以AV终结者为例介绍通用的病毒解决方案(AV终结者专杀工具更新) 方案, 终结者, 工具

铁军

解读“AV终结者”病毒

关于AV终结者: @# l' b4 x5 `0 {* C1 y! \, `
金山毒霸客户服务中心最近收到大量用户求助，用户反馈的现象大致差不多：杀毒软件不能用，想用搜索引擎去查找一些解决办法，输入杀毒，浏览器窗口就被关掉。在金山毒霸论坛，也有大量用户反应相同或类似的情况。而在珠海毒霸研发部，已经监测到此类病毒泛滥的情况。监测发现了一系列反击杀毒软件，破坏系统安全模式，植入木马下载器的病毒。并将这一类病毒命名为“AV终结者”，AV终结者指的是一批具备以下破坏性的病毒、木马和蠕虫。

8 e7 B8 O, H, S2 H

请注意，这是一批具备相似现象的病毒，请不要把它理解为某个病毒的变种。

$ B7 S) N% [' n病毒现象
2 x# D  I7 P* T8 g) n# |1.生成很多8位数字或字母随机命名的病毒程序文件，并在电脑开机时自动运行。
# F* u3 _) ?  R" C$ M4 K2 T; b2.绑架安全软件，中毒后会发现几乎所有杀毒软件，系统管理工具，反间谍软件不能正常启动。即使手动删除了病毒程序，下次启动这些软件时，还会报错。比如，运行Sreng时，会出现这个错误
; _  @: {: H. i/ o[attach]16017905[/attach]& s( ^& ?. ~1 b8 _- e$ U! r5 V
3.不能正常显示隐藏文件，其目的是更好的隐藏自身不被发现。# y" Y* J4 p7 F
4.禁用windows自动更新和Windows防火墙，这样木马下载器工作时，就不会有任何提示窗口弹出来。
  E' j0 {- A% d0 [5 e2 N[attach]16017906[/attach]
! G$ J+ k! R+ t' e! U; L5.破坏系统安全模式，使得用户不能启动系统到安全模式来维护和修复/ _6 w- N! T$ G- y5 [
6.当前活动窗口中有杀毒、安全、社区相关的关键字时，病毒会关闭这些窗口。假如你想通过浏览器搜索有关病毒的关键字，浏览器窗口会自动关闭。
0 ~- ~5 s3 G2 t, H/ t7.在本地硬盘、U盘或移动硬盘生成autorun.inf和相应的病毒程序文件，通过自动播放功能进行传播。这里要注意的是，很多用户格式化系统分区后重装，访问其它磁盘，立即再次中毒，用户会感觉这病毒格式化也不管用。
0 c1 P+ F8 j+ A- ]9 @9 F) k8.病毒程序的最终目的是下载更多木马、后门程序。用户最后受损失的情况取决于这些木马和后门程序。

1 |* j: M' L3 l2 J& p- q9 Y传播方式- n" ^. p( n0 C; O7 _/ N3 i
1.通过U盘、移动硬盘的自动播放功能传播. j4 J+ X5 ]5 e4 q: `0 }
2.AV终结者最初的来源是通过大量劫持网络会话，利用网站漏洞下载传播（主要是ANI蠕虫漏洞）。和前一段时间ARP攻击的病毒泛滥有关。

铁军

解决方案（修正版）
5 @( d& V% W9 I  U4 z% ]"AV终结者"病毒一旦入侵，清除过程相当复杂，可能不少用户就会选择重装。我们建议用户不要轻易重装系统，建议使用我们推荐的步骤完成病毒的清除，必要时请拨打毒霸客服电话请求支持，金山毒霸的客户服务电话是010-82331816。' W6 e% K& g6 @0 h. E$ L9 f

6 L, I' t* z/ i* g$ ~6 y( `7 _, m因为这个病毒同样会攻击金山毒霸，已经中毒的电脑会发现金山毒霸不能启动，双击没反应。利用手动解决相当困难，并且，AV终结者是一批病毒，不能简单的通过分析报告来人工删除。我们推荐您参照如下清除步骤如下：* o4 e6 P' f) l6 V1 |6 F

1 }0 T$ ]! [7 G# }1.在能正常上网的电脑上登录金山毒霸网站下载AV终结者病毒专杀工具（最新版本为4.2）( L  y* P1 O9 X5 M0 I
下载地址：http://zhuansha.duba.net/259.shtml6 a" A- q# V* f' N6 M) o4 g( L1 v( B

