『救命啊』中毒啦!快来救救我!

英语翻译不通啊？？？？救命啊 救命啊 救命啊。。。要死啦。。。快来救我~

如果我们向西旅行，就我们体内的生物钟而言，我们的生物钟是要比当地时间时间快的。

一定要去医院照片子检查一下，这也许不是小事哦。

AV终结者

“AV终结者”即”帕虫”是一系列反击杀毒软件，破坏系统安全模式、植入木马下载器的病毒，它指的是一批具备如下破坏性的病毒、木马和蠕虫。“AV终结者”名称中的“AV”即为英文“反病毒”(An-ti-virus)的缩写。它能破坏大量的杀毒软件和个人防火墙的正常监控和保护功能,导致用户电脑的安全性能下降,容易受到病毒的侵袭。同时它会下载并运行其他盗号病毒和恶意程序,严重威胁到用户的网络个人财产。此外,它还会造成电脑无法进入安全模式,并可通过可移动磁盘传播。目前该病毒已经衍生多个新变种,有可能在互联网上大范围传播。“AV终结者”设计中最恶毒的一点是，用户即使重装操作系统也无法解决问题：格式化系统盘重装后很容易被再次感染。用户格式化后，只要双击其他盘符，病毒将再次运行。“AV终结者”会使用户电脑的安全防御体系被彻底摧毁，安全性几乎为零。它还自动连接到某网站，下载数百种木马病毒及各类盗号木马、广告木马、风险程序，在用户电脑毫无抵抗力的情况下，鱼贯而来，用户的网银、网游、QQ账号密码以及机密文件都处于极度危险之中。

传播途径

“AV终结者”的重要传播途径是U盘等移动存储介质。它通过U盘、移动硬盘的自动播放功能传播，建议用户暂时关闭电脑的这一功能。用户近期一定要注意U盘使用安全，不要在可疑电脑上使用U盘，以免自己的电脑受到传染。

病毒特征

这种病毒主要特征有：禁用所有杀毒软件以及相关安全工具，让用户电脑失去安全保障；致使用户根本无法进入安全模式清除病毒；强行关闭带有病毒字样的网页，只要在网页中输入‘病毒’相关字样，网页遂被强行关闭，即使是一些安全论坛也无法登陆，用户无法通过网络寻求解决办法。

病毒现象
·1. 生成很多8位数字或字母随机命名的病毒程序文件，并在电脑开机时自动运行。

·2. 绑架安全软件，中毒后会发现几乎所有杀毒软件，系统管理工具，反间谍软件不能正常启动。即使手动删除了病毒程序，下次启动这些软件时，还会报错。

·3. 不能正常显示隐藏文件，其目的是更好的隐藏自身不被发现。

·4. 禁用windows自动更新和Windows防火墙，这样木马下载器工作时，就不会有任何提示窗口弹出来。为该病毒的下一步破坏打开方便之门。

·5. 破坏系统安全模式，使得用户不能启动系统到安全模式来维护和修复。

·6. 当前活动窗口中有杀毒、安全、社区相关的关键字时，病毒会关闭这些窗口。假如你想通过浏览器搜索有关病毒的关键字，浏览器窗口会自动关闭。

·7. 在本地硬盘、U盘或移动硬盘生成autorun.inf和相应的病毒程序文件，通过自动播放功能进行传播。这里要注意的是，很多用户格式化系统分区后重装，访问其它磁盘，立即再次中毒，用户会感觉这病毒格式化也不管用。

·8. 病毒程序的最终目的是下载更多木马、后门程序。用户最后受损失的情况取决于这些木马和后门程序。

防范措施

对于病毒而言，良好的防范措施，好过中毒之后再绞尽脑汁去寻找查杀方法，而且一旦感染该病毒，清除过程相当复杂，因此，在采访中，金山、江民、瑞星等几家公司的反病毒专家们向记者提供了针对该病毒防范措施：

