AV终结者最彻底解决方案
病毒名称:AV终结者
传播方式:内存,2个windows漏洞 (变种 未知)
破坏方式:进程插入
生成病毒文件名:随机8位字符
自我保护:应用程序劫持技术 破坏隐藏文件显示 强行关闭知名杀毒/马软件 无法进入安全模式
病毒目的:从网络上下载大量木马
危害等级:★★★★★
近日网络上出现了一种破坏力及强的病毒“AV终结者”,不到一个月时间,变种就已达到数百个之多,波及人群超过十几万人,这个病毒非常变态,一旦感染就很难清除。
“AV终结者”是由随机8位数字和字母组合而成的病毒,是闪存寄生病毒,它是通过闪存等存储介质或者注入服务器来实现的。
一、什么是“AV终结者”
“AV终结者”病毒运行后会在系统中生成如下几个文件:C:\program files\common files\microsoft shared\msinfo\随机生成病毒名.dat、C:\program files\common files\microsoft shared\msinfo\随机生成病毒名.dll、C:\windows\随机生成病毒名.chm
“AV终结者”会在其他磁盘上中生成文件:#:\\随机生成病毒名.dat
“AV终结者”的病毒名是由大写字母+数字随机组合而成,其长度为8位,可以说生成同名病毒的概率是很低的。因此即使我们知道了这是病毒生成的文件,也别指望通过病毒名在网络上找到病毒的清楚方法。
“AV终结者”病毒运行后会在本地磁盘和移动磁盘中复制病毒文件和anuorun.inf文件,当用户双击盘符时就会激活病毒,即使是重装系统也是无法将病毒彻底清楚的。这是目前很多病毒热衷的传播方法,不少用户也懂得删除病毒生成的anuorun.inf文件,但是当我们进入“文件夹选项里”,想显示隐藏文件时,可以发现这里已经被病毒给禁用了。
针对杀毒软件的攻击,是“AV终结者”的特点。病毒会终止大部分的杀毒软件和安全工具的进程。国内绝大多数的杀毒软件和安全工具都被列入了黑名单。当杀毒软件暂时失去作用时,病毒就会乘胜追击,通过一种“映象劫持”技术将杀毒软件彻底打入死牢。
“映象劫持”会在注册表的“HKEY-LOCAL-MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Exeution Options”位置新建一个以杀毒软件和安全工具程序名称命名的项。建立完毕后,病毒还会在里面建立一个Debugger键,键值为“c:\ progra~1\common~1\micros~1\msinfo\05cc73b2.dat”。这样当我们双机运行杀毒软件的主程序时,运行的其实是病毒程序。
为了避免在“任务管理器”中露出破绽,病毒会将自己的进程注入到系统的资源管理器进程explorer.exe中,这样我就无法通过“任务管理器”发现病毒的进程了。病毒进程的主要作用是监视系统中的用户操作,例如你想手动清楚病毒,修改注册表,病毒没隔一段时间就会把注册表改回去,让你白费劲。另一个作用是监视IE窗口,发现用户搜索病毒资料时,立即关闭网页。
此外,病毒还会破坏windows防火墙和安全模式,封堵用户的后路。最重要的是,病毒会从网络上下载大量盗号木马,盗取用户的游戏帐户信息,这也是它的真正目的。
二、彻底清除“AV终结者”
1、运行“任务管理器”,结束“explorer.exe”进程,单击“任务管理器的”文件菜单,选择“新建任务”,输入“regedit”,找到HEKEY-LOCAL-MACHINE\software\microsoft\windows\currentversion\explorer\advanced \folder\hidden\showall,将Checkedvalue的的键值改为“1”。
2、在“regedit”中找到HEKEY-LOCAL-MACHINE\software\microsoft\windows NT\currentversion\image file execution options,将以杀毒软件和安全工具命名的项删除。
3、在“资源管理器”中单击“工具”——“文件夹选项”,切换到“查看”,取消“隐藏受保护的操作系统文件”前面的勾,然后选中“显示所有文件和文件夹”。根据上文中提供的路径删除所有的病毒文件。删除其他分区中的病毒,注意不要双击进入盘符,而要用右键点击进入。
三、预防“AV终结者”
首先,要禁止自动播放功能,并能及时更新系统补丁,尤其是MS06-014和MS07-017这两个补丁。
