为什么现在这么多人中av终结者
因为有不少人在操纵A V终结者!!!!!目的当然是为了商业利益!!
“AV终结者”即”帕虫”是一系列反击杀毒软件,破坏系统安全模式、植入木马下载器的病毒,它指的是一批具备如下破坏性的病毒、木马和蠕虫。“AV终结者”名称中的“AV”即为英文“反病毒”(Anti-Virus)的缩写。它能破坏大量的杀毒软件和个人防火墙的正常监控和保护功能,导致用户电脑的安全性能下降,容易受到病毒的侵袭。同时它会下载并运行其他盗号病毒和恶意程序,严重威胁到用户的网络个人财产。此外,它还会造成电脑无法进入安全模式,并可通过可移动磁盘传播。目前该病毒已经衍生多个新变种,有可能在互联网上大范围传播。“AV终结者”设计中最恶毒的一点是,用户即使重装操作系统也无法解决问题:格式化系统盘重装后很容易被再次感染。用户格式化后,只要双击其他盘符,病毒将再次运行。“AV终结者”会使用户电脑的安全防御体系被彻底摧毁,安全性几乎为零。它还自动连接到某网站,下载数百种木马病毒及各类盗号木马、广告木马、风险程序,在用户电脑毫无抵抗力的情况下,鱼贯而来,用户的网银、网游、QQ账号密码以及机密文件都处于极度危险之中。
AV终结者最彻底解决方案
病毒名称:AV终结者
传播方式:内存,2个windows漏洞 (变种 未知)
破坏方式:进程插入
生成病毒文件名:随机8位字符
自我保护:应用程序劫持技术 破坏隐藏文件显示 强行关闭知名杀毒/马软件 无法进入安全模式
病毒目的:从网络上下载大量木马
危害等级:★★★★★
近日网络上出现了一种破坏力及强的病毒“AV终结者”,不到一个月时间,变种就已达到数百个之多,波及人群超过十几万人,这个病毒非常变态,一旦感染就很难清除。
“AV终结者”是由随机8位数字和字母组合而成的病毒,是闪存寄生病毒,它是通过闪存等存储介质或者注入服务器来实现的。
一、什么是“AV终结者”
“AV终结者”病毒运行后会在系统中生成如下几个文件:C:\program files\common files\microsoft shared\msinfo\随机生成病毒名.dat、C:\program files\common files\microsoft shared\msinfo\随机生成病毒名.dll、C:\windows\随机生成病毒名.chm
“AV终结者”会在其他磁盘上中生成文件:#:\\随机生成病毒名.dat
“AV终结者”的病毒名是由大写字母+数字随机组合而成,其长度为8位,可以说生成同名病毒的概率是很低的。因此即使我们知道了这是病毒生成的文件,也别指望通过病毒名在网络上找到病毒的清楚方法。
“AV终结者”病毒运行后会在本地磁盘和移动磁盘中复制病毒文件和anuorun.inf文件,当用户双击盘符时就会激活病毒,即使是重装系统也是无法将病毒彻底清楚的。这是目前很多病毒热衷的传播方法,不少用户也懂得删除病毒生成的anuorun.inf文件,但是当我们进入“文件夹选项里”,想显示隐藏文件时,可以发现这里已经被病毒给禁用了。
针对杀毒软件的攻击,是“AV终结者”的特点。病毒会终止大部分的杀毒软件和安全工具的进程。国内绝大多数的杀毒软件和安全工具都被列入了黑名单。当杀毒软件暂时失去作用时,病毒就会乘胜追击,通过一种“映象劫持”技术将杀毒软件彻底打入死牢。
“映象劫持”会在注册表的“HKEY-LOCAL-MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Exeution Options”位置新建一个以杀毒软件和安全工具程序名称命名的项。建立完毕后,病毒还会在里面建立一个Debugger键,键值为“c:\ progra~1\common~1\micros~1\msinfo\05cc73b2.dat”。这样当我们双机运行杀毒软件的主程序时,运行的其实是病毒程序。
为了避免在“任务管理器”中露出破绽,病毒会将自己的进程注入到系统的资源管理器进程explorer.exe中,这样我就无法通过“任务管理器”发现病毒的进程了。病毒进程的主要作用是监视系统中的用户操作,例如你想手动清楚病毒,修改注册表,病毒没隔一段时间就会把注册表改回去,让你白费劲。另一个作用是监视IE窗口,发现用户搜索病毒资料时,立即关闭网页。
此外,病毒还会破坏windows防火墙和安全模式,封堵用户的后路。最重要的是,病毒会从网络上下载大量盗号木马,盗取用户的游戏帐户信息,这也是它的真正目的。
二、彻底清除“AV终结者”
1、运行“任务管理器”,结束“explorer.exe”进程,单击“任务管理器的”文件菜单,选择“新建任务”,输入“regedit”,找到HEKEY-LOCAL-MACHINE\software\microsoft\windows\currentversion\explorer\advanced \folder\hidden\showall,将Checkedvalue的的键值改为“1”。
2、在“regedit”中找到HEKEY-LOCAL-MACHINE\software\microsoft\windows NT\currentversion\image file execution options,将以杀毒软件和安全工具命名的项删除。
3、在“资源管理器”中单击“工具”——“文件夹选项”,切换到“查看”,取消“隐藏受保护的操作系统文件”前面的勾,然后选中“显示所有文件和文件夹”。根据上文中提供的路径删除所有的病毒文件。删除其他分区中的病毒,注意不要双击进入盘符,而要用右键点击进入。
三、预防“AV终结者”
首先,要禁止自动播放功能,并能及时更新系统补丁,尤其是MS06-014和MS07-017这两个补丁。
