285.html
3.SREng
下载地址:http://www.kztechs.com/sreng/download.html
对于这个病毒,Icesword和Autoruns是主力,原因在后面会提到.
如果在中毒期间曾使用过闪盘移动硬盘之类的,最好接上一起杀,免得刚杀完一插闪盘又中毒.
一 
先把这三个软件改名,名字改为无规则的就行了.比如我这里,Icesword改为ii.exe,Autoruns改名为aa.exe,SREng改名为ss.exe
如图1.

很多人都说中了这个病毒上面的三个软件都打不开,原因是病毒对常用杀毒软件和杀毒辅助软件进行了映像劫持,运行这些软件不改名的话,就等于执行了病毒文件.我们可以先运行Autoruns(已经改名为aa.exe了,下面我只提软件名字,不再提示是改名前的名字了).
如图2.

发现了什么?呵呵,常见杀毒软件和辅助软件的名字基本都在这儿了.只要你运行和这个列表里名字相同的软件,就会自动转向运行病毒文件.

运行Icesword,寻找病毒进程,永久下载者有两个进程,互相保护,使用Windows的任务管理器是关不掉它的进程的.所以这里要求是对电脑较了解的人,要不然不知道病毒进程是哪些.因为AV终结者有很多类型,所以需要自已判断哪些是病毒进程.

如图3,

找到病毒进程,首先记下后面病毒的路径.按住Ctrl把两个进程都选上,点右键结束进程,因为两个进程同时关闭,所以病毒的进程保护就不起作用了.刷新几次,看看有没有新的病毒进程,如果没有,就可以进行下一步了.


点Icesword左侧的"文件",找到上面记下的路径里的两件文件,删除.然后找到C:\D:\E:\等各个分区根目录下的autorun.inf和*****.exe,*****.exe就是autorun.inf里面写着的程序名,我这里是epijcxh.exe.
如图4.

现在AV终结者病毒对Autorun.inf文件进行了改进,右键不会出现Auto的字样,双击也可以进入分区,但不管右键点打开进入还是双击进入,都会运行病毒文件,这就是许多人只格C盘重装后马上又中毒的原因.要删除这几个文件必须要用第三方的软件,比如Winrar,Icesword,Totalcmd等资源管理器软件,或者Windows的cmd命令行,否则进入分区后就运行了病毒程序,前面的所做的一切都要重新来一遍.
注意:删除了Autorun.inf和*****.exe之后,不管右键还是双击都进不去这个分区了,如果想找到某个文件或运行某个程序,可以直接在地址栏中输入 c: 或 d: 等等然后回车来进入这个分区

现在轮到Autoruns出场了,运行Autoruns,点"用户登录",找到病毒写入注册表的启动命令.点右键删除这两个.后面显示的是"未找到文件",因为我们刚才在Icesword里面已经把这两件文件删除了.
如图5.

然后再点映像劫持,把除了最后的Your Image File Name Here without a path   c:\windows\system32\ntsd.exe之外的全都删除,累啊,这么多....删完后应该是这样的,如图6.

到此,AV终结者病毒基本已经清除了.但是....呵呵,一听到但是,就知道还没完.因为我们仅仅清除了AV终结者,AV终结者所下载下来的木马我们还没有杀.大家都注意到了图3中红色的iexplorer进程了吧,这就是AV终结者下载下来的灰鸽子木马进程.Icesword可以发现隐藏进程并用红色表示,在Windows任务管理器下是看不到这个进程的.一般情况下这种红色进程都不是什么好鸟~
文章开始已经说了AV终结者有很多类型,并不是每一种都像"永久下载者"这样只写入注册表启动项.所以SREng这时候就派上用场了,使用SREng扫描,把注册表启动项,服务,驱动这些都检测一遍,结合Icesword可以一起把木马也清除掉.因为SREng的使用需要对电脑的服务项和驱动项都比较了解,电脑初学者可以使用SREng的智能扫描扫一个报告发到一些大论坛上请高手指导你哪些要删.这里我就不详细演示怎么手动杀掉灰鸽子了,使用SREng和Icesword很容易就可以清除掉.

我还考虑做一个动画教程,但现在是在办公室里机子很烂也不太方便,以后有时间我会做的.
欢迎大家加入群:4550740

时间: 2024-09-11 12:08:40

手动清除AV终结者的方法与相关软件_病毒查杀的相关文章

清除中国网络游戏木马外挂黑客技术大全_病毒查杀

病毒具体分析 File: SFF.exe Size: 36864 bytes File Version: 2.00.0003 MD5: 248C496DAFC1CC85207D9ADE77327F8B SHA1: B32191D44382ED926716671398809F88DE9A9992 CRC32: 8C51AAAB 编写语言:Microsoft Visual Basic 5.0 / 6.0 病毒生成如下文件 %system32%\svchost.com 在HKEY_LOCAL_MACH