' {$ P! m3 K: a0 z* T; h( ^2.在正常的电脑上禁止自动播放功能，以避免通过插入U盘或移动硬盘而被病毒感染。9 x2 l2 S: `7 K; v% W. O, Q
禁止步骤参考这里：http://hi.baidu.com/litiejun/blog/item/15bf9d3e1bfad2fb838b135c.html
4 |2 Z1 f) b, S; U, S
5 {! ^" S; W5 s, y( A3.把AV终结者专杀工具从正常的电脑复制到U盘或移动硬盘上，然后再复制到中毒的电脑上。
" T; ~) ^$ {' @1 Z! ~4 e5 z2 I& s$ u/ h5 c% d/ U2 X- y8 o
4.执行AV终结者专杀工具，清除已知的病毒，修复被系统配置。, g7 Y- [& p, P7 x4 V5 V- W
（注：AV终结者专杀工具的重要功能是修复被破坏的系统，包括修复映像劫持；修复被破坏的安全模式；修复隐藏文件夹的正常显示和删除各磁盘分区病毒配置的自动播放。）
# Q& E, w; p/ f- W[attach]16020302[/attach]5 J# [5 g1 i3 w. V5 e% M
- w, l+ `" B$ L" Y' p8 o
5.现在可以试试启动毒霸，升级病毒库后，进行全盘杀毒。可以清除已知AV终结者病毒和该病毒下载的一系列木马。 5 Z" J, d; w4 `# ]; l4 T# a
: w: D9 M8 @$ \/ T8 ~) |
防范措施
, H5 w* _8 c+ Y2 X& i" I5 A% k请采取以下措施防范AV终结者病毒：$ b0 e! `% G* c/ M: Y: r& u
1.使用金山网镖或Windows防火墙，可有效防止网络病毒通过黑客攻击手段入侵。
) E- k: j) W' }& U& `  Q  j, s5 v8 f
' w0 s& E' w2 I4 l* y2.使用金山毒霸的漏洞修复功能或者windows update来修补系统漏洞，特别需要注意安装浏览器的最新补丁。
1 e6 A) _- w' ]
- _# \: p- n* _" e- Z/ k3.升级杀毒软件，开启实时监控
2 w: y/ j* l% g1 L  J4 T( S& ^3 h
4.网管采取综合措施防范ARP攻击挂马事件，有关ARP欺骗的解决办法，请参考：http://hi.baidu.com/litiejun/blog/item/9e3ff0092e837a82d1581ba1.html
' m/ K+ {" g; A3 W+ S7 P  \
( T- q0 L8 Z- ]6 N8 |5.关闭windows的自动播放功能，点击http://hi.baidu.com/litiejun/blo ... fad2fb838b135c.html查看

铁军

关于AV终结者病毒专杀的使用说明

6 J) p3 z! p/ o/ YAV终结者病毒专杀工具最新版本为4.2，该专杀工具同时提供强大而易用的系统修复功能，同时可清除已知的AV终结者病毒。6 u  @# ?# Q6 e& D1 N/ E

8 u) o  C4 w* W) e具体功能有：$ `0 Y5 a/ E% M
1，修复映像劫持7 E) i- P9 I* u. Y
2，修复Autorun.inf) r* |( {3 n' _5 X6 B
3，修复安全模式. u4 k, `: S5 ~" ?0 `) J
4，查杀av终结者
. z  f+ w& b* g5，修复病毒创建ws2_32.dll文件夹干扰杀毒软件运行
/ J) }# {$ _. K/ C! n6，保护毒霸不被病毒破坏" M" ]& e3 E5 r) Q; L2 L3 E1 A5 y
7，自动升级功能
) x$ i; M. z! ]  ]6 _1 {8，程序崩溃时，收集错误报告，利用改进产品功能
/ x- I( D( p5 D" W# T" B) V! x( L* O4 ~6 i+ I
新版专杀下载地址：http://zhuansha.duba.net/259.shtml, }7 l3 |# X9 [* J5 \; j3 r& ~- e

KSEE0635512

呵呵 那么恐怖....不过前几楼的说也太那个了  说实话 现在我还没中过毒呢
8 Y$ P/ W+ Y1 X* ^
9 g" r$ X% o- k[ 本帖最后由 KSEE0635512 于 2007-7-18 16:08 编辑 ]

xiexuewen9

感谢楼主动态更新了这个终截者专杀,我们单位的200多台电脑一直处于良好的运行状态,电脑需要这样的高手

xiexuewen9

肯定还要配合其他的软件呀,晕,现在哪个专杀能包治百病呀,再说了,现在病毒变种也快呀

盟军来了

根本无法在中毒的机子上运行了，病毒已经升级了，专杀要跟进才行了

tudou3310

c:\windows\system32\appmgmts.dii
5 t9 D& g% D+ V7 V9 yc:\program files\winpcap\rpcapd.exe
7 x4 T# p; t' K+ H! c" h. G, P0 ]$ o( q/ g0 S) C
　我前几天可浏览几下载了个金山清理专家２.０检查后是健康的，自从检查出来这两个未知文件就是亚健康的了，　请问这两个未知的文件对系统有害吗～！谢谢～！