其次,要限制IFEO的读写权,达到限制病毒通过IFEO劫持杀毒软件的目的。操作方法如下:开始——运行,输入regedit,找到 HEKEY-LOCAL-MACHINE\software\microsoft\windows NT\currentversion\image file execution options,右击此选项,在弹出的菜单中选择“权限”,然后把administrors用户组和users用户组的权限全部取消即可。最后,要限制 SAFEBOOT的读写权,达到限制“AV终极者”修改或删除Drives,保护安全模式正常运行的目的。操作方法如下:同样是在32位注册表里找到 HKEY-LOCAL-MACHINE\SYSTEM\contorlset002\control\safeboot
etwork\{4d36e967 -e325-11ce-bfc1-08002be10318}和HKEY-LOCAL-MACHINE\SYSTEM\ currentcontrolset\control\safeboot\minimal\,将administors用户组和users用户组的权限全部取消即可。
[编辑本段]传播途径
1.“AV终结者”的重要传播途径是U盘等移动存储介质。它通过U盘、移动硬盘的自动播放功能传播,建议用户暂时关闭电脑的这一功能。用户近期一定要注意U盘使用安全,不要在可疑电脑上使用U盘,以免自己的电脑受到传染。
2. AV终结者最初的来源是通过大量劫持网络会话,利用网站漏洞下载传播。和前一段时间ARP攻击的病毒泛滥有关。
[编辑本段]病毒特征
这种病毒主要特征有:禁用所有杀毒软件以及相关安全工具,让用户电脑失去安全保障;致使用户根本无法进入安全模式清除病毒;强行关闭带有病毒字样的网页,只要在网页中输入‘病毒’相关字样,网页遂被强行关闭,即使是一些安全论坛也无法登陆,用户无法通过网络寻求解决办法。
[编辑本段]病毒现象
·1. 生成很多8位数字或字母随机命名的病毒程序文件,并在电脑开机时自动运行。
·2. 绑架安全软件,中毒后会发现几乎所有杀毒软件,系统管理工具,反间谍软件不能正常启动。即使手动删除了病毒程序,下次启动这些软件时,还会报错。
·3. 不能正常显示隐藏文件,其目的是更好的隐藏自身不被发现。
·4. 禁用windows自动更新和Windows防火墙,这样木马下载器工作时,就不会有任何提示窗口弹出来。为该病毒的下一步破坏打开方便之门。
·5. 破坏系统安全模式,使得用户不能启动系统到安全模式来维护和修复。
·6. 当前活动窗口中有杀毒、安全、社区相关的关键字时,病毒会关闭这些窗口。假如你想通过浏览器搜索有关病毒的关键字,浏览器窗口会自动关闭。
·7. 在本地硬盘、U盘或移动硬盘生成autorun.inf和相应的病毒程序文件,通过自动播放功能进行传播。这里要注意的是,很多用户格式化系统分区后重装,访问其它磁盘,立即再次中毒,用户会感觉这病毒格式化也不管用。
·8. 病毒程序的最终目的是下载更多木马、后门程序。用户最后受损失的情况取决于这些木马和后门程序。
·9.病毒运行后,鼠标右击菜单以及下拉菜单选项,会在1到两秒钟时间后,自动选择最后一个选项,不过可以使用快捷方式组合。
[编辑本段]防范措施
对于病毒而言,良好的防范措施,好过中毒之后再绞尽脑汁去寻找查杀方法,而且一旦感染该病毒,清除过程相当复杂,因此,在采访中,金山、江民、瑞星等几家公司的反病毒专家们向记者提供了针对该病毒防范措施:
1.保管好自己的U盘,MP3、移动硬盘等移动储存的使用,当外来U盘接入电脑时,请先不要急于双击打开,一定要先经过杀毒处理,建议采用具有U盘病毒免疫功能的杀毒软件,如KV2007 独有的U盘盾技术,可以免疫所有U盘病毒通过双击U盘时运行。
2. 给系统打好补丁程序,尤其是MS06-014和MS07-17这两个补丁,目前绝大部分的网页木马都是通过这两个漏洞入侵到计算机里面的。
3. 即时更新杀毒软件病毒库,做到定时升级,定时杀毒。
4.安装软件要到正规网站下载,避免软件安装包被捆绑进木马病毒。
5.关闭windows的自动播放功能。
[编辑本段]病毒解决方案
方法一:
因为这个病毒会攻击杀毒软件,已经中毒的电脑杀毒软件没法正常启动,双击没反应,因而这时无法用杀毒软件来清除;利用手动解决也相当困难,并且,AV终结者是一批病毒,不能简单的通过分析报告来人工删除。推荐的清除步骤如下:
1. 在能正常上网的电脑上到http://zhuansha.duba.net/259.shtml 下载AV终结者病毒专杀工具。
2. 在正常的电脑上禁止自动播放功能,以避免通过插入U盘或移动硬盘而被病毒感染。禁止方法参考方案附件:
把AV终结者专杀工具从正常的电脑复制到U盘或移动硬盘上,然后再复制到中毒的电脑上。
3. 执行AV终结者专杀工具,清除已知的病毒,修复被破坏的系统配置。
(注:AV终结者专杀工具的重要功能是修复被破坏的系统,包括修复映像劫持;修复被破坏的安全模式;修复隐藏文件夹的正常显示和删除各磁盘分区的自动播放配置。)
4. 不要立即重启电脑,然后启动杀毒软件,升级病毒库,进行全盘扫描。以清除木马下载器下载的其它病毒。
方法二:
去黑联盟或黑客动画吧,下载一个AV生成器,运行后(注意别单击生成),选“卸载本地服务端”。
方法三:
1.在感染"AV终结者"病毒的电脑上,直接下载杀毒软件:avira antivir personal-free antivirus免费版(英文).
2.立即运行avira antivir personal-free antivirus,将扫描过程中提示的可疑文件移至隔离区(quarantine).单击"全部修复",将可修复的文件修复.
3.此时,可以键入"杀毒"等词语. 病毒不会终止大部分的杀毒软件和安全工具的进程.
下载:360安全卫士 V5.2 Beta3
立即运行360安全卫士 V5.2 Beta3,直至电脑体检为100分.
4.重新进入avira antivir personal-free antivirus——administration——quarantine,将木马病毒等扔进垃圾桶,将不能确定的可疑文件发送给avira.
