|
专家谈手工查杀AV终结者病毒详解(1) “AV终结者”病毒泛滥成灾,身边不断有朋友的电脑倒在“AV终结者”的刀下,毒霸终结者专杀工具也更新到了3.8版。从昨天论坛的反馈看,效果比以前的版本好用多了。但是,我们现在面对的敌人不再是散兵游勇,而是一群分工合作的病毒生产、传播、盗号工作室,其从业人数可能比杀毒软件公司更多。专杀工具,仍是不能保证对付未来的“AV终结者的”。
本文想介绍一下我处理这类病毒的经验,希望对学技术有兴趣的朋友有所帮助。本例并未针对真实的病毒操作,只给出相关工具的用法。
1.需要准备的工具软件
“AV终结者”病毒专杀,autoruns,冰刃,process eXPlorer。
2.运行毒霸的AV终结者专杀工具
修复被破坏的安全模式、修复映像劫持、修复隐藏文件夹不能显示等病毒做的手脚,可以清除已知的AV终结者病毒,是手工清除病毒首选工具。
这时,你很可能还会发现杀毒软件、冰刃、Sreng等都无法正常运行。这是因为病毒还会检查当前活动窗口是否有杀毒、木马等病毒想关闭的关键字。
3.使用Autoruns
注意一定要选中隐藏MS签名认证的项目,不然要累死
然后注意检查autoruns的每一页,比如在explorer页可能发现AV终结者的DLL,这样,即使你启动到安全模式,病毒也照样执行。接下来,该用Process Explorer了。
4.使用Process Explorer终止病毒线程
根据Autoruns的提示可以顺利找到相关线程,立即将病毒线程暂停。方法是在系统进程点右键,再点击Properties。
然后,在弹出的窗口中选择线程。找到对应的木马线程,将其暂停或结束,推荐暂停,因为有时你停止后,木马的其他进程会尝试重启,而暂停就不会了。
5.使用冰刃
强行删除木马程序,很多人注意到冰刃的进程管理,但没注意到文件管理器和注册表编辑器功能,其文件管理器可以直接操作隐藏文件,将正在运行的程序强行删除掉。
|