其次,要限制IFEO的读写权,达到限制病毒通过IFEO劫持杀毒软件的目的。操作方法如下:开始——运行,输入regedit,找到 HEKEY-LOCAL-MACHINE\software\microsoft\windows NT\currentversion\image file execution options,右击此选项,在弹出的菜单中选择“权限”,然后把administrors用户组和users用户组的权限全部取消即可。最后,要限制 SAFEBOOT的读写权,达到限制“AV终极者”修改或删除Drives,保护安全模式正常运行的目的。操作方法如下:同样是在32位注册表里找到 HKEY-LOCAL-MACHINE\SYSTEM\contorlset002\control\safeboot\network\{4d36e967 -e325-11ce-bfc1-08002be10318}和HKEY-LOCAL-MACHINE\SYSTEM\ currentcontrolset\control\safeboot\minimal\,将administors用户组和users用户组的权限全部取消即可。
[编辑本段]传播途径
1.“AV终结者”的重要传播途径是U盘等移动存储介质。它通过U盘、移动硬盘的自动播放功能传播,建议用户暂时关闭电脑的这一功能。用户近期一定要注意U盘使用安全,不要在可疑电脑上使用U盘,以免自己的电脑受到传染。
2. AV终结者最初的来源是通过大量劫持网络会话,利用网站漏洞下载传播。和前一段时间ARP攻击的病毒泛滥有关。
[编辑本段]病毒特征
这种病毒主要特征有:禁用所有杀毒软件以及相关安全工具,让用户电脑失去安全保障;致使用户根本无法进入安全模式清除病毒;强行关闭带有病毒字样的网页,只要在网页中输入‘病毒’相关字样,网页遂被强行关闭,即使是一些安全论坛也无法登陆,用户无法通过网络寻求解决办法。
[编辑本段]病毒现象
·1. 生成很多8位数字或字母随机命名的病毒程序文件,并在电脑开机时自动运行。
·2. 绑架安全软件,中毒后会发现几乎所有杀毒软件,系统管理工具,反间谍软件不能正常启动。即使手动删除了病毒程序,下次启动这些软件时,还会报错。
·3. 不能正常显示隐藏文件,其目的是更好的隐藏自身不被发现。
·4. 禁用windows自动更新和Windows防火墙,这样木马下载器工作时,就不会有任何提示窗口弹出来。为该病毒的下一步破坏打开方便之门。
·5. 破坏系统安全模式,使得用户不能启动系统到安全模式来维护和修复。
·6. 当前活动窗口中有杀毒、安全、社区相关的关键字时,病毒会关闭这些窗口。假如你想通过浏览器搜索有关病毒的关键字,浏览器窗口会自动关闭。
·7. 在本地硬盘、U盘或移动硬盘生成autorun.inf和相应的病毒程序文件,通过自动播放功能进行传播。这里要注意的是,很多用户格式化系统分区后重装,访问其它磁盘,立即再次中毒,用户会感觉这病毒格式化也不管用。
·8. 病毒程序的最终目的是下载更多木马、后门程序。用户最后受损失的情况取决于这些木马和后门程序。
·9.病毒运行后,鼠标右击菜单以及下拉菜单选项,会在1到两秒钟时间后,自动选择最后一个选项,不过可以使用快捷方式组合。
[编辑本段]防范措施
对于病毒而言,良好的防范措施,好过中毒之后再绞尽脑汁去寻找查杀方法,而且一旦感染该病毒,清除过程相当复杂,因此,在采访中,金山、江民、瑞星等几家公司的反病毒专家们向记者提供了针对该病毒防范措施:
1.保管好自己的U盘,MP3、移动硬盘等移动储存的使用,当外来U盘接入电脑时,请先不要急于双击打开,一定要先经过杀毒处理,建议采用具有U盘病毒免疫功能的杀毒软件,如KV2007 独有的U盘盾技术,可以免疫所有U盘病毒通过双击U盘时运行。
2. 给系统打好补丁程序,尤其是MS06-014和MS07-17这两个补丁,目前绝大部分的网页木马都是通过这两个漏洞入侵到计算机里面的。
3. 即时更新杀毒软件病毒库,做到定时升级,定时杀毒。
4.安装软件要到正规网站下载,避免软件安装包被捆绑进木马病毒。
5.关闭windows的自动播放功能。
[编辑本段]病毒解决方案
方法一:
因为这个病毒会攻击杀毒软件,已经中毒的电脑杀毒软件没法正常启动,双击没反应,因而这时无法用杀毒软件来清除利用手动解决也相当困难,并且,AV终结者是一批病毒,不能简单的通过分析报告来人工删除。推荐的清除步骤如下:
1. 在能正常上网的电脑上到http://zhuansha.duba.net/259.shtml 下载AV终结者病毒专杀工具。
2. 在正常的电脑上禁止自动播放功能,以避免通过插入U盘或移动硬盘而被病毒感染。禁止方法参考方案附件:
把AV终结者专杀工具从正常的电脑复制到U盘或移动硬盘上,然后再复制到中毒的电脑上。
3. 执行AV终结者专杀工具,清除已知的病毒,修复被破坏的系统配置。
(注:AV终结者专杀工具的重要功能是修复被破坏的系统,包括修复映像劫持;修复被破坏的安全模式;修复隐藏文件夹的正常显示和删除各磁盘分区的自动播放配置。)
4. 不要立即重启电脑,然后启动杀毒软件,升级病毒库,进行全盘扫描。以清除木马下载器下载的其它病毒。
方法二:
去黑联盟或黑客动画吧,下载一个AV生成器,运行后(注意别单击生成),选“卸载本地服务端”。
方法三:
1.在感染"AV终结者"病毒的电脑上,直接下载杀毒软件:avira antivir personal-free antivirus免费版(英文).