5.为了安全起见,再运行一次360安全卫士 V5.2 Beta3,结果为:电脑体检100分; 或再运行一次avira antivir personal-free antivirus,结果为: 事件报告正常.
(强力推荐)方法四:
1.有下载symantec antivirus的人启动自动保护,AV终结者不会危害到这个软件(如果不见了就重启)。
2.symantec antivirus会自动杀毒,就是AV终结者的根源杀不了,但是你有腾讯qq和360保险箱的话,可以打开腾讯qq,会杀到木马,点一下红色的字(要快,不行就重来一遍),再点全盘木马查杀,再杀木马就可以了。
3.重启电脑(会有点卡,耐心一点)就完成了。
[编辑本段]AV终结者变种病毒介绍及安全建议
一、病毒英文名:js.downloader.cf.2210
病毒中文名:脚本下载器CF
日均感染电脑量:1634320
威胁级别:★★
入侵方式:网马下载 触发漏洞下载
“脚本下载器CF”(js.downloader.cf.2210)这个新诞生的脚本木马,只用了短短几天,就以单日120万台次的感染量位居感染排行的榜首。
此毒含有多款系统安全漏洞的利用代码,只要遇到电脑,就可立即自动攻击。它进行传播的方法则是网页挂马。
二、病毒英文名:win32.troj.agent.pe.114688
病毒中文名:AV终结者变种PE
日均感染电脑量:445430
威胁级别:★★
入侵方式:网马下载 U盘传播
win32.troj.agent.pe.114688这个对抗型下载器的感染量上升速度十分惊人,以单日44万台次的感染量,位居感染量排行榜的第二名。
此毒的中文名之所以取为“AV终结者变种PE”,是由于它的行为非常类似AV终结者,它会尝试搜索并关闭常见杀软的运行,然后下载大量的恶意程序,比如盗号木马和远程控制木马。
此毒的突然爆发,与网页挂马的推广有很大的关系,打齐系统补丁是防御此毒的最好办法。如果你的电脑已经打齐补丁,却还频繁报告发现此毒,那么可以尝试清除IE缓存。
如果这样依然无法消除此毒,则说明您的电脑存在未知漏洞,或是有未知的某种下载器在作怪。
警惕AV终结者变种病毒的安全建议
1.安装专业的正版杀毒软件进行全面监控,防范日益增多的病毒。用户在安装反病毒软件之后,应将一些主要监控经常打开,并一定要开启自动升级功能,遇到杀毒软件异常的问题,要尽快与其生产厂商联系求助。
2.操作系统和第三方软件的安全补丁永远是电脑中最重要的安全环节。不论你安装的杀毒软件多么强大,只要你的系统中存在安全漏洞,病毒就可以找到突破防御的缝隙。因此,请尽可能使用正版软件,以获得及时的升级服务。
3.良好的上网习惯不可忽视。目前大部分病毒是通过网页挂马的形式来感染用户,因此建议用户一定要养成良好的网络使用习惯,如不要登录不良网站、不要进行非法下载等,这样才能切断病毒感染的途径,不给病毒以可乘之机。
4.警惕网络诈骗,切记“天上不可能掉馅饼”。杀毒软件可以为您拦截恶意程序的攻击,而至于基于社会工程学的诈骗,很多时候仍依赖于您自己的意志是否坚定。绝大多数网络诈骗都是利用受害者的贪便宜心理,比如QQ中大奖、网站抽大奖等。
[编辑本段]手动清除办法
1.到网上下载IceSword工具,并将该工具改名,如改成abc.exe 名称,这样就可以突破病毒进程对该工具的屏蔽。然后双击打开IceSword工具,结束一个8位数字的EXE文件的进程,有时可能无该进程。
2.利用IceSword的文件管理功能,展开到C:\Program Files\Common Files\Microsoft Shared\MSINFO\下,删除2个8位随机数字的文件,其扩展名分别为:dat 和dll 。再到%windir%\help\目录下,删除同名的.hlp或者同名的.chm文件,该文件为系统帮助文件图标。
3. 然后到各个硬盘根目录下面删除Autorun.inf 文件和可疑的8位数字文件,注意,不要直接双击打开各个硬盘分区,而应该利用Windows资源管理器左边的树状目录来浏览。有时电脑中毒后可能无法查看隐藏文件,这时可以利用WinRar软件的文件管理功能来浏览文件和进行删除操作。
4.利用IceSword的注册表管理功能,展开注册表项到:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options],删除里面的IFEO劫持项。
当完成以上操作之后,就可以安装或打开杀毒软件了,然后升级杀毒软件到最新的病毒库,对电脑进行全盘杀毒。(手动清除办法由江民反病毒专家提供
[编辑本段]病毒分析
1.生成文件
%programfiles%\Common Files\Microsoft Shared\MSInfo\{随机8位字母+数字名字}.dat
%programfiles%\Common Files\Microsoft Shared\MSInfo\{随机8位字母+数字名字}.dll
%windir%\{随机8位字母+数字名字}.hlp
%windir%\Help\{随机8位字母+数字名字}.chm
也有可能生成如下文件
%sys32dir%\{随机字母}.exe
替换%sys32dir%\verclsid.exe文件
2.生成以下注册表项来达到使病毒随系统启动而启动的目的
HKEY_CLASSES_ROOT\CLSID\"随机CLSID"\InprocServer32 "病毒文件全路径"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\"随机CLSID" "病毒文件全路径"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
ShellExecuteHooks "生成的随机CLSID" ""
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"随机字符串" "病毒文件全路径"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc Start
