我终于战胜了“AV终结者”
本人在中了AV终结者病毒后,整理的查杀AV终结者病毒的方法及有关工具。特[attach]61201[/attach][attach]61201[/attach]与大家共享。 弄下来see see 看什么东西呀?回复 楼主 的帖子
以下是楼主附件里的内容:AV终结者/帕虫/随机8位数病毒(专杀工具下载)最佳解决方法
AV病毒、AV终结者、帕虫、随机8位数(专杀工具下载)实际为一种病毒,赶超熊猫烧香 杀软集体罢工
近日随着AV风所到之处,致使所有杀毒软件与防火墙集体放假,安全界一片混乱,据不完全统计AV终结者病毒愈行愈烈,截至6月12日时变种数量已高达500多个,一天内至少约有十万台电脑因此而中招,中招后的计算机无法打开反病毒网站,未能及时升级的杀毒软件将被病毒赶出系统,其后果不勘设想,大有越过熊猫烧香时代的疯狂。
AV终结者中毒症状
AV病毒英文全名为An-ti-virus(中文为:反病毒),其制造者意在与反病毒行业作对以显其威。此病毒以U盘与网络的传播方式为主,采用Windows映像劫持技术(又名IFEO劫持),当病毒在被感染的客户机运行时,随机产生一组字母数字随机型8位数运行进程,并依靠自身的强大威力,试行关闭计算机中安装的杀毒软件与防火墙及等第三方安全工具的系统进程,甚至连系统更新则无法运行。以达其独居深处雀占巢垒的目的,彻底使中毒计算机暴露在安全防线之外。
病毒发作流程威害
此病毒经过编写者的深层策划后,具备了惊人的破坏力,只要短短几步即可了结一台计算机,行为步法如下:
第一步、病毒将关闭计算机中的杀毒软件等工具,让其保护无门。
第二步、强力破坏安全模式让用户无法进入对其清除。
第三步、具备识别[安全]与[病毒]字符,让用户无法通过互联网查杀。(包含通过百度、谷歌等搜索引擎)
当用户感到走投无路格盘重装或运行ghost恢复后,AV病毒会快速在各分区上建立自运行文件(含第三方移动存储设备),轻易复苏在其它盘符目录中,实现掉包诡计击退杀软。被感染者只要双击各盘符,将立即召出病毒东山再起,醒来的AV病毒会自动连接网络中病毒网站,自动下载各式同门木马病毒,极度盗窃被感染计算机中的各式密码与重要资料。
三大杀毒厂商
就在病毒疯狂的同时,瑞星、江民、金山毒霸在第一时间各自捕获了其病毒轨迹,三家分别将其命名为[帕虫]、[随机8位数]及本文中的[AV终结者],并在第一时间推出了各自的杀法升级病毒库,呼吁所有反病毒厂商对该病毒进行联合围杀。
快速解决方法
一、先关闭windows自动播放功能,依次点击开始-运行-输入gpedit.msc,打开组策略编辑器,查找计算机配置→管理模板→系统,在右边窗格中双击“关闭自动播放”,对话框中选择所有驱动器,确定即可。
二、执行AV终结者病毒专杀工具
AV终结者病毒专杀工具
适用平台: WinXP 更新版本:v3.7
工具大小: 309 KB
工具说明: 彻底清除AV终结者病毒
下载地址: [url]http://www.reizz.net/bbs/viewthread.php?tid=2512&extra=page%3D1[/url]
三、瑞星的橙色八月专用提取清除工具
橙色八月专用提取清除工具
软件版本: 1.5.0.2
软件大小: 428KB
应用平台: Windows
发布公司: 瑞星公司
下载地址: [url]http://www.reizz.net/bbs/viewthread.php?tid=2137&extra=page%3D1[/url]
三、杀完后在不重启的情况下,启动杀软升级并进行全盘扫描 ,提高各式防火墙的安全级别。
后记:针对此病毒江民只更新了杀毒软件病毒库特征并提醒广大网民在计算机中打入MS06-014和MS07-17补丁,提醒网民们慎重对待此病毒,做好一级防卫准备提高警觉,将此病毒在火势前扼杀在荒芜之地。
特别备注:
1、中毒后进入不了安全模式怎么办?
解决详见:中毒后无法进入安全模式的解决
2、出现双击打不开硬盘分区驱动器盘符怎么办?
解决详见:请大家务必注意【autorun病毒】它导致硬盘盘符无法打开或者无法进入安全模式
3、同时敬请关注:微软发布6月补丁 修复15个安全漏洞
4、本站建议:现在就免费下载并安装最新版本的Firefox浏览器,送自己一份安全网上冲浪礼物!
5、养成良好的上网习惯,尤其注意U盘等移动存储质介的安全使用!密切注意及时更新杀毒软件病毒升级库!及时为您的系统打上安全补丁!
“帕虫”"AV终结者”查杀建议
2007-7-20 00:08:13 [url]http://www.newjian.com/jisuanjibingdu/2007/0720/204.html[/url]
最近“帕虫”(瑞星命名),AV终结者(金山命名)U盘寄生虫(江民命名)疯狂传播
主要症状是 打不开杀毒软件,防火墙,以及某些杀毒辅助的小工具,打不开带有“杀毒”“反病毒”等字样的窗口。安全模式被破坏,不能显示隐藏文件,下载木马.....等
其实这些病毒就是我们所称的随机7位字母,8位数字和字母组合的病毒
主要通过U盘等移动存储传播
一、手动查杀方法
首先应该判断你是属于哪种情况
方法:打开任务管理器 查找类似不规则的7位字母(两个)的进程(需要熟悉计算机常见进程)
可以被排除的常见进程如下:taskmgr.exe,explorer.exe,svchost.exe(多个),lsass.exe,services.exe,winlogon.exe,iexplore.exe,smss.exe..