1.保管好自己的U盘，MP3、移动硬盘等移动储存的使用，当外来U盘接入电脑时，请先不要急于双击打开，一定要先经过杀毒处理，建议采用具有U盘病毒免疫功能的杀毒软件，如KV2007 独有的U盘盾技术，可以免疫所有U盘病毒通过双击U盘时运行。

2. 给系统打好补丁程序，尤其是MS06-014和MS07-17这两个补丁，目前绝大部分的网页木马都是通过这两个漏洞入侵到计算机里面的。

3. 即时更新杀毒软件病毒库，做到定时升级，定时杀毒。

4.安装软件要到正规网站下载，避免软件安装包被捆绑进木马病毒。

5.关闭windows的自动播放功能。

病毒解决方案

因为这个病毒会攻击杀毒软件，已经中毒的电脑杀毒软件没法正常启动，双击没反应，因而这时无法用杀毒软件来清除;利用手动解决也相当困难，并且，AV终结者是一批病毒，不能简单的通过分析报告来人工删除。推荐的清除步骤如下：

1. 在能正常上网的电脑上到http://zhuansha.duba.net/259.shtml下载AV终结者病毒专杀工具。

2. 在正常的电脑上禁止自动播放功能，以避免通过插入U盘或移动硬盘而被病毒感染。禁止方法参考方案附件：
把AV终结者专杀工具从正常的电脑复制到U盘或移动硬盘上，然后再复制到中毒的电脑上。

3. 执行AV终结者专杀工具，清除已知的病毒，修复被系统配置。

（注：AV终结者专杀工具的重要功能是修复被破坏的系统，包括修复映像劫持；修复被破坏的安全模式；修复隐藏文件夹的正常显示和删除各磁盘分区的自动播放配置。）

4. 不要立即重启电脑，然后启动杀毒软件，升级病毒库，进行全盘扫描。以清除木马下载器下载的其它病毒。

手动清除办法

1.到网上下载IceSword工具，并将该工具改名，如改成abc.exe 名称，这样就可以突破病毒进程对该工具的屏蔽。然后双击打开IceSword工具，结束一个8位数字的EXE文件的进程，有时可能无该进程。
2.利用IceSword的文件管理功能，展开到C:\Program Files\Common Files\Microsoft Shared\MSINFO\下，删除2个8位随机数字的文件，其扩展名分别为：dat 和dll 。再到%windir%\help\目录下，删除同名的.hlp或者同名的.chm文件，该文件为系统帮助文件图标。
3. 然后到各个硬盘根目录下面删除Autorun.inf 文件和可疑的8位数字文件，注意，不要直接双击打开各个硬盘分区，而应该利用Windows资源管理器左边的树状目录来浏览。有时电脑中毒后可能无法查看隐藏文件，这时可以利用WinRar软件的文件管理功能来浏览文件和进行删除操作。
4.利用IceSword的注册表管理功能，展开注册表项到：
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]，删除里面的IFEO劫持项。
当完成以上操作之后，就可以安装或打开杀毒软件了，然后升级杀毒软件到最新的病毒库，对电脑进行全盘杀毒。（手动清除办法由江民反病毒专家提供

病毒分析
1.生成文件
%programfiles%\Common Files\Microsoft Shared\MSInfo\{随机8位字母+数字名字}.dat
%programfiles%\Common Files\Microsoft Shared\MSInfo\{随机8位字母+数字名字}.dll
%windir%\{随机8位字母+数字名字}.hlp
%windir%\Help\{随机8位字母+数字名字}.chm
也有可能生成如下文件
%sys32dir%\{随机字母}.exe
替换%sys32dir%\verclsid.exe文件

2.生成以下注册表项来达到使病毒随系统启动而启动的目的
HKEY_CLASSES_ROOT\CLSID\"随机CLSID"\\InprocServer32 "病毒文件全路径"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\"随机CLSID" "病毒文件全路径"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
ShellExecuteHooks "生成的随机CLSID" ""
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"随机字符串" "病毒文件全路径"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc Start
dword:00000004

