问题描述:
问题解答:
关于AV终结者
金山毒霸客户服务中心最近收到大量用户求助,用户反馈的现象大致差不多:杀毒软件不能用,想用搜索引擎去查找一些解决办法,输入杀毒,浏览器窗口就被关掉。在金山毒霸论坛,也有大量用户反应相同或类似的情况。而在珠海毒霸研发部,已经监测到此类病毒泛滥的情况。监测发现了一系列反击杀毒软件,破坏系统安全模式,植入木马下载器的病毒。并将这一类病毒命名为“AV终结者”,AV终结者指的是一批具备以下破坏性的病毒、木马和蠕虫。
病毒现象
1. 生成很多8位数字或字母随机命名的病毒程序文件,并在电脑开机时自动运行。
2. 绑架安全软件,中毒后会发现几乎所有杀毒软件,系统管理工具,反间谍软件不能正常启动。即使手动删除了病毒程序,下次启动这些软件时,还会报错。
3. 不能正常显示隐藏文件,其目的是更好的隐藏自身不被发现。
4. 禁用windows自动更新和Windows防火墙,这样木马下载器工作时,就不会有任何提示窗口弹出来。为该病毒的下一步破坏打开方便之门。
5. 破坏系统安全模式,使得用户不能启动系统到安全模式来维护和修复
6. 当前活动窗口中有杀毒、安全、社区相关的关键字时,病毒会关闭这些窗口。假如你想通过浏览器搜索有关病毒的关键字,浏览器窗口会自动关闭。
7. 在本地硬盘、U盘或移动硬盘生成autorun.inf和相应的病毒程序文件,通过自动播放功能进行传播。这里要注意的是,很多用户格式化系统分区后重装,访问其它磁盘,立即再次中毒,用户会感觉这病毒格式化也不管用。
8. 病毒程序的最终目的是下载更多木马、后门程序。用户最后受损失的情况取决于这些木马和后门程序。
传播方式
1. 通过U盘、移动硬盘的自动播放功能传播
2. AV终结者最初的来源是通过大量劫持网络会话,利用网站漏洞下载传播。和前一段时间ARP攻击的病毒泛滥有关。
因为这个病毒同样会攻击金山毒霸,已经中毒的电脑会发同金山毒霸不能启动,双击没反应。利用手动解决相当困难,并且,AV终结者是一批病毒,不能简单的通过分析报告来人工删除。我们推荐的清除步骤如下:
1. 在能正常上网的电脑上登录金山毒霸网站下载AV终结者病毒专杀工具
下载地址:http://zhuansha.duba.net/259.shtml
2. 在正常的电脑上禁止自动播放功能,以避免通过插入U盘或移动硬盘而被病毒感染。禁止方法参考方案附件:
把AV终结者专杀工具从正常的电脑复制到U盘或移动硬盘上,然后再复制到中毒的电脑上。
3. 执行AV终结者专杀工具,清除已知的病毒,修复被系统配置。
(注:AV终结者专杀工具的重要功能是修复被破坏的系统,包括修复映像劫持;修复被破坏的安全模式;修复隐藏文件夹的正常显示和删除各磁盘分区的自动播放配置。)
4. 不要立即重启电脑,然后启动杀毒软件,升级病毒库,进行全盘扫描。以清除木马下载器下载的其它病毒。防范措施
因为AV终结者病毒一旦感染,清除过程相当复杂,可能不少用户就会去重装。我们建议用户不要轻易重装系统,使用我们推荐的步骤完成清除,必要时拨打客服电话,请求支持。请采取以下措施防范AV终结者病毒
1. 使用金山网镖或Windows防火墙,可有效防止网络病毒通过黑客攻击手段入侵。
2. 使用金山毒霸的漏洞修复功能或者windows update来修补系统漏洞,特别需要注意安装浏览器的最新补丁。
3. 升级杀毒软件,开启实时监控
4. 网管采取综合措施防范ARP攻击挂马事件,有关ARP攻击的解决办法,请参考附件二
5. 关闭windows的自动播放功能
附件一:关闭Windows自动播放功能
1. 使用组策略编辑器
点击开始→运行→输入gpedit.msc,打开组策略编辑器,浏览到计算机配置→管理模板→系统,在右边窗格中双击“关闭自动播放”,对话框中选择所有驱动器,确定即可。
2. 使用金山毒霸提供的禁止自动播放功能
启动毒霸主程序,工具菜单下找到综合设置,在其它设置中选中禁止U盘和硬盘的自动播放功能。
附件二:防范ARP病毒攻击
现在局域网中感染ARP 病毒的情况比较多,清理和防范都比较困难,给不少的网络管理
员造成了很多的困扰。下面就是个人在处理这个问题的一些经验,同时也在网上翻阅了不少
的参考资料。
ARP 病毒的症状:
有时候无法正常上网,有时候有好了,包括访问网上邻居也是如此,
拷贝文件无法完成,出现错误;局域网内的ARP 包爆增,使用Arp 查询的时候会发现不正
常的Mac 地址,或者是错误的Mac 地址对应,还有就是一个Mac 地址对应多个IP 的情况
也会有出现。
ARP 攻击的原理:
ARP 欺骗攻击的包一般有以下两个特点,满足之一可视为攻击包报警:第一以太网数据包头的源地址、目标地址和ARP 数据包的协议地址不匹配。或者,ARP数据包的发送和目标地址不在自己网络网卡MAC 数据库内,或者与自己网络MAC 数据库MAC/IP 不匹配。这些统统第一时间报警,查这些数据包(以太网数据包)的源地址(也有可能伪造),就大致知道那台机器在发起攻击了。现在有网络管理工具比如网络执法官、P2P 终结者也会使用同样的方式来伪装成网关,欺骗客户端对网关的访问,也就是会获取发到网关的流量,从而实现网络流量管理和网络监控等功能,同时也会对网络管理带来潜在的危害,就是可以很容易的获取用户的密码等相关信息。
处理办法:
通用的处理流程:
1 .先保证网络正常运行
方法一:编辑个***.bat 文件内容如下:
arp.exe s
**.**.**.**(网关ip) ****
**
**
**
**(
网关mac 地址)
end
让网络用户点击就可以了!
办法二:编辑一个注册表问题,键值如下:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"mac"="arp s
网关IP 地址网关Mac 地址"
然后保存成Reg 文件以后在每个客户端上点击导入注册表。
2 找到感染ARP 病毒的机器。
a:在电脑上ping 一下网关的IP 地址,然后使用ARP -a 的命令看得到的网关对应的MAC 地址是否与实际情况相符,如不符,可去查找与该MAC 地址对应的电脑。
b:使用抓包工具,分析所得到的ARP 数据报。有些ARP 病毒是会把通往网关的路径指向自己,有些是发出虚假ARP 回应包来混淆网络通信。第一种处理比较容易,第二种处理比较困难,如果杀毒软件不能正确识别病毒的话,往往需要手工查找感染病毒的电脑和手工处理病毒,比较困难。
c:使用mac 地址扫描工具,nbtscan 扫描全网段IP 地址和MAC 地址对应表,有助于判断感染ARP 病毒对应MAC 地址和IP 地址。
预防措施:
1,及时升级客户端的操作系统和应用程式补丁;
2,安装和更新杀毒软件。
4,如果网络规模较少,尽量使用手动指定IP 设置,而不是使用DHCP 来分配IP 地址。
5,如果交换机支持,在交换机上绑定MAC 地址与IP 地址。(不过这个实在不是好主意)
你打别的字游览器肯定也会关闭,不用说了,中毒了
1.中毒了
马上杀毒
在进入时按住F8用安全模式进入开始杀毒
2.如果不行你就把你的所有一用的文件放在安全的地方在重起计算机就OK
中病毒了,或者是搜索相关的杀毒软件的英文名字也会关闭,我遇到过这种情况,这个病毒是威金的变种,从新安装操作系统,不要打开其他盘,安装一个好的杀毒软件,进入安全模式下杀毒就可以了
因为你的系统中毒了。
试试下面的办法:
把以下代码保存为 XX.bat 运行即可,非常容易!
@echo off
COLOR 9F
TITLE 『U盘病毒专杀』工具制作:王辉祥 QQ:412212287
echo.
echo U盘病毒专杀 → 工具制作:王辉祥 QQ:412212287
echo 你可以登陆:www.ourhg.cn下载本杀毒工具的最新版本
echo.
echo 开始扫描。。。
pause
@rem //初始化系统目录,感染病毒数目,病毒文件库
set sm=0
set d=C D E F G H I J K L M N O P Q R S T U V W X Y Z
set f=autorun.inf autorun.exe autorun.vbs autorun.ini autorun.bat autorun.bin autorun.txt autorun.reg autorun.wsh autorun.pif u.exe u.bat u.vbs u.vbe *.sk sxs.exe rising.exe rose.exe pagefile.pif rundl132.exe rundl132.dll ravmone.exe ravmon.exe msvcr71.dl wincfgs.exe KB20060111.exe BootIO.exe oso.exe boot.exe sxs.exe moyu.exe wanmei.exe msccrt.exe winform.exe wsttrs.exe svohost.exe cmdbcs.exe msccrt.dll autoreg.exe autoupdate.exe avgamsvr.exe nslookupi.exe mailmon.exe tel.xls.exe kernel32.sys mfc48.dll java.dll system.exe sys.exe sexie.exe host.exe copy.exe toy.exe wincfgs.exe nslookupi.exe RECYCLER.exe upxdnd.exe adober.exe cn911.exe ghost.pif svohost32.exe spoclsv.exe sppoolsv.exe GameSetup.exe logo_1.exe logo1_.exe sy1.exe sy2.exe kill.exe sss.exe sxs2.exe sws.exe shsocvw.dll winlogin.exe wincfgs.exe trojan.bat autorun.b command.exe s.vbe svchsot.exe service.exe svch0st.exe exp1orer.exe expl0rer.exe virus.exe mwtkwro.exe elmiysj.exe ddtshtk.exe meex.com msimms32.exe upxdnd.exe mppds.exe ohheopr.exe fishpe.sys setuprs1.pif bsr.exe sal.xls.exe Worm.Delf.cv servtie.exe
echo.
