一、AV终结者之症状
如果你的电脑出现如下症状:
1、安全类软件无法运行; 2、安全类网页无法打开; 3、硬盘盘符无法打开; 4、任务管理器无法运行; 5、安全模式无法进入;
…………
那么,首先我对你的不幸遭遇表示同情,这已经基本上可以说明,你中了AV终结者。
二、AV终结者之原理
AV终结者不是指某个病毒,而是指一类具有相同特征的病毒,它们的病毒名可能多种多样,但是它们所表现出来的症状都是差不多的,而且其原理也基本相同。可以这么说,AV终结者实际上是一类病毒的总称。
其基本原理就是劫持系统IFEO镜像。
所谓的映像劫持(IFEO)就是Image File Execution Options,位于注册表的
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
由于这个项主要是用来调试程序用的,对一般用户意义不大。默认是只有管理员和local system有权读写修改。
通俗一点来说,就是比如我想运行QQ.exe,结果运行的却是FlashGet.exe,也就是说在这种情况下,QQ程序被FLASHGET给劫持了,即你想运行的程序被另外一个程序代替了。
映像劫持病毒主要通过修改注册表中的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution options 项来劫持正常的程序,比如有一个病毒 vires.exe 要劫持 qq 程序,它会在上面注册表的位置新建一个qq.exe项,再这个项下面新建一个字符串的键值 debugger 内容是:C:\WINDOWS\SYSTEM32\VIRES.EXE(这里是病毒藏身的目录)即可。当然如果你把该字符串值改为任意的其他值的话,系统 就会提示找不到该文件。
既然了解了这类病毒的工作原理,那么,要剿灭它们就变得非常容易。
三、AV终结者之查杀
第一步:GHOST杀毒
如果你做了GHOST备份,那么杀毒相对变得很容易,恢复你的备份,进入系统后什么都不要做,从开始菜单运行WINRAR,浏览所有盘符根目录,删除AUTORUN.INF文件,删除其他所有可疑文件,杀毒即告成功。
或者恢复后进入PE,在PE中运行WINRAR进行上述步骤。现在我还不知道AV是否能够感染PE,所以用WINRAR浏览盘符比较安全。
切记,恢复系统后不可打开任何盘符,更不可双击任何盘符,否则前功尽弃。
病毒也有可能破坏GHO备份文件,若备份遭到破坏,那么我们只有寻求其他的方法来杀毒了。
第二步:专杀杀毒
下载金山出品的AV终结者专杀工具进行查杀,大家可以自己百度搜索一下“AV终结者专杀”或去金山的主页直接下载。下载后直接运行扫描,若此时能够解决问题,那当然万事大吉,若还是不能解决,那只有用更复杂一点的方法了。
第三步:手工查杀
准备工具:
Autoruns8.61
下载地址:http://yutian8888.ylmf.net/??47
IceSword1.20 SREng2 USBCleaner6.0(这个下载了后先升级) Wsyscheck0624 强力文件删除工具
下载地址:http://yutian8888.ylmf.net/??65
查杀步骤:
1、用WINRAR浏览磁盘根目录,打开AUTORUN.INF文件,查看其关联的DLL文件,(这些DLL病毒名都是随机的,不同的病毒文件名肯定不一样,我上面也说了,AV是一类病毒的总称,我这里只是给出查杀的原理),记下这些DLL的名字。
2、运行WSYSCHECK(或者运行冰刃,这两个功能差不多,我习惯WSYSCHECK,这里就以它为例),如果系统提示不能运行,就将其改个名字,例如改为ABC.EXE或者ABC.COM,因为病毒可能劫持了WSYSCHECK的镜像,所以不改名可能无法运行。
查看红色与紫色进程所调用的模块,紫色的,如果其中有上述AUTORUN.INF文件关联的DLL,则直接删除这些DLL模块。对于红色的典型病毒进程(可疑的,你不认识的)都直接结束掉,如果是你确定的病毒进程,则可选择结束进程并删除文件。
服务管理功能:可疑显示所有隐藏的服务,在系统服务列表中看不到的,这里都可以看到,可以轻而易举的删除病毒加载的服务
文件管理功能:可以显示所有隐藏的文件和文件夹,对于用WINRAR无法删除的顽固病毒文件,可以直接在这里删除。
注册表管理功能:病毒可能会禁用系统注册表,使REGEDIT.EXE无法运行,那么可以用WSYSCHECK来打开注册表,搜索下面这几项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
大部分的病毒和木马都是通过加载系统启动项来运行的,也有一些是注册成为系统服务来启动,他们主要通过修改注册表来实现这个目的。
将上述几项找到,删除可疑的键值,一般来说,这里的键值和病毒DLL模块、驱动服务文件以及进程名是相关的,因此很容易发现不正常的注册表键值。
3.将autoruns也改名,然后再运行,选择映像劫持项目,删除除Your Image File Name Here without a path之外的所有项目!
或者用WSYSCHECK的注册表管理定位到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options,删除Your Image File Name Here without a path之外的所有项目!
4、运行SRENG,修复EXE文件关联,修复安全模式。
5、运行USBCleaner6.0,修复显示隐藏文件和系统文件(这个工具也可疑修复安全模式)。
6、重启进入安全模式,运行USBCleaner6.0全盘查杀。运行你的杀软进行全盘查杀。
7、重启进入WINDOWS,再次检查
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
这几项,删除可疑键值。
运行MSCONFIG,删除可疑的自启动项
8、至此,AV终结者已经被赶尽杀绝。
第四步:AV终结者之预防
如果通过将病毒程序重定向进行免疫,完全只能针对已知病毒,对未知的AV变种毫无还手之力。
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File
Execution Options\sppoolsv.exe]
"Debugger"="123.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File
Execution Options\logo_1.exe]
"Debugger"="123.exe"
上面的代码是以金猪报喜病毒和威金病毒为例,这样即使这些病毒在系统启动项里面,即使随系统运行了,但是由于映象劫持的重定向作用,还是会被系统提示无法找到病毒文件(这里是logo_1.exe和sppoolsv.exe)。是不是很过瘾啊,想不到病毒也有今天!
我们无法真正免疫AV终结者,但完全可疑避免IFEO镜像劫持,方法如下:
如果用户无权访问该注册表项了,它也就无法修改这些东西了。打开注册表编辑器,进入HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows NT\CurrentVersion\Image File Execution Options ,选中该项,右键——>权限——>高级,取消所有用户的写入权限。这样,AV便无法劫持EXE,即使你不幸中了AV,也依然可以运行安全类软 件来进行杀毒。
还可以利用卡巴的主动防御来阻止IFEO镜像劫持
添加键:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
添加值:
Debugger
通过设置系统服务来保护卡巴的进程
控制面板——管理工具——服务
找到卡巴的服务,右键属性 ,如图设置
设置前先取消卡巴的自我保护,设置完后再将自我保护打开
至此,这篇教程也写完了。如果你确实太菜,还是不会杀毒,那么,利用SRENG的智能扫描功能,将扫描日志发布到各大安全论坛或者互联网上,请求高手相助吧。如果你的电脑没有什么重要的资料,那么简单了,重新分区重装系统。
No comments:
Post a Comment