毒霸官方“AV终结者/8749” 木马专杀工具_病毒查杀

最近有朋友遭遇了8749病毒,痛苦,终于从毒霸官方找到了这款软件,大家可以试下简要介绍: 清除AV终结者/8749病毒:修复"映像劫持":修复Autorun.inf:修复安全模式.更新说明:  10月16日:专杀增加功能:新增一新变种的查杀  8月15日: 专杀增加功能:新增8749变种b的查杀  7月31日: 专杀增加功能:增加了对8749最新变种的查杀  7月25日: 增加禁用和启用"自动运行"的功能  6月28日: 改善双核CPU下第一次点击保护按钮时可能比较

网络流行的最新AV终结者木马专杀工具 下载_病毒查杀

软件大小:251 KB 软件语言:简体中文 软件类别:绿色软件 / 免费软件 / 病毒防治  运行环境:Win2003, WinXP, Win2000, NT, WinME 清除AV终结者病毒:修复"映像劫持":修复Autorun.inf:修复安全模式. 下载地址

桌面不显示图标的盗号木马清除方法_病毒查杀

上周,金山反病毒中心截获一个以盗取"魔域"."完美世界"和"浩方游戏平台"为目的的木马病毒,该病毒名为Win32.Troj.OnlineGames.ms.18432,自上周四出现以来已经衍生多个变种.金山客服中心接到大量用户投诉,反映系统重启无法显示桌面.金山毒霸(病毒库版本2007.04.07.16)已经可以查杀该病毒目前所有变种. 病毒分析报告: 这是一个盗取"魔域"."完美世界"和"浩方游戏

清除猖狂的Sxs.exe病毒_病毒查杀

针对症状,我先上网找了相关的资料,首先,要显示隐藏文件 在这个:HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\ Advanced\Folder\Hidden\SHOWALL,将CheckedValue键值修改为1 还是没有用,隐藏文件还是没有显示,仔细观察发现病毒它有更狠的招数:它在修改注册表达到隐藏文件目的之后,为了稳妥起见,把本来有效的DWORD值CheckedValue删除掉,新建了一个无效的字符

SysLoad3.exe木马病毒的分析及清除方法_病毒查杀

使用前,请先断网,删除系统目录下的SysLoad3.exe以及1.exe,2.exe,...,7.exe,用IceSword删除临时目录下的那几个动态库.当任务管理器里没有iexplore.exe和notepad.exe的进程时,就可以运行这个恢复程序了.        特别注意:运行过程中,不要去运行其他程序,有可能你运行的那个程序就是带毒的!!  [b]二:以下是分析和手动清除方法:      昨天下午加班回来,发现本本的行为相当诡异.看了看任务管理器,有几个Ie的进程和几个Notepad的

MY123病毒清除方法,专杀工具下载_病毒查杀

近期爆发的恶性病毒?比上次普遍感染的"sxs.exe病毒"更夸张,并且已经从流氓软件的范畴变身为病毒了. 病毒现象: IE 浏览器首页无法改变,被修改为 www.my123.com , 或自动跳转到 7255 . 手动清除方法非常烦琐,并且目前依然不停有变种出来,所以一般用户还是尝试用专杀工具吧 MY123.com 病毒专杀工具 目前许多工具已经针对此病毒发布了最新的专杀工具,已经可以比较方便的删除它了,并且杀毒厂商也关注起来,病毒变种虽然变的快,相信专杀工具也出的不会太晚,请关注下面

开机CPU就是100%cmd.exe病毒进程清除方法_病毒查杀

发布时间:2007-02-09  中毒症状:      开机CPU就是100%,查进程,原来是cmd.exe 占用了绝大部分的CPU.关闭cmd.exe后,CPU实用率恢复正常.但是再次开机的时候,CPU又是100%,cmd.exe 依然占用了绝大部分的CPU. 1.装了ewido 查杀木马,查出了几个感染目标,已删除.但是今 天早上开机,CPU又是100%,cmd.exe 依然占用了绝大部分的CPU. 2.再装"木马清除专家2006",查杀,结果没有发现木马. 3.查system 3

熊猫烧香病毒,熊猫病毒专杀,最新变种清除,删除方法 超强推荐_病毒查杀

近日,江民科技发布紧急病毒警报,一伪装成"熊猫烧香"图案的病毒正在疯狂作案,已有数十家企业局域网遭受重创.来自我国不同地区的企业向江民反病毒中心举报,他们公司正在遭受不明病毒攻击,电脑中所有可执行的.exe文件都变成了一种怪异的图案,该图案显示为"熊猫烧香" 中毒症状表现为系统蓝屏.频繁重启.硬盘数据被破坏等等,严重的整个公司局域网内所有电脑全部中毒,公司业务几乎陷入停顿.广东.上海等地区也出现了类似病毒疫情,江民大客户技术服务部电话响个不停.迹象表明,"