debahaodangpu

大家好：
0 K7 o+ C" f0 O$ g我的电脑被朋友用了几次后，中了AvKiller的病毒。病毒特征如下：
+ d1 ?+ w5 f5 I, S1.每个盘都有auto文件，要右击打开。 4 N4 G# H! ?3 J( l  v8 ?
2.msconfig 启动里面有mppds.exe,kvsc3.exe,winform.exe文件，关也关不掉。   V* }" ~  L5 A  b) f" H. r' p
3.无法查看隐藏文件
- f, a1 g  s, v- s" l0 A" r4.一开电脑，毒霸提示Win32.Hack.NsAnti.eb.43611，Win32.Troj.AvKiller.hs.23040
3 H! L! y, N7 }9 }5.在安全模式下，貌似删掉，其实没有。
$ O0 g3 T2 e, P6.注册表也全部查找删掉了，还是会复发。
* f1 J/ T  o/ C9 q5 m7.用金山AV终结者专杀V4.2不管用。
) v0 s. ^3 M9 w8 P% R% w2 M; K$ |
虽然电脑用起来没有什么，可以正常上网，毒霸开机也在运行。听说这网游可以盗取密码，用起来不放心，暂时也不想重装电脑，大家有没有好主意？
1 d8 q, Q0 w) m5 t3 C+ E1 s1 m9 N4 F
[ 本帖最后由 debahaodangpu 于 2007-7-22 08:39 编辑 ]

debahaodangpu

一开电脑,金山毒霸就弹出一大堆东西出来,说中了av killer病毒,看不了隐藏文件,每个盘都是auto,c:\windows\有这三个东东,mppds.exe,kvsc3.exe,winform.exe,救命呀.' Q/ Z0 n/ O  s) C9 z5 B

3 n1 ~7 u& ]/ G: ]* Y[ 本帖最后由 debahaodangpu 于 2007-7-21 23:52 编辑 ]

debahaodangpu

铁军大哥：
- @8 l. l3 {; @　　我刚刚上传了我电脑金山毒霸扫出来的日志，你看下，我是不是中了AV killer的变种，怎么AV终结者专杀V4.2杀不了这病毒的?毒霸的确提示是中了av killer呀，是不是要更新av killer专杀版本呢？
' V$ `, L2 f" k* B! |; N' X, V" o: Q2 `9 m
[ 本帖最后由 debahaodangpu 于 2007-7-23 13:31 编辑 ]

hklucky

我用的正版毒霸2007套装,没有"禁止硬盘和U盘的自动运行功能,重启后生效(D)"这个选项.

ciean

我的机子中毒了，有个tbrurvx.exe进程，只要是与病毒相关的网页程序都自动关闭，进入安全模式就蓝屏，我用的是最新的火狐浏览器和IE7,更新过的macfee和360安全卫士。我按照网上的av终结者清除方法关闭拉自动播放，也下载拉av专杀，可是一运行毒霸av专杀它就立刻自动关闭拉，这该怎么办阿，这是不是av病毒或是它的变种呢？难道一定要重装系统吗

debahaodangpu

我刚刚用AV专杀V4.3又杀了一遍，只杀了一个叫broken_autorun_inf的病毒出来，但是还有很多毒霸杀不掉。现在每次开机，毒霸都提示下面的病毒，但是杀不了。
2 a; q/ t" p9 {1 ~病毒名：Win32.Hack.NsAnti.eb.43611
! o$ p" N" j4 ?! k" J5 e病毒名：Win32.Troj.AvKiller.gx.322563 H0 S2 b. G. N6 {' P
病毒名：Win32.Troj.AvKiller.gx.322564 z/ x- |0 ]8 s; Z. Q! R% k. W( e2 s
病毒名：Win32.Hack.NsAnti.eb.436111 S* d$ _( J. g

% u: Y8 ~( {  s# l* c. l, X+ c+ j铁军大哥，难道我不是中了AV终结者？5 O  c9 r8 G$ M
您看下我刚刚上传的毒霸病毒日志可以吗？[attach]16025702[/attach]
; Y3 D  j7 ?/ q7 o启动项有好多不明项，无法去掉。图片如下：铁军大哥帮忙。
5 Z# y" @( r; R( k% T  V& a* j" D* S
[attach]16025705[/attach]  c) d* u3 t/ a1 j: m- j. Q, W# {

2 k) V& J, P- `8 Y# ]' T* Y[ 本帖最后由 debahaodangpu 于 2007-7-28 10:27 编辑 ]

鬼鬼

建议大家有问题的另开新帖详细说明

lu4500

这病毒怎样就会感染 向我不下载什么东西 没事吧

KSDC0327390

[db13] 病毒是那么烦的拉