[分享] 远程清除机器狗/AV终结者混合入侵实战 终结者, 实战, 机器

铁军

昨晚一哥们半夜鸡叫，说他的电脑中了病毒，杀毒软件不能用，也装不上，我估计是中了机器狗。建议他从正常电脑下载论坛提供的机器狗专杀，再到自己电脑上查毒。结果这哥们当晚没解决，今天又找上我。

首先用QQ给传了个机器狗专杀和磁碟机专杀，机器狗专杀报告发现av_killer_x，按提示重启后，病毒仍未清除，磁碟机专杀没有报告病毒。

遂远程连过去，用最新的AV终结者/机器狗专杀处理病毒，并抓了一堆新版机器狗清除后清理专家扫描的截图。

机器狗专杀报告发现安全模式被破坏、av_killer_x和另一个病毒。清除后，点停止查毒，再刷新，病毒又来了，专杀提示重启电脑，重启发现故障依旧。除毒霸新出的机器狗/AV终结者专杀和磁碟机专杀外，这台电脑上，毒霸和清理专家均不能运行，主程序已被病毒删除，COPY过去之后，双击程序立即再次被删除。

刚好，珠海要跟踪新版专杀的效果，就把这个用户交给水中雁处理。水大师远程连接后，用procxp关闭了explorer.exe进程里面的一个随机文件名随机后缀名的文件句柄（可理解为在explorer.exe进程中运行的一个子程序模块或线程），然后将这个句柄对应的system32下的那个文件改名，再搜索硬盘中同样大小的文件，结果删除了QQ目录下的和该文件大小一致的文件。重启计算机之后，发现av_killer_x被彻底清除。

据水大师后来分析，机器狗/AV终结者专杀5.0查杀失败的原因可能是未全部关闭这个句柄，可能与开着QQ远程桌面有关，如果关闭所有不相关程序后，再运行，就可能清除成功。

最新版本机器狗/AV终结者专杀5.7版从这里下载，可查杀机器狗、磁碟机和AV终结者的最新版本。
http://bbs.duba.net/attachment.php?aid=16114147

接下来我重新远程连接到他的桌面，将清理专家，毒霸主程序COPY回去，运行清理专家完成扫尾就可以了。以下是清理专家扫描的几张截图。
1.找到15个恶意软件，机器狗下载器果然很强悍。

2008-3-4 16:42

2.修复启动项中的残留信息

2008-3-4 16:42

3.将清除病毒之后，驱动中留下的残留信息删除。

2008-3-4 16:42

4.将病毒修改的映像劫持项目修复，这里清理专家不能直接修复，在相应的加载项点左键，快捷菜单中选择定位到注册表，将这些错误的引用全部删除。（提醒，对注册表不熟的朋友小心操作，下手慢一点，看清楚注册表编辑器右边窗口键值和清理专家检查结果一致的 ，就删除。

2008-3-4 16:42

2008-3-4 16:42

无事无非

貌似没有写完吧？！

tanlimo

不错，学习学习

这哥们是谁？

bank-w3000

上面提供的专杀还是5.0的版本啊！！

rain0011

我现在中招，弄不死～～～

qq2303

试一下金山毒霸希望能够是我们需要的----杀毒软件

hibfnv

上面的绝对没有写完，另外一个要说的，机器狗不单只挂载与Explorer.exe同时挂载于conime.exe还有一些上的吧。如果仅在Explorer.exe中可以进PE用找到Explorer.exe注册表的项，然后找出其中的挂载项的值，然后清理掉。或是不开桌面进程Explorer.exe而去掉其挂载的项。但是不是这么简单的，只有专业的人士才知道挂的是哪个模板，而我们普通的人哪里知道是什么子模块的呢？

邪血剑灵

我中招了　怎么办啊？

jinshuangaa

还是尽快把5.4发布出来便于下载，真的很难找。虽然我费了半天劲儿找到了、

疍小鱼

唉～～

[ 本帖最后由 疍小鱼 于 2008-3-30 10:59 编辑 ]

疍小鱼

我也想被水大师远程一下，，

ksdd0207587

我的病毒怎么总是杀不掉呀

小孩

asdfgdfsagdfg

小孩

小孩

KSDA3037258

学习了，长知识了

jy02409180

前几天我也中了机器狗，唉~毒霸开不了，什么都完了。最后还是重装系统~免得麻烦~~~~~~~~~

KSDA3309561

shechenfei

me.too

wuwanli0228

我的杀了还说存在。用你说的那个专杀杀不出来