3.映像劫持
通过在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
Image File Execution Options下添加注册表项来进行文件映像劫持，可阻止大量安全软件及系统管理软件运行，并执行病毒体。
被劫持的软件包括：
360rpt.exe;
360Safe.exe;
360tray.exe;
adam.exe;
AgentSvr.exe;
AppSvc32.exe;
autoruns.exe;
avgrssvc.exe;
AvMonitor.exe;
avp.com;
avp.exe;
CCenter.exe;
ccSvcHst.exe;
FileDsty.exe;
FTCleanerShell.exe;
HijackThis.exe;
IceSword.exe;
iparmo.exe;
Iparmor.exe;
isPwdSvc.exe;
kabaload.exe;
KaScrScn.SCR;
KASMain.exe;
KASTask.exe;
KAV32.exe;
KAVDX.exe;
KAVPFW.exe;
KAVSetup.exe;
KAVStart.exe;
KISLnchr.exe;
KMailMon.exe;
KMFilter.exe;
KPFW32.exe;
KPFW32X.exe;
KPFWSvc.exe;
KRegEx.exe;
KRepair.COM;
KsLoader.exe;
KVCenter.kxp;
KvDetect.exe;
KvfwMcl.exe;
KVMonXP.kxp;
KVMonXP_1.kxp;
kvol.exe;
kvolself.exe;
KvReport.kxp;
KVScan.kxp;
KVSrvXP.exe;
…………

4.修改以下注册表，导致无法显示隐藏文件
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\
Advanced Hidden dword:00000002
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Advanced\Folder\Hidden\SHOWALL CheckedValue dword:00000000

5、修改以下服务的启动类型来禁止Windows的自更新和系统自带的防火墙
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
SharedAccess Start dword:00000004
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
wuauserv Start dword:00000004

6.删除以下注册表项，使用户无法进入安全模式
HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\

HKEY_CURRENT_USER\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\

7.连接网络下载病毒
hxxp://www.webxxx.com/xxx.exe

8.关闭杀毒软件实时监控窗口，如瑞星、卡巴，通过自动点击"跳过"按钮来逃过查杀

9.尝试关闭包含以下关键字窗口
Anti
AgentSvr
CCenter
Rsaupd
SmartUp
FileDsty
RegClean
360tray
…………
ikaka
duba
kingsoft
木马
社区
aswBoot
…………

10.注入Explorer.exe和TIMPlatform.exe反弹连接，以逃过防火墙的内墙的审核。

11.隐藏病毒进程，但是可以通过结束桌面进程显示出来。

12.在硬盘分区生成文件：autorun.inf 和 随机字母+数字组成的病毒复制体，并修改“NoDriveTypeAutoRun”使病毒可以随可移动存储介质传播。

希望对你有帮助

最近，一种病毒变种(以随机八位字符为文件名)疯狂传播。由于病毒制造者会经常更新病毒文件，使病毒变种狂增，一方面使很多用户深受其害，更一方面使得专杀效果不是很好，所以还是建议进行手工查杀。
一、病毒相关分析：
病毒标签：
病毒名称：Trojan-PSW.Win32.Nilage.gen/Virus.Win32.Autorun.gen
病毒别名：帕虫--瑞星，AV终结者--金山，U盘寄生虫--江民
病毒类型：病毒
危害级别：5
感染平台：Windows 平台
病毒大小：33,363 (字节)
SHA1 ：d8ced73c38439ca03bd2f4f07a492b58b9a82947
加壳类型：upx
开发工具：Delphi
病毒分析：

1、运行病毒文件后，会生成以下文件：
%CommonProgramFiles%\Microsoft Shared\MSInfo\随机八位字符.dll (46163字节)
%CommonProgramFiles%\Microsoft Shared\MSInfo\随机八位字符.dat (33363字节)
%SystemRoot%\Help\随机八位字符.chm (33363字节)
%SystemRoot%\随机八位字符.hlp (33字节)
在除系统盘外的各盘根目录下生成
autorun.inf (172字节)
随机八位字符.exe (33363字节)