如果发现了两个不规则的7位字母的进程 那么你就中了那个7位随机字母的病毒
可以参考如下文章
[url]http://hi.baidu.com/%B9%C2%B6%C0%B8%FC%BF%C9%BF%BF/blog/item/c7ff5731702b4718ebc4afd9.html[/url]
[url]http://hi.baidu.com/%B9%C2%B6%C0%B8%FC%BF%C9%BF%BF/blog/item/512e9d1b2ccc1a188618bfb8.html[/url] 字串6
[url]http://hi.baidu.com/%B9%C2%B6%C0%B8%FC%BF%C9%BF%BF/blog/item/40043130296b7798a9018eea.html[/url]
[url]http://hi.baidu.com/%B9%C2%B6%C0%B8%FC%BF%C9%BF%BF/blog/item/67186ca74e1b0e94d1435802.html[/url]
[url]http://hi.baidu.com/%B9%C2%B6%C0%B8%FC%BF%C9%BF%BF/blog/item/5991e5ef9a17b737acafd539.html[/url]
[url]http://hi.baidu.com/newcenturysun/blog/item/683c772707ab2c02918f9dc9.html[/url]
[url]http://hi.baidu.com/newcenturysun/blog/item/db3da71be85d3e188618bf5a.html[/url]
如果没有发现两个不规则的7位字母的进程 你就可能中了那个8位随机字母数字组合的病毒
可以参考如下文章
[url]http://hi.baidu.com/newcenturysun/blog/item/2ad3d7cedcea3c0292457e2c.html[/url]
[url]http://hi.baidu.com/newcenturysun/blog/item/76c1e41ffb59c4f4e0fe0bc6.html[/url]
[url]http://hi.baidu.com/newcenturysun/blog/item/3f7b424e42983908b3de0596.html[/url]
[url]http://hi.baidu.com/%B9%C2%B6%C0%B8%FC%BF%C9%BF%BF/blog/item/4f43b02fa60ec3391f308921.html[/url]
[url]http://hi.baidu.com/%B9%C2%B6%C0%B8%FC%BF%C9%BF%BF/blog/item/ff17fa07495a3ccc7b8947ba.html[/url]
[url]http://hi.baidu.com/%B9%C2%B6%C0%B8%FC%BF%C9%BF%BF/blog/item/c14b171206b97850f819b885.html[/url] 字串7
[url]http://hi.baidu.com/%B9%C2%B6%C0%B8%FC%BF%C9%BF%BF/blog/item/230a82af1f6619cd7cd92a9d.html[/url]
使用金山毒霸的用户可以参考:[url]http://hi.baidu.com/litiejun/blog/item/479cdaed7d4ff84e78f055f0.html[/url]
综合查杀方法:[url]http://hi.baidu.com/litiejun/blog/item/479cdaed7d4ff84e78f055f0.html[/url]
二、专杀查杀
瑞星橙色八月专杀
下载地址[url]http://download.rising.com.cn/zsgj/orangeaug.com[/url]
金山AV终结者专杀(推荐使用,效果不错)
[url]http://down.[url]www.kingsoft.com/db/download/othertools/DubaTool_AV_Killer2.COM[/url][/url]
[url]http://duba-011.duba.net/duba/kavtools/DubaTool_AV_Killer2.COM[/url]
[url]http://down.[url]www.kingsoft.com/db/download/othertools/DubaTool_AV_Killer2.COM[/url][/url]
江民社区专杀(民间版)
【06-22更新】随机七、八位数病毒专杀!轻松解决!(需注册)
[url]http://forum.jiangmin.com/dispbbs.asp?boardID=2&ID=489462&page=1[/url]
安天实验室专杀(官方版)
[url]http://www.antiy.com/download/AVLPK.BAT[/url]
在使用专杀杀毒后我们还需要作一些后续的恢复系统的工作
一般恢复系统工作步骤如下
1.恢复IFEO 映像劫持
可以使用autoruns这个软件 [url]http://www.skycn.com/soft/17567.html[/url]
由于这个软件也被映像劫持了 所以我们要把他改个名字
打开这个软件后 找到Image hijack (映像劫持)
删除除了Your Image File Name Here without a pathSymbolic Debugger for Windows 2000 Microsoft Corporation c:\windows\system32\ntsd.exe 以外的所有项目
也可以使用空指针的IFEO映像劫持修复工具
[url]http://www.mopery.cn/mopery/IFEO[/url]重定向劫持修复工具.exe
2.恢复显示隐藏文件
把下面的 代码拷入记事本中然后另存为1.reg文件
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
字串5
Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"
双击1.reg把这个注册表项导入
3.恢复安全模式
下载sreng
[url]http://www.kztechs.com/sreng/download.html[/url]
打开sreng
系统修复 高级修复 点击修复安全模式 在弹出的对话框中点击是
4..最后也是最重要的 就是删除各个分区下面的autorun.inf和7位或者8位随机数字母的exe
注意:一定不要双击 也不能右键打开 一定用winrar删除
对于下载的木马我们需要用杀毒软件全盘杀毒或者到论坛求助
希望大家能够针对自己的情况参考如上所述的专杀和手工查杀方法顺利干掉可恶的病毒!
回复 楼主 的帖子