for %%e in (%f%) do if exist %systemroot%\%%e set /a sm=sm+1 && echo 发现可疑文件:%systemroot%\%%e
for %%e in (%f%) do if exist %systemroot%\system32\%%e set /a sm=sm+1 && echo 发现可疑文件:%systemroot%\system32\%%e
for /D %%n in (%d%) do for /D %%e in (%f%) do if exist %%n:\%%e set /a sm=sm+1 && echo 发现可疑文件:%%n:\%%e
for /D %%n in (%d%) do for /D %%e in (%f%) do if exist %%n:\RECYCLER\%%e set /a sm=sm+1 && echo 发现可疑文件:%%n:\RECYCLER\%%e
for /D %%n in (%d%) do for /D %%e in (%f%) do if exist %%n:\RECYCLER\RECYCLER\%%e set /a sm=sm+1 && echo 发现可疑文件:%%n:\RECYCLER\RECYCLER\%%e
if /i %sm%==0 goto nofound
echo.
echo 扫描完成,发现%sm%个可疑文件,现在让我来干掉他们?
echo.
pause
cls && echo.
echo 正在结束可疑进程,桌面窗口暂时关闭,杀完后自动恢复,请等待!。。。
@taskkill /f /im explorer.exe
@for %%e in (%f%) do taskkill /f /im %%e >nul 2>nul
cls && echo.
echo 删除病毒开始。。。
for %%e in (%f%) do if exist %systemroot%\%%e attrib -r -a -s -h %systemroot%\%%e && del /f %systemroot%\%%e && echo 可疑文件:%systemroot%\%%e已清除!
for %%e in (%f%) do if exist %systemroot%\system32\%%e attrib -r -a -s -h %systemroot%\system32\%%e && del /f %systemroot%\system32\%%e && echo 可疑文件:%systemroot%\system32\%%e已清除!
for /D %%n in (%d%) do for /D %%e in (%f%) do if exist %%n:\%%e attrib -r -a -s -h %%n:\%%e && del /f %%n:\%%e && echo 可疑文件:%%n:\%%e已清除!
for /D %%n in (%d%) do for /D %%e in (%f%) do if exist %%n:\RECYCLER\%%e attrib -r -a -s -h %%n:\RECYCLER\%%e && del /f %%n:\RECYCLER\%%e && echo 可疑文件:%%n:\RECYCLER\%%e已清除!
for /D %%n in (%d%) do for /D %%e in (%f%) do if exist %%n:\RECYCLER\RECYCLER\%%e attrib -r -a -s -h %%n:\RECYCLER\RECYCLER\%%e && del /f %%n:\RECYCLER\RECYCLER\%%e && echo 可疑文件:%%n:\RECYCLER\RECYCLER\%%e已清除!
cls && echo.
echo 清理网上时产生的垃圾文件。。。
del /f /s /q "%userprofile%\recent\*.*"
del /f /s /q "%userprofile%\Local Settings\Tempor~1\*.*"
del /f /s /q "%userprofile%\Local Settings\Temp\*.*"
cls && echo.
echo 现在准备解决无法打开“显示所有文件和文件夹”选项和双击盘符在新窗口打开等的问题。。。
@reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL /v checkedValue /f
@reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL /v checkedValue /t REG_DWORD /d 00000001
@reg delete HKCR\Drive\shell /ve /f
@reg add HKCR\Drive\shell /ve /t REG_SZ /d none
echo.
echo 如果本程序出现“错误: 系统找不到指定的注册表项或值”表示此病毒开机启动项已删除
echo 或是出现了新变种,请在“系统配置实用程序”自行去除!
echo.
echo 开始修复注册表中的启动项。。。
@for %%e in (%f%) do @reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v %%e /f >nul 2>nul
start %systemroot%\explorer.exe
goto finished
:nofound
echo.
echo 报告老大,没有发现病毒!Exit?
pause
exit
:finished
cls && echo.
echo 恭喜,所有病毒已经清除完毕,请重新启动你的计算机!Exit?
pause
exit
中毒了,彻底杀一下