2、关闭运行的安全软件，监控并关闭以下含有以下字符串的文件夹、窗体、进程、服务、网页或文本：

AntiVirus、Trojan、Firewall、Kaspersky、JiangMin、KV200、kxp、Rising、RAV、RFW、KAV200、KAV6、
McAfe、Network Associates、TrustPort、Norton、Symantec、SYMANT~1、Norton、SystemWorks、ESET、
Grisoft、F-Pro、Alwil Software、ALWILS~1、F-Secure、ArcaBit、Softwin、ClamWin、DrWe、Fortine、
anda Software、Vba3、TrendMicro、QUICKH~1、TRENDM~1、Quick Heal、eSaf、ewido、Prevx1、ersavg、
Ikarus、Sopho、Sunbelt、PC-cilli、ZoneAlar、 Agnitum、WinAntiVirus、AhnLab、Norma、surfsecret、
Bullguard、BlackICE、Armor2net、360safe、SkyNet、k2007、AntiyLabs、LinDirMicro Lab、Filseclab、ast、
System Safety Monitor、ProcessGuard、FengYun、Lavasoft、Defendio、kis6、Behead、sreng、IceSword、
HijackThis、killbox、procexp、Magicset、EQSysSecure、ProSecurity、Yahoo!、Google、baidu、P4P、
Sogou PXP、yaskp.sys、BDGuard.sys、超级兔子、木马、KSysFilt.sys、KSysCall.sys、AVK、K7、Zondex、
blcorp、TinyFirewall Pro、Jetico、HAURI、CA、kmx、PCClear_Plus、Novatix、Ashampoo、WinPatrol、
Spy Cleaner Gold、CounterSpy、EagleEyeOS、Webroot、BufferZone、avp、AgentSvr、Ccenter、Rav、
RavMonD、RavStub、RavTask、rfwcfg、rfwsrv、RsAgent、Rsaupd、runiep、SmartUp、FileDsty、RegClean、
360tray、360Safe、360rpt、kabaload、safelive、Ras、KASMain、KASTask、KAV32、KAVDX、KAVStart、
KISLnchr、KmailMon、KMFilter、KPFW32、KPFW32X、KPFWSvc、KWatch9x、Kwatch、KwatchX、TrojanDetector、
UpLive.EXE、KVSrvXP、KvDetect、KregEx、kvol、kvolself、kvupload、kvwsc、UIHost、IceSword、iparmo、
mmsk、adam、MagicSet、PFWLiveUpdate、SREng、WoptiClean、scan32、shcfg32、mcconsol、HijackThis、
mmqcj、Trojanwall、FTCleanerShell、loaddll.、rfwProxy、KsLoader、KvfwMcl、autoruns.、AppSvc32、
ccSvcHst、isPwdSvc、symlcsvc、nod32kui、avgrssvc、RfwMain、KAVPFW、Iparmor、nod32krn、PFW、RavMon、
KAVSetup、NAVSetup、SysSafe、QHSET、xsweep.、AvMonitor、UmxCfg、UmxFwHlp、UmxPol、UmxAgent、
UmxAttachment、KPFW32、KPFW32X、KvXP_1、KVMonXP_1、KvReport、KVScan、KVStub、KvXP、KVMonXP、KVCenter、
TrojDie、avp.com、krepair.COM、KaScrScn.SCR、Trojan、Virus、kaspersky、jiangmin、rising、ikaka、duba、
kingsoft、360safe、木马、木马、病毒、杀毒、杀毒、查毒、防毒、反病毒、专杀、专杀、卡巴、江民、瑞星、
卡卡社区、金山毒霸、毒霸、金山、社区、360安全、恶意软件、流氓软件、举报、报警、杀软、杀软、防骇、微点、
MSInfo、WinRAR、KvNative、bsmain、aswBoot