dword:00000004
3.映像劫持
通过在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
Image File Execution Options下添加注册表项来进行文件映像劫持,可阻止大量安全软件及系统管理软件运行,并执行病毒体。
被劫持的软件包括:
360rpt.exe;
360Safe.exe;
360tray.exe;
adam.exe;
AgentSvr.exe;
AppSvc32.exe;
autoruns.exe;
avgrssvc.exe;
AvMonitor.exe;
avp.com;
avp.exe;
CCenter.exe;
ccSvcHst.exe;
FileDsty.exe;
FTCleanerShell.exe;
HijackThis.exe;
IceSword.exe;
iparmo.exe;
Iparmor.exe;
isPwdSvc.exe;
kabaload.exe;
KaScrScn.SCR;
KASMain.exe;
KASTask.exe;
KAV32.exe;
KAVDX.exe;
KAVPFW.exe;
KAVSetup.exe;
KAVStart.exe;
KISLnchr.exe;
KMailMon.exe;
KMFilter.exe;
KPFW32.exe;
KPFW32X.exe;
KPFWSvc.exe;
KRegEx.exe;
KRepair.COM;
KsLoader.exe;
KVCenter.kxp;
KvDetect.exe;
KvfwMcl.exe;
KVMonXP.kxp;
KVMonXP_1.kxp;
kvol.exe;
kvolself.exe;
KvReport.kxp;
KVScan.kxp;
KVSrvXP.exe;
…………
4.修改以下注册表,导致无法显示隐藏文件
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\
Advanced Hidden dword:00000002
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Advanced\Folder\Hidden\SHOWALL CheckedValue dword:00000000
5、修改以下服务的启动类型来禁止Windows的自更新和系统自带的防火墙
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
SharedAccess Start dword:00000004
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
wuauserv Start dword:00000004
6.删除以下注册表项,使用户无法进入安全模式
HKEY_LOCAL_MACHINESYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\
7.连接网络下载病毒
hxxp://www.webxxx.com/xxx.exe
8.关闭杀毒软件实时监控窗口,如瑞星、卡巴,通过自动点击"跳过"按钮来逃过查杀
9.尝试关闭包含以下关键字窗口
Anti
AgentSvr
CCenter
Rsaupd
SmartUp
FileDsty
RegClean
360tray
…………
ikaka
duba
kingsoft
木马
社区
aswBoot
…………
10.注入Explorer.exe和TIMPlatform.exe反弹连接,以逃过防火墙的内墙的审核。
11.隐藏病毒进程,但是可以通过结束桌面进程显示出来。
12.在硬盘分区生成文件:autorun.inf 和 随机字母+数字组成的病毒复制体,并修改“NoDriveTypeAutoRun”使病毒可以随可移动存储介质传播。
[编辑本段]专杀工具
金山AV终结者专杀工具
http://down.www.kingsoft.com/db/download/othertools/DubaTool_AV_Killer2.COM
[编辑本段]远程大战“超级AV终结者”
记得12月6日,笔者写了一篇预防“超级AV终结者”的博文,但有少部分朋友没有引起重视,没有采取有效预防措施。
这不,昨天上午有朋友请求支援,说自己的系统无法正常运行,杀毒软件无法正常打开监控,搜索有关杀毒软件的关键词时网页自动关闭,进入安全模式无效,任务管理器无法正常工作,显示磁盘隐藏文件的选项失效.....
帮助朋友是一种乐趣,查杀病毒也是一种乐趣!
但昨天上午,无法自己动手把病毒一个一个揪出来再一个一个干掉,因为朋友远在河北。没有办法,只好远程协助借助软件来干掉“超级AV终结者”,寻找远程杀毒的乐趣!
1、下载金山系统急救箱(超级av终结者专杀增强版)。此软件已更名为IE7 0day漏洞的免疫特别版,能够完美处理“超级av终结者”、扫荡波等病毒,清除未知木马群,据有扫荡波攻击免疫功能,能够帮您修复因为病毒破坏而出现的系统异常。
2、把此软件下载到非系统盘之外的任一硬盘下,右键打开(建议不要双击打开),软件自动解压后得到一个“金山系统急救箱”。
3、右键打开金山系统急救箱,软件即自动检测、修复系统,修复完毕后按照提示重启系统。如图:
4、重启系统以后,再次使用急救箱扫描,确认系统内所有病毒清除干净。
5、下载安装Bitdefender Internet Security 2008 简体中文版。软件简介、下载、安装及免费试用方法请参考《世界排名第一的Bitdefender(2008版)全系列下载及试用方法》。安装后重启,升级病毒库存,全盘查杀病毒。
特别说明:为什么要推荐这款杀毒软件?因为超级AV终结者主要针攻击卡巴斯基、瑞星、江民、金山等常用杀毒软件。另外,杀毒软件全球排名金奖得主Bitdefender的杀毒性能也是一流的,可以帮助你完全清除系统残存的各类病毒!
