本文想介紹一下我處理這類病毒的經驗,希望對學技術有興趣的朋友有所幫助。本例并未針對真實的病毒操作,只給出相關工具的用法。
1.需要準備的工具軟件
“AV終結者”病毒專殺,autoruns,冰刃,process explorer。
2.運行毒霸的AV終結者專殺工具
修復被破壞的安全模式、修復映像劫持、修復隱藏文件夾不能顯示等病毒做的手腳,可以清除已知的AV終結者病毒,是手工清除病毒首選工具。
這時,你很可能還會發現殺毒軟件、冰刃、Sreng等都無法正常運行。這是因為病毒還會檢查當前活動窗口是否有殺毒、木馬等病毒想關閉的關鍵字。
3.使用Autoruns
注意一定要選中隱藏MS簽名認證的項目,不然要累死
然后注意檢查autoruns的每一頁,比如在explorer頁可能發現AV終結者的DLL,這樣,即使你啟動到安全模式,病毒也照樣執行。接下來,該用Process Explorer了。
4.使用Process Explorer終止病毒線程
根據Autoruns的提示可以順利找到相關線程,立即將病毒線程暫停。方法是在系統進程點右鍵,再點擊Properties。
然后,在彈出的窗口中選擇線程。找到對應的木馬線程,將其暫停或結束,推薦暫停,因為有時你停止后,木馬的其他進程會嘗試重啟,而暫停就不會了。
5.使用冰刃
強行刪除木馬程序,很多人注意到冰刃的進程管理,但沒注意到文件管理器和注冊表編輯器功能,其文件管理器可以直接操作隱藏文件,將正在運行的程序強行刪除掉。
6.嘗試升級殺毒軟件
因為AV終結者病毒實際上是個木馬下載器,終結者干擾殺毒軟件運行的目的是為了下載更多木馬。使用資源管理器,進入毒霸目錄,雙擊uplive.exe升級。
建議避免使用雙擊我的電腦,雙擊某磁盤分區的方式操作,這樣會重新激活病毒。直接點擊資源管理器左邊目錄樹的+號,使用win鍵+E就直接打開了。
7.使用殺毒軟件完整掃描
你會驚訝的發現,原來中AV終結者后會中這樣多的木馬,基本以盜號木馬為主,也有灰鴿子之類的木馬。
8.修復你的殺毒軟件
在使用autoruns的過程中,有時會發現病毒刪除了殺毒軟件注冊的服務。在解決完病毒之后,你的殺毒軟件需要修復一下。否則,可能重啟電腦后,殺毒軟件的實時監控不能正常加載。
總結:
類似AV終結者的病毒,會把殺毒軟件做為攻擊的第一道關。攻擊成功后,會使用下載器下載一堆的木馬。并且,看完這篇文章,你已經發現這個病毒太難清除了。建議你一定要立足預防為主。堅持下面這幾條原則吧:
防毒很簡單:
1.使用金山網鏢或windows防火墻;
2.使用毒霸漏洞修復或windows update修補系統漏洞;
3.升級殺毒軟件,開啟實時監控;
4.關閉windows自動播放。