3、删除以下注册表项破坏安全模式
HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}
修改系统隐藏属性:
改HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
Folder\Hidden\SHOWALL\CheckedValue值为0
//1为显示隐藏文件

4、添加IFEO映像劫持项
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360rpt.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360Safe.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360tray.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\adam.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AgentSvr.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AppSvc32.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AST.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\autoruns.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avgrssvc.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AvMonitor.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.com
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\CCenter.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ccSvcHst.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\FileDsty.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\FTCleanerShell.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\HijackThis.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IceSword.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\iparmo.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Iparmor.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\isPwdSvc.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kabaload.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KaScrScn.SCR
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KASMain.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KASTask.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAV32.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVDX.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVPFW.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVSetup.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVStart.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KISLnchr.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KMailMon.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KMFilter.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KPFW32.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KPFW32X.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KPFWSvc.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KRegEx.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\krepair.COM
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KsLoader.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVCenter.kxp
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KvDetect.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KvfwMcl.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVMonXP.kxp
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVMonXP_1.kxp
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kvol.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kvolself.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KvReport.kxp
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVScan.kxp
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVSrvXP.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVStub.kxp
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kvupload.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kvwsc.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KvXP.kxp
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KvXP_1.kxp
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KWatch.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KWatch9x.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KWatchX.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\loaddll.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MagicSet.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mcconsol.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mmqczj.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mmsk.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\NAVSetup.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\nod32krn.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\nod32kui.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PFW.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PFWLiveUpdate.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\QHSET.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Ras.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Rav.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavMon.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavMonD.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavStub.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavTask.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RegClean.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rfwcfg.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RfwMain.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rfwProxy.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rfwsrv.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RsAgent.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Rsaupd.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\runiep.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\safelive.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\scan32.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\shcfg32.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SmartUp.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SREng.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\symlcsvc.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SysSafe.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\TrojanDetector.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Trojanwall.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\TrojDie.kxp
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\UIHost.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\UmxAgent.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\UmxAttachment.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\UmxCfg.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\UmxFwHlp.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\UmxPol.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\UpLive.EXE.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\WoptiClean.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\zxsweep.exe
以上键值均指向
%CommonProgramFiles%\Microsoft Shared\MSInfo\随机八位字符.dat

5、连接http://google.171738.org 和http://head.bodyhtml.biz/ani.js
下载ani.c (1,156 字节)Ani.c为ANI溢出程序，并通过该文件下载
http://head.bodyhtml.biz/update.exe。
通过连接http://www.cnzz.com/stat/website.php?web_id=518199记录访问量。

6、update.exe文件会从http://head.bodyhtml.biz上下载大量木马与病毒。
其中包括AV终结者变种，病毒如下：%CommonProgramFiles%\system\jbtmfqq.exe (25240字节)
%CommonProgramFiles%\microsoft shared\ytbikec.exe (25240字节)
在除系统盘根目录下
autorun.inf
hsomklg.exe (28672字节)
%temp%目录下
LYLOADER.EXE (10196字节)
LYMANGR.DLL (2816字节)
MSDEG32.DLL (4999字节)
~SM3.tmp (19504字节)
~SM4.tmp (19504字节)
~SM5.tmp (19504字节)
~SM6.tmp (19504字节)
~SM7.tmp (19504字节)
以上文件会采用添加自身到启动项或插入explorer.exe进程进行自我保护，还会下载其他盗取网游帐号的木马。

二、解决方案：

1、先找突破点。因为映像劫持(image File Execution Options Hijack)只是针对文件名，所以只要更改变文件名，就
可以使它失效。为了防止刚清理的病毒又被重新生成或者安全软件不能使用。我们先解除映像支持，使用超级巡警中
新发布的IFEO修复功能(“安全优化”中“系统修复”下的“Fix IFEO”) 即可。因为AST可能已经被映像劫持，所以
推荐使用超级巡警团队针对此类病毒新推出的“ToolsLoader”(详见http://www.dswlab.com/d3.html)。