6、查杀完病毒后,下载一个超级兔子魔法设置。下载安装后,清理下系统注册表项。有另据一遭遇相似的朋友讲,用软件清除 “超级AV终结者”后,无法上网页了。这是因为,“超级AV终结者” 修改了浏览器的注册表项,因此也可以用超级兔子的IE修复功能进行修复。
下载地址:http://xiazai.zol.com.cn/detail/13/120398.shtml
至此,我们已经完全把“超级AV终结者”干掉,并消灭了它的余党。现在,我们可以卸载Bitdefender 软件,再安装其它软件。不过,笔者建议测试检验下这一款软件,毕竟金奖产品不是徒有虚名
善意提醒:圣诞节、元旦节将至,正是病毒高发时节,提醒各位好友一定要注意系统的安全防范,如果在没有防备的时候中了病毒,那可是会影响心情的哟!预防要点如下:
1、安装正版或者原版系统,不要用各大论坛发布的“XX版”,并且开启自动更新打上微软官方的所有补丁。
2、选择几款安全防范软件,组成“安全金盾”。推荐方案:①卡巴斯基KIS8。0+AVG2008个人免费版+超级兔子魔法设置; ②金山毒霸2009杀毒软件套装+AVG7。5绿色版+360;③卡巴斯基KIS8。0+AVG7。5绿色版+超级兔子魔法设置。
3、养成良好的电脑使用习惯,关闭移动盘自动运行,定期查杀病毒,定期进行系统备份。
-------------------------------
近日,国内各反病毒中心监测到,一种采用“映像劫持”技术的病毒正在互联网上大肆流窜,其特征为:病毒运行后,会产生一个由数字和字母随机组成的8位名称的病毒进程,并且尝试关闭多款杀毒软件、防火墙和安全工具进程,使杀毒操作极其困难。目前,金山反病毒中心将该病毒统称为“AV终结者”,瑞星反病毒中心将该病毒称为“帕虫”,江民反病毒中心将该病毒称为“U盘寄生虫”(本文都将其称为“AV终结者”)。截止到昨天,其变种数已达500多个,波及人群超过10万人。
★病毒发作时
四步可使电脑彻底崩溃
据了解,6月8日,金山毒霸发布紧急预警,“AV终结者”病毒导致大量安全软件无法正常使用,用户系统安全面临严峻威胁;短短三天之后,6月12日,“AV终结者”危害行为变得更加恶劣,杀毒软件被禁用,反病毒网站无法打开,安全模式遭破坏,格式化系统盘后病毒仍无法清除,用户电脑的安全性被大大降低,电脑内的重要信息、机密文件、网络财产等面临严峻威胁。
金山毒霸反病毒专家戴光剑表示,“AV终结者”集目前最流行的病毒技术于一身,而且破坏过程经过了严密的“策划”,普通用户一旦感染该病毒,从病毒进入电脑,到实施破坏,四步就可导致用户电脑彻底崩溃:
1.禁用所有杀毒软件及相关安全工具,让电脑失去安全保障;
2.破坏安全模式,致使用户根本无法进入安全模式清除病毒;
3.强行关闭带有病毒字样的网页,只要在网页中输入“病毒”相关字样,网页遂被强行关闭,即使是一些安全论坛也无法登录,用户无法通过网络寻求解决办法;
4.格式化系统盘重装后很容易被再次感染。
用户格式化后,只要双击其他盘符,病毒将再次运行。
此外,经过“AV终结者”的精心“策划”,用户电脑的安全防御体系被彻底摧毁,安全性几乎为零,而“AV终结者”并未就此罢手,自动连接到拥有病毒的网站,并自动下载数百种木马病毒,各类盗号木马、广告木马、风险程序用户电脑毫无抵抗力的情况下,鱼贯而来,用户的网银、网游、QQ账号密码以及机密文件都处于极度危险之中。因此提醒电脑用户目前使用电脑需慎之又慎。
★感染病毒之后
常用杀毒软件无法查杀
同时,记者从瑞星反病毒中心了解到,瑞星反病毒中心目前暂将该病毒称为“帕虫”病毒。据瑞星反病毒中心表示:“该病毒采用了多种技术手段来保护自身不被清除,例如,它会终结几十种常用的杀毒软件,如果用户使用google、百度等搜索引擎搜索‘病毒’,浏览器也会被病毒强制关闭,使得用户无法取得相关信息。尤为恶劣的是,该病毒还采用了IFEO劫持(windows文件映像劫持)技术,修改注册表,使QQ医生、360安全卫士等几十种常用软件无法正常运行,从而使得用户很难手工清除该病毒。”
此外,据瑞星反病毒专家介绍:“该病毒通过映像劫持技术,将大量杀毒软件‘绑架’,使其无法正常应用,而用户在点击相关安全软件后,实际上已经运行了病毒文件,实现病毒的“先劫持后掉包”的计划。该病毒不但可以劫持大量杀毒软件以及安全工具,而且还可禁止Windows的自更新和系统自带的防火墙,大大降低了用户系统的安全性,这也是近几年来对用户的系统安全破坏程度最大的一个病毒之一。而且该病毒还会在每个磁盘分区上建立自动运行文件(包括U盘),从而使得通过U盘传播的概率大大增加。同时,由于每个分区上都有病毒留下的文件,普通用户即使格式化C盘重装系统,也无法彻底清除该病毒。”
参考资料:http://hi.baidu.com/2007%C4%EA%BB%E1%BC%C6%B4%D3%D2%B5%B3%C9%BC%A8%5F%B2%E9%D1%AF
回答者:资源4号 - 试用期 一级 6-13 11:48
您觉得最佳答案好不好? 目前有 13 个人评价
84% (11)
15% (2)
对最佳答案的评论
http://post.baidu.com/f?kz=213385848
评论者: 蓝翼勾勒 - 经理 四级
其他回答共 9 条
http://zhuansha.duba.net/259.shtml
回答者:iq588 - 助理 三级 6-13 11:48
AV终结者分析报告及专杀工具下载2007-06-09 16:45这个病毒就是有网友提到的8位随机文件名的病毒程序。该病毒利用了IFEO重定向劫持技术,使大量的杀毒软件和安全相关工具无法运行;会破坏安全模式,使中毒用户无法在安全模式下查杀病毒;会下载大量病毒到用户计算机来盗取用户有价值的信息和某些帐号;能通过可移动存储介质传播;病毒还会关闭windows安全中心和windows防火墙,以降低系统安全性。
以下是详细分析报告,金山毒霸已经推出了病毒专杀工具,该工具同时可以帮你修复被映像劫持的注册表,在遇到其它病毒有类似现象时,也可以使用。请访问这里下载。
1.生成文件
%programfiles%\Common Files\Microsoft Shared\MSInfo\{随机8位字母+数字名字}.dat
C:\Program Files\Common Files\Microsoft Shared\MSInfo\{随机8位字母+数字名字}.dll
%windir%\{随机8位字母+数字名字}.hlp
%windir%\Help\{随机8位字母+数字名字}.chm
也有可能生成如下文件
%sys32dir%\{随机字母}.exe
替换%sys32dir%\verclsid.exe文件
2.生成以下注册表项来达到使病毒随系统启动而启动的目的
HKEY_CLASSES_ROOT\CLSID\"随机CLSID"\\InprocServer32 "病毒文件全路径"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\"随机CLSID" "病毒文件全路径"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks "生成的随机CLSID" ""
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "随机字符串" "病毒文件全路径"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc Start dword:00000004
3.映像劫持
通过在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options下添加注册表项来进行文件映像劫持,可阻止大量安全软件及系统管理软件运行,并执行病毒体。
被劫持的软件包括:
360rpt.exe;
360Safe.exe;
360tray.exe;
adam.exe;
AgentSvr.exe;
AppSvc32.exe;
autoruns.exe;
avgrssvc.exe;
AvMonitor.exe;
avp.com;
avp.exe;
CCenter.exe;
ccSvcHst.exe;
FileDsty.exe;
FTCleanerShell.exe;
HijackThis.exe;
IceSword.exe;
iparmo.exe;
Iparmor.exe;
isPwdSvc.exe;
kabaload.exe;
KaScrScn.SCR;
KASMain.exe;
KASTask.exe;
KAV32.exe;
KAVDX.exe;
KAVPFW.exe;
KAVSetup.exe;
KAVStart.exe;
KISLnchr.exe;
KMailMon.exe;
KMFilter.exe;
KPFW32.exe;
KPFW32X.exe;
KPFWSvc.exe;
KRegEx.exe;
KRepair.COM;
KsLoader.exe;
KVCenter.kxp;
KvDetect.exe;
KvfwMcl.exe;
KVMonXP.kxp;
KVMonXP_1.kxp;
kvol.exe;
kvolself.exe;
KvReport.kxp;
KVScan.kxp;
KVSrvXP.exe;
KVStub.kxp;
kvupload.exe;
kvwsc.exe;
KvXP.kxp;
KvXP_1.kxp;
KWatch.exe;
KWatch9x.exe;
KWatchX.exe;
loaddll.exe;
MagicSet.exe;
mcconsol.exe;
mmqczj.exe;
mmsk.exe;
NAVSetup.exe;
nod32krn.exe;
nod32kui.exe;
PFW.exe;
PFWLiveUpdate.exe;
QHSET.exe;
Ras.exe;
Rav.exe;
RavMon.exe;
RavMonD.exe;
RavStub.exe;
RavTask.exe;
RegClean.exe;
rfwcfg.exe;
RfwMain.exe;
rfwProxy.exe;
rfwsrv.exe;
RsAgent.exe;
Rsaupd.exe;
runiep.exe;
safelive.exe;
scan32.exe;
shcfg32.exe;
SmartUp.exe;
SREng.exe;
symlcsvc.exe;
SysSafe.exe;
TrojanDetector.exe;
Trojanwall.exe;
TrojDie.kxp;
UIHost.exe;
UmxAgent.exe;
UmxAttachment.exe;
UmxCfg.exe;
UmxFwHlp.exe;
UmxPol.exe;
UpLive.EXE.exe;
WoptiClean.exe;
zxsweep.exe;
4.修改以下注册表,导致无法显示隐藏文件
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced Hidden dword:00000002
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL CheckedValue dword:00000000
5、修改以下服务的启动类型来禁止Windows的自更新和系统自带的防火墙。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess Start dword:00000004
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv Start dword:00000004
6.删除以下注册表项,使用户无法进入安全模式
HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKEY_CURRENT_USER\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
7.连接网络下载病毒
hxxp://www.webxxx.com/xxx.exe
8.关闭杀毒软件实时监控窗口,如瑞星、卡巴,通过自动点击"跳过"按钮来逃过查杀
9.尝试关闭包含以下关键字窗口
Anti
AgentSvr
CCenter
Rsaupd
SmartUp
FileDsty
RegClean
360tray
360safe
kabaload
safelive
KASTask
KPFW32
KPFW32X
KvXP_1
KVMonXP_1
KvReport
KvXP
KVMonXP
nter
TrojDie
avp.com
KRepair.COM
Trojan
KvNative
Virus
Filewall
Kaspersky
JiangMin
RavMonD
RavStub
RavTask
adam
cSet
PFWliveUpdate
mmqczj
Trojanwall
Ras.exe
runiep.exe
avp.exe
PFW.exe
rising
ikaka
.duba
kingsoft
木马
社区
aswBoot
...
10.注入Explorer.exe和TIMPlatform.exe反弹连接,以逃过防火墙的内墙的审核。
11.隐藏病毒进程,但是可以通过结束桌面进程显示出来
12.在硬盘分区生成文件:autorun.inf 和 随机字母+数字组成的病毒复制
回答者:yuwei7883 - 江湖豪侠 十一级 6-13 11:48
这个病毒就是有网友提到的8位随机文件名的病毒程序。该病毒利用了IFEO重定向劫持技术,使大量的杀毒软件和安全相关工具无法运行;会破坏安全模式,使中毒用户无法在安全模式下查杀病毒;会下载大量病毒到用户计算机来盗取用户有价值的信息和某些帐号;能通过可移动存储介质传播;病毒还会关闭windows安全中心和windows防火墙,以降低系统安全性。
以下是详细分析报告,金山毒霸已经推出了病毒专杀工具,该工具同时可以帮你修复被映像劫持的注册表,在遇到其它病毒有类似现象时,也可以使用。请访问这里下载。
1.生成文件
%programfiles%\Common Files\Microsoft Shared\MSInfo\{随机8位字母+数字名字}.dat
C:\Program Files\Common Files\Microsoft Shared\MSInfo\{随机8位字母+数字名字}.dll
%windir%\{随机8位字母+数字名字}.hlp
%windir%\Help\{随机8位字母+数字名字}.chm
也有可能生成如下文件
%sys32dir%\{随机字母}.exe
替换%sys32dir%\verclsid.exe文件
2.生成以下注册表项来达到使病毒随系统启动而启动的目的
HKEY_CLASSES_ROOT\CLSID\"随机CLSID"\\InprocServer32 "病毒文件全路径"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\"随机CLSID" "病毒文件全路径"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks "生成的随机CLSID" ""
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "随机字符串" "病毒文件全路径"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc Start dword:00000004