2.立即运行avira antivir personal-free antivirus,将扫描过程中提示的可疑文件移至隔离区(quarantine).单击"全部修复",将可修复的文件修复.
3.此时,可以键入"杀毒"等词语. 病毒不会终止大部分的杀毒软件和安全工具的进程.
下载:360安全卫士 V5.2 Beta3
立即运行360安全卫士 V5.2 Beta3,直至电脑体检为100分.
4.重新进入avira antivir personal-free antivirus——administration——quarantine,将木马病毒等扔进垃圾桶,将不能确定的可疑文件发送给avira.
5.为了安全起见,再运行一次360安全卫士 V5.2 Beta3,结果为:电脑体检100分或再运行一次avira antivir personal-free antivirus,结果为: 事件报告正常.
(强力推荐)方法四:
1.有下载symantec antivirus的人启动自动保护,AV终结者不会危害到这个软件(如果不见了就重启)。
2.symantec antivirus会自动杀毒,就是AV终结者的根源杀不了,但是你有腾讯qq和360保险箱的话,可以打开腾讯qq,会杀到木马,点一下红色的字(要快,不行就重来一遍),再点全盘木马查杀,再杀木马就可以了。
3.重启电脑(会有点卡,耐心一点)就完成了。
[编辑本段]AV终结者变种病毒介绍及安全建议
一、病毒英文名:js.downloader.cf.2210
病毒中文名:脚本下载器CF
日均感染电脑量:1634320
威胁级别:★★
入侵方式:网马下载 触发漏洞下载
“脚本下载器CF”(js.downloader.cf.2210)这个新诞生的脚本木马,只用了短短几天,就以单日120万台次的感染量位居感染排行的榜首。
此毒含有多款系统安全漏洞的利用代码,只要遇到电脑,就可立即自动攻击。它进行传播的方法则是网页挂马。
二、病毒英文名:win32.troj.agent.pe.114688
病毒中文名:AV终结者变种PE
日均感染电脑量:445430
威胁级别:★★
入侵方式:网马下载 U盘传播
win32.troj.agent.pe.114688这个对抗型下载器的感染量上升速度十分惊人,以单日44万台次的感染量,位居感染量排行榜的第二名。
此毒的中文名之所以取为“AV终结者变种PE”,是由于它的行为非常类似AV终结者,它会尝试搜索并关闭常见杀软的运行,然后下载大量的恶意程序,比如盗号木马和远程控制木马。
此毒的突然爆发,与网页挂马的推广有很大的关系,打齐系统补丁是防御此毒的最好办法。如果你的电脑已经打齐补丁,却还频繁报告发现此毒,那么可以尝试清除IE缓存。
如果这样依然无法消除此毒,则说明您的电脑存在未知漏洞,或是有未知的某种下载器在作怪。
警惕AV终结者变种病毒的安全建议
1.安装专业的正版杀毒软件进行全面监控,防范日益增多的病毒。用户在安装反病毒软件之后,应将一些主要监控经常打开,并一定要开启自动升级功能,遇到杀毒软件异常的问题,要尽快与其生产厂商联系求助。
2.操作系统和第三方软件的安全补丁永远是电脑中最重要的安全环节。不论你安装的杀毒软件多么强大,只要你的系统中存在安全漏洞,病毒就可以找到突破防御的缝隙。因此,请尽可能使用正版软件,以获得及时的升级服务。
3.良好的上网习惯不可忽视。目前大部分病毒是通过网页挂马的形式来感染用户,因此建议用户一定要养成良好的网络使用习惯,如不要登录不良网站、不要进行非法下载等,这样才能切断病毒感染的途径,不给病毒以可乘之机。
4.警惕网络诈骗,切记“天上不可能掉馅饼”。杀毒软件可以为您拦截恶意程序的攻击,而至于基于社会工程学的诈骗,很多时候仍依赖于您自己的意志是否坚定。绝大多数网络诈骗都是利用受害者的贪便宜心理,比如QQ中大奖、网站抽大奖等。
[编辑本段]手动清除办法
1.到网上下载IceSword工具,并将该工具改名,如改成abc.exe 名称,这样就可以突破病毒进程对该工具的屏蔽。然后双击打开IceSword工具,结束一个8位数字的EXE文件的进程,有时可能无该进程。
2.利用IceSword的文件管理功能,展开到C:\Program Files\Common Files\Microsoft Shared\MSINFO\下,删除2个8位随机数字的文件,其扩展名分别为:dat 和dll 。再到%windir%\help\目录下,删除同名的.hlp或者同名的.chm文件,该文件为系统帮助文件图标。