2、清出内存病毒和病毒文件。找到加载到 explorer.exe 的dll文件(文件名应该与就是刚才记着的相同)，用超级巡警
ToolsLoader卸载它。然后删除掉dll文件和同目录下的扩展名为dat的文件(因为病毒会监控以上文件的目录，所以推
荐使用巡警中的“文件粉碎机”删除以上文件)。 然后用 win+e 打开资源管理器，找到根目录下的 autorun.inf 和
autorun.inf 里面记录的exe文件(注意： 不要双击盘符或单击盘符右键选打开，这样让autorun.inf失效，然后使用
巡警中的“文件粉碎机”删除这两个文件)。现在病毒的主文件已经都清理了。剩下的可以用病毒文件的文件名(不要
扩展名)和病毒文件生成时间进行全盘搜索，找到的文件都删除掉。此病毒还会连接一些网站，下载大量盗号软件 ，
这些盗号软件目的是盗取游戏程序或其他程序的帐号与密码，清除不会很复杂。它们一般都采用加载启动的方法，达
到开机运行的效果。所以只要删除了启动项及其对应的文件，就可解决。这些病毒文件产生的dll文件和垃圾文件 ，
就可以交给杀毒软件处理了。

3、全面修复。修复隐藏属性：使[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Explorer\Advanced\Folder\Hidden\SHOWALL]下的"CheckedValue"= dword:00000001。修复安全模式，可以用超级巡
警的安全修复(“安全优化”中“系统修复”下的“Fix IFEO”)。也可以先在能进入安全模式的机器中导出
HKLM\SYSTEM\ControSet001\Control\SafeBoot\
HKLM\SYSTEM\ControSet003\Control\SafeBoot\
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\然后复制到本机上导入。
修复映像劫持：这个在第一步已经做了。

4、安全模式杀毒。确保杀毒软件升级到最新，确保打上了最新的系统补丁(用巡警的补丁检查功能，没打的补丁一定要
打上)，进入安全模式(推荐断开网络)，使用超级巡警进行全盘扫描，彻底清除各种病毒。

看了楼主的介绍，发现这个病毒太厉害了，想好好帮下楼主，这里给楼主介绍一个禁用病毒的方法把～

～～～～～～～清除方法～～～～～～～～
只是一个禁用文件的命令，禁用了文件，文件就不会运行，这样就可以轻松清除了～～

先打开cmd （按开始-运行-输入“CMD”-打开-出现黑框）
然后输入下边说要输入的命令，回车。

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\要禁止运行的文件" /v debugger /t reg_sz /d debugfile.exe /f

比如要禁用vsmmgtv.exe,那么楼主就要输入这个命令
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\vsmmgtv.exe" /v debugger /t reg_sz /d debugfile.exe /f
这样的话，即使vsmmgtv.exe文件存在也没法运行了，病毒不会发作了呵呵～

楼主不信的话可以自己试试俄～比如禁止QQ运行。
那么命令就是
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\QQ.exe" /v debugger /t reg_sz /d debugfile.exe /f
输入后你关掉QQ就再也打不开了

取消方法：
reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\QQ.exe" /f

以上用的是IFEO技术禁用文件的方法实现禁用病毒的。
禁用成功后，请楼主重新启动计算机，重启后因为病毒已经停止运行，所以楼主就可以轻松的将它清除了（进入病毒目录手动清除也可以了），呵呵～

注意～
请楼主输入命令前最好核实确认病毒名称为vsmmgtv.exe，不然如果输入错误的话，就等于白干了俄～

PS。。如果楼主有任何疑问，请发消息或者留言给我，谢谢～

用“windows清理助手”试试。

还有可以试试
反间谍软件先锋 Autoruns 8.73 汉化
http://hi.baidu.com/wy610321/blog/item/7c7bc31b0a4ce4f9af513396.html

进入安全模式杀毒试试吧,如果还杀不干净的话,就只有重装系统了,祝你好运!