3.映像劫持
通过在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options下添加注册表项来进行文件映像劫持,可阻止大量安全软件及系统管理软件运行,并执行病毒体。
被劫持的软件包括:
360rpt.exe;
360Safe.exe;
360tray.exe;
adam.exe;
AgentSvr.exe;
AppSvc32.exe;
autoruns.exe;
avgrssvc.exe;
AvMonitor.exe;
avp.com;
avp.exe;
CCenter.exe;
ccSvcHst.exe;
FileDsty.exe;
FTCleanerShell.exe;
HijackThis.exe;
IceSword.exe;
iparmo.exe;
Iparmor.exe;
isPwdSvc.exe;
kabaload.exe;
KaScrScn.SCR;
KASMain.exe;
KASTask.exe;
KAV32.exe;
KAVDX.exe;
KAVPFW.exe;
KAVSetup.exe;
KAVStart.exe;
KISLnchr.exe;
KMailMon.exe;
KMFilter.exe;
KPFW32.exe;
KPFW32X.exe;
KPFWSvc.exe;
KRegEx.exe;
KRepair.COM;
KsLoader.exe;
KVCenter.kxp;
KvDetect.exe;
KvfwMcl.exe;
KVMonXP.kxp;
KVMonXP_1.kxp;
kvol.exe;
kvolself.exe;
KvReport.kxp;
KVScan.kxp;
KVSrvXP.exe;
KVStub.kxp;
kvupload.exe;
kvwsc.exe;
KvXP.kxp;
KvXP_1.kxp;
KWatch.exe;
KWatch9x.exe;
KWatchX.exe;
loaddll.exe;
MagicSet.exe;
mcconsol.exe;
mmqczj.exe;
mmsk.exe;
NAVSetup.exe;
nod32krn.exe;
nod32kui.exe;
PFW.exe;
PFWLiveUpdate.exe;
QHSET.exe;
Ras.exe;
Rav.exe;
RavMon.exe;
RavMonD.exe;
RavStub.exe;
RavTask.exe;
RegClean.exe;
rfwcfg.exe;
RfwMain.exe;
rfwProxy.exe;
rfwsrv.exe;
RsAgent.exe;
Rsaupd.exe;
runiep.exe;
safelive.exe;
scan32.exe;
shcfg32.exe;
SmartUp.exe;
SREng.exe;
symlcsvc.exe;
SysSafe.exe;
TrojanDetector.exe;
Trojanwall.exe;
TrojDie.kxp;
UIHost.exe;
UmxAgent.exe;
UmxAttachment.exe;
UmxCfg.exe;
UmxFwHlp.exe;
UmxPol.exe;
UpLive.EXE.exe;
WoptiClean.exe;
zxsweep.exe;
4.修改以下注册表,导致无法显示隐藏文件
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced Hidden dword:00000002
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL CheckedValue dword:00000000
5、修改以下服务的启动类型来禁止Windows的自更新和系统自带的防火墙。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess Start dword:00000004
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv Start dword:00000004
6.删除以下注册表项,使用户无法进入安全模式
HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKEY_CURRENT_USER\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
7.连接网络下载病毒
hxxp://www.webxxx.com/xxx.exe
8.关闭杀毒软件实时监控窗口,如瑞星、卡巴,通过自动点击"跳过"按钮来逃过查杀
9.尝试关闭包含以下关键字窗口
Anti
AgentSvr
CCenter
Rsaupd
SmartUp
FileDsty
RegClean
360tray
360safe
kabaload
safelive
KASTask
KPFW32
KPFW32X
KvXP_1
KVMonXP_1
KvReport
KvXP
KVMonXP
nter
TrojDie
avp.com
KRepair.COM
Trojan
KvNative
Virus
Filewall
Kaspersky
JiangMin
RavMonD
RavStub
RavTask
adam
cSet
PFWliveUpdate
mmqczj
Trojanwall
Ras.exe
runiep.exe
avp.exe
PFW.exe
rising
ikaka
.duba
kingsoft
木马
社区
aswBoot
...
10.注入Explorer.exe和TIMPlatform.exe反弹连接,以逃过防火墙的内墙的审核。
11.隐藏病毒进程,但是可以通过结束桌面进程显示出来
12.在硬盘分区生成文件:autorun.inf 和 随机字母+数字组成的病毒复制体,并修改“NoDriveTypeAutoRun”使病毒可以随可移动存储介质传播。
“AV终结者”是2007年上半年十大最流行的病毒之首。
被称为“毒王”。
中毒率为7.13%。
因为AV终结者传播速度快、范围广,甚至一些不良网站的AV专杀就已经感染了AV
因为现在很多人都用U盘来交换文件
我想知道怎么清除,专杀打不开~
为什么现在这么多人中av终结者
近日,国内各反病毒中心监测到,一种采用“映像劫持”技术的病毒正在互联网上大肆流窜,其特征为:病毒运行后,会产生一个由数字和字母随机组成的8位名称的病毒进程,并且尝试关闭多款杀毒软件、防火墙和安全工具进程,使杀毒操作极其困难。目前,金山反病毒中心将该病毒统称为“AV终结者”,瑞星反病毒中心...
中奖率1\/1700万!期期都有人中,为什么?
所以,咱们现在解决了有人怀疑彩票这件事儿,再看看,为什么期期都有人中大奖吧!不是说中大奖的机率渺茫吗?那为什么期期都有人中得呢?其实原因很简单,我们拿双色球举例子,双色球中大奖的机率是1\/1700万,也就是说,如果有一个人中大奖,那么至少有1700万人因此而没有中得大奖。可是为什么期...
我怎么感觉现在大部分人中女人比更男人有气质的多
女人和男人都对女人要求高,而男人大多只会挑剔女人要求女人。却不会要求自己
为什么现在长痘都是在人中部位
你的肝火太旺。简单的就是急躁,火气大之类的
为什么人上年纪了会人中变长下巴变短
众所周知,年纪大了人的身体会发生各种变化,其中之一就是人中的长度会变长,下巴却会变短。这是因为随着年龄的增长,我们的面部骨骼和肌肉也经历了一系列的变化。让我们从生理角度来解释这个现象。随着年龄增长,我们的骨骼会发生退化,失去一部分密度。这使得面部骨骼在支撑上有所减弱,导致人中的长度...