3. 然后到各个硬盘根目录下面删除Autorun.inf 文件和可疑的8位数字文件,注意,不要直接双击打开各个硬盘分区,而应该利用Windows资源管理器左边的树状目录来浏览。有时电脑中毒后可能无法查看隐藏文件,这时可以利用WinRar软件的文件管理功能来浏览文件和进行删除操作。
4.利用IceSword的注册表管理功能,展开注册表项到:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options],删除里面的IFEO劫持项。
当完成以上操作之后,就可以安装或打开杀毒软件了,然后升级杀毒软件到最新的病毒库,对电脑进行全盘杀毒。(手动清除办法由江民反病毒专家提供
[编辑本段]病毒分析
1.生成文件
%programfiles%\Common Files\Microsoft Shared\MSInfo\{随机8位字母+数字名字}.dat
%programfiles%\Common Files\Microsoft Shared\MSInfo\{随机8位字母+数字名字}.dll
%windir%\{随机8位字母+数字名字}.hlp
%windir%\Help\{随机8位字母+数字名字}.chm
也有可能生成如下文件
%sys32dir%\{随机字母}.exe
替换%sys32dir%\verclsid.exe文件
2.生成以下注册表项来达到使病毒随系统启动而启动的目的
HKEY_CLASSES_ROOT\CLSID\"随机CLSID"\InprocServer32 "病毒文件全路径"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\"随机CLSID" "病毒文件全路径"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
ShellExecuteHooks "生成的随机CLSID" ""
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"随机字符串" "病毒文件全路径"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc Start
dword:00000004
3.映像劫持
通过在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
Image File Execution Options下添加注册表项来进行文件映像劫持,可阻止大量安全软件及系统管理软件运行,并执行病毒体。
被劫持的软件包括:
360rpt.exe
360Safe.exe
360tray.exe
adam.exe
AgentSvr.exe
AppSvc32.exe
autoruns.exe
avgrssvc.exe
AvMonitor.exe
avp.com
avp.exe
CCenter.exe
ccSvcHst.exe
FileDsty.exe
FTCleanerShell.exe
HijackThis.exe
IceSword.exe
iparmo.exe
Iparmor.exe
isPwdSvc.exe
kabaload.exe
KaScrScn.SCR
KASMain.exe
KASTask.exe
KAV32.exe
KAVDX.exe
KAVPFW.exe
KAVSetup.exe
KAVStart.exe
KISLnchr.exe
KMailMon.exe
KMFilter.exe
KPFW32.exe
KPFW32X.exe
KPFWSvc.exe
KRegEx.exe
KRepair.COM
KsLoader.exe
KVCenter.kxp
KvDetect.exe
KvfwMcl.exe
KVMonXP.kxp
KVMonXP_1.kxp
kvol.exe
kvolself.exe
KvReport.kxp
KVScan.kxp
KVSrvXP.exe
…………
4.修改以下注册表,导致无法显示隐藏文件
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\
Advanced Hidden dword:00000002
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Advanced\Folder\Hidden\SHOWALL CheckedValue dword:00000000
5、修改以下服务的启动类型来禁止Windows的自更新和系统自带的防火墙
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
SharedAccess Start dword:00000004
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
wuauserv Start dword:00000004
6.删除以下注册表项,使用户无法进入安全模式
HKEY_LOCAL_MACHINESYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\
7.连接网络下载病毒
hxxp://www.webxxx.com/xxx.exe
8.关闭杀毒软件实时监控窗口,如瑞星、卡巴,通过自动点击"跳过"按钮来逃过查杀
9.尝试关闭包含以下关键字窗口
Anti
AgentSvr
CCenter
Rsaupd
SmartUp
FileDsty
RegClean
360tray
…………
ikaka
duba
kingsoft
木马
社区
aswBoot
…………
10.注入Explorer.exe和TIMPlatform.exe反弹连接,以逃过防火墙的内墙的审核。
11.隐藏病毒进程,但是可以通过结束桌面进程显示出来。
12.在硬盘分区生成文件:autorun.inf 和 随机字母+数字组成的病毒复制体,并修改“NoDriveTypeAutoRun”使病毒可以随可移动存储介质传播。
[编辑本段]专杀工具
金山AV终结者专杀工具
http://down.www.kingsoft.com/db/download/othertools/DubaTool_AV_Killer2.COM
[编辑本段]远程大战“超级AV终结者”
记得12月6日,笔者写了一篇预防“超级AV终结者”的博文,但有少部分朋友没有引起重视,没有采取有效预防措施。
这不,昨天上午有朋友请求支援,说自己的系统无法正常运行,杀毒软件无法正常打开监控,搜索有关杀毒软件的关键词时网页自动关闭,进入安全模式无效,任务管理器无法正常工作,显示磁盘隐藏文件的选项失效.....
帮助朋友是一种乐趣,查杀病毒也是一种乐趣!
但昨天上午,无法自己动手把病毒一个一个揪出来再一个一个干掉,因为朋友远在河北。没有办法,只好远程协助借助软件来干掉“超级AV终结者”,寻找远程杀毒的乐趣!
1、下载金山系统急救箱(超级av终结者专杀增强版)。此软件已更名为IE7 0day漏洞的免疫特别版,能够完美处理“超级av终结者”、扫荡波等病毒,清除未知木马群,据有扫荡波攻击免疫功能,能够帮您修复因为病毒破坏而出现的系统异常。
2、把此软件下载到非系统盘之外的任一硬盘下,右键打开(建议不要双击打开),软件自动解压后得到一个“金山系统急救箱”。
3、右键打开金山系统急救箱,软件即自动检测、修复系统,修复完毕后按照提示重启系统。如图:
4、重启系统以后,再次使用急救箱扫描,确认系统内所有病毒清除干净。
5、下载安装Bitdefender Internet Security 2008 简体中文版。软件简介、下载、安装及免费试用方法请参考《世界排名第一的Bitdefender(2008版)全系列下载及试用方法》。安装后重启,升级病毒库存,全盘查杀病毒。
特别说明:为什么要推荐这款杀毒软件?因为超级AV终结者主要针攻击卡巴斯基、瑞星、江民、金山等常用杀毒软件。另外,杀毒软件全球排名金奖得主Bitdefender的杀毒性能也是一流的,可以帮助你完全清除系统残存的各类病毒!
6、查杀完病毒后,下载一个超级兔子魔法设置。下载安装后,清理下系统注册表项。有另据一遭遇相似的朋友讲,用软件清除 “超级AV终结者”后,无法上网页了。这是因为,“超级AV终结者” 修改了浏览器的注册表项,因此也可以用超级兔子的IE修复功能进行修复。
下载地址:http://xiazai.zol.com.cn/detail/13/120398.shtml
至此,我们已经完全把“超级AV终结者”干掉,并消灭了它的余党。现在,我们可以卸载Bitdefender 软件,再安装其它软件。不过,笔者建议测试检验下这一款软件,毕竟金奖产品不是徒有虚名
善意提醒:圣诞节、元旦节将至,正是病毒高发时节,提醒各位好友一定要注意系统的安全防范,如果在没有防备的时候中了病毒,那可是会影响心情的哟!预防要点如下:
1、安装正版或者原版系统,不要用各大论坛发布的“XX版”,并且开启自动更新打上微软官方的所有补丁。
2、选择几款安全防范软件,组成“安全金盾”。推荐方案:①卡巴斯基KIS8。0+AVG2008个人免费版+超级兔子魔法设置; ②金山毒霸2009杀毒软件套装+AVG7。5绿色版+360;③卡巴斯基KIS8。0+AVG7。5绿色版+超级兔子魔法设置。
3、养成良好的电脑使用习惯,关闭移动盘自动运行,定期查杀病毒,定期进行系统备份。