---

靖宇县19825852730： 电脑中毒啦、中木马啦快来救命啊 - ？
卓泳腺苷： 杀毒软件在正常模式下无法打开,在安全模式下或许就能打开!请楼主按以下步骤进行处理:先建议楼主去360官方站点下载360系统急救箱和贝壳木马专杀工具,用于在安全模式下断网查杀;清...

靖宇县19825852730： 救命吖!中毒啦!有什么方法救救我吖?？
卓泳腺苷： 杀木马: 木马清除大师V2.80 (每天都可以免费升级,还可以免费使用90天) 杀恶意软件:360安全卫士(免费便用) 杀恶意进程: IceSword是一斩断黑手的利刃 杀删除不了的文件:文件删除终结者 -- XDelBox 杀广告病毒和其它网页病毒: 用NOD32去杀去防是最好的了 全盘杀毒: 卡吧最好,建议用卡吧 (每天都有更新病毒库)

靖宇县19825852730： 我的电脑中毒了,快来救救我吧!!~ - ？
卓泳腺苷： 下个AVG杀.

靖宇县19825852730： 我的电脑中毒了,快来救救我``呀,请高人指点？
卓泳腺苷： 现在的病毒基本上都加壳了 随时都在做整容找到很难 会的话 还原 或者重装个系统吧 或者下个杀毒软件

靖宇县19825852730： 我中毒了,大侠们快救救我吧! - ？
卓泳腺苷： 除了格式化后重装系统,确实没有其他好办法

靖宇县19825852730： 救命啊,我的电脑中毒了,任何杀毒软件都不行 - ？
卓泳腺苷： 应该就是AV终结者 因为这个并读会攻击沙读软件,已经种读的电脑沙读软件没法正常启动,双击没反应,因而这时无法用沙读软件来清除;利用手动解决也相当困难,并且,AV终结者是一批并读,不能简单的通过分析报告来人工山厨.推荐的...

靖宇县19825852730： 中毒了啊`怎么办啊?救命啊`？
卓泳腺苷： 用安全模式进去...找到病毒所在的文件 然后删掉 试试看.. 这样就行了...

靖宇县19825852730： 电脑中毒了,救命啊55555555555555555555 - ？
卓泳腺苷： 还原系统或重装系统 没备份没条件重装系统的下360配卡巴 不能用是因为病毒屏蔽了 重启从安全模式进系统 打开卡巴 ( 安全模式下只有几个重要进程其它都不运行 包括大部分病毒和软件) 查杀 应该可以 平常做好备份 别用瑞星 360加卡巴 做好漏洞补丁 你试试下个进程管理器 免安装的 prgmgr什么的 具体名字不记了 下在下来从安全模式进 把黄色的和红色的都结束 然后装卡巴 看能打开不 可以试下诺顿或nod32杀软试下 真不行用360做个系统诊断 把结果丢到360论谈上 还有可能系统有文件损坏了 实在不行买个XP盘重装下吧 然后做好备份

靖宇县19825852730： 食物中毒怎么办?胸闷呕吐腹泻~~救命啊~~T - T？
卓泳腺苷： 暂时只吃粥吃蔬菜,不吃荤腥,少吃油腻的,多喝水少量多次排毒, 然后配一点氧氟沙星胶囊,不贵的,吃2粒一次!

靖宇县19825852730： 我的电脑中毒了 救命啊？
卓泳腺苷： 不知道怎么说呢,你重装系统是使用什么重装的?是用光盘还是直接使用镜象文件?如果是用光盘的话看看是不是光驱还是光盘有的问题,如果用镜象的话你就重新找个镜象再装次,把镜象文件跟GHOST放在除系统盘外的另一个盘,然后进入DOS把个C盘格式化了,再安装系统,那就干净多了