...个人中就有1人是乙肝病毒携带者,是不是真有这么多啊?
中国是全球乙肝病毒携带者最多的国家,据统计,大约有1.2亿人携带乙肝病毒。这个数字看似惊人,但实际上,这些人中许多可能一生都不会出现症状,因为乙肝病毒在体内可能处于潜伏状态。对于乙肝病毒携带者来说,重要的是采取预防措施,以避免病毒传播给他人。接种乙肝疫苗是预防乙肝病毒感染最有效的方法之一。
女人出轨身体有何特征?
可以用人中去观察一个女人的贞淫。如果女人的人中出现了一条长的,赤色的,像蜘蛛线一般的细线,那么这个女人出轨的可能性很大。4、鼻根上有黑线嗅觉的强弱与生殖有密切的关系。纵欲过度,会导致嗅觉退化,表现为鼻子组织松弛,反光不强。如果女性出轨的话,在鼻根部位,有一条黑线连住左右眼。相学认为,...
60%人中了这6大习惯正在伤害你睫毛
睫毛长的女生一般颜值都不会太低,睫毛对于女生的颜值来说非常重要!但是,现在很多女生因为平时的习惯不好,正在悄悄地损伤自己的睫毛,自己却还不知道,睫毛一旦脱落了,要长回来可就需要一段时间了...下面让睫毛受伤的 6 个坏习惯,绝对要改正!1. 睫毛营养不良 我们日常生活中,睫毛在每天反复的被...
我经常上火,现在又上火了,每次都是人中那里溃烂,怎么办啊?
我想知道你是不是经常性的这样,还是秋冬发病比春夏要多呢?如果是这样的话那你应该多喝水,要补充维生素12。秋冬比较干燥皮肤难免会起白皮子,在一个跟熬夜也有关睡眠要好。如果你要是不分季节性的经常发作的话我劝你到不如去以下医院化验一下血。《只供参考》...
...个人中就有1人是乙肝病毒携带者,是不是真有这么多啊?
是的 我国乙肝携带者1.2亿人口 没什么吓人的。平时小心点就行了,打上疫苗没什么可担心的。
池邱左旋: 看是不是这个症状: 病毒运行后会在c:\program files\common files\microsoft shared\msinfo\下释放一个由8个数字和字母组合文件名的dll 和一个同名的dat 文件.它还会将自身复制到各个分区根目录下,以通过优盘传播.该病毒会删除掉注册表...
雷山县19279563485: AV终结者 是......? - ?
池邱左旋: 症状: 病毒运行后会在c:\program files\common files\microsoft shared\msinfo\下释放一个由8个数字和字母组合文件名的dll 和一个同名的dat 文件.它还会将自身复制到各个分区根目录下,以通过优盘传播.该病毒会删除掉注册表中安全模式的...
雷山县19279563485: 貌似是中了av终结者一类的病毒该怎么办啊?
池邱左旋: 编辑本段病毒解决方案 方法一: 因为这个病毒会攻击杀毒软件,已经中毒的电脑杀毒软件没法正常启动,双击没反应,因而这时无法用杀毒软件来清除;利用手动解决也相当困难,并且,AV终结者是一批病毒,不能简单的通过分析报告来人工...
雷山县19279563485: 不会是中了AV终结者吧? - ?
池邱左旋: 不是AV终结者,如果是的话你的瑞星根本打不开的,建议你重新安装瑞星,当然前提是你的瑞星是正版的才可以
雷山县19279563485: 中了AV终结者?
池邱左旋: 专杀地址:http://zhuansha.duba.net/259.shtml (下面第4步必看) (注:据网友反映,须多扫描几次,一次肯定不够)-非常重要 如果无法自己从上面下载专杀,请按下面方法做: 第1步:用朋友电脑登陆上面网址下载专杀工具 第2步:在朋友电脑上开启安全卫士(www.360safe.com)保护下u盘免疫,避免朋友电脑被感染,再用u盘或移动硬盘拷到你电脑上. 第3步:执行AV终结者专杀工具,清除已知的病毒,修复被破坏的系统配置. 第4步:不要立即重启电脑,请先启动杀毒软件,升级最新病毒库,进行全盘扫描.以清除木马下载器下载的其它病毒.
雷山县19279563485: 有关于AV终结者的问题 - ?
池邱左旋: 很不幸,你中的是av终结者2010这个变态的病毒,杀毒软件运行直接被删除了,这个病毒会修改系统文件,而且主流杀软消失,杀毒软件,网盾、急救箱、各类专杀 无法安装,运行直接被删. 【处理方案:】 1.点击这里下载av终结者2010专杀...
雷山县19279563485: 中了AV终结者????
池邱左旋: 你中了AV终结者病毒,很麻烦,这种病毒很猛 去下载一个专杀工具 http://zhuansha.duba.net/259.shtml,一定要4.2版本的,低的版本不行 不过估计你的网页也打不开,去别的电脑下载一个过来. 第2步:在正常的电脑上禁止自动播放功能,避...
雷山县19279563485: 电脑病毒AV终结者 - ?
池邱左旋: 这是AV终结者病毒!确实非常厉害,见所未见! 但是也没有那么恐怖,我在大约10天前就中了此病毒,当时的表现就是 1 杀毒软件打不开,2 用搜索引擎(当时只试了摆渡和谷歌)搜带有毒或杀字的内容一概自动关闭,3 各种弹出广告频繁跳...
雷山县19279563485: 中了av终结者 - ?
池邱左旋: 这是我以前中了后总结的一篇日志,有我的东西,也有别人总结的东西.在我空间里,希望对你有用~~AV终结者病毒特征 *****病毒运行后在系统中有着几个文件: 一:c:\programefiles\commonfiles\microsoftshared\msinfo\随机生成病毒名.dat ...
雷山县19279563485: 电脑到底是不是中了AV终结者?还是别的变种病毒?
池邱左旋: 关于和杀毒的有关的网站都打不开,这个现象条件说明了/你中的是AV终结者 解决方法只有一个,所有盘,格式化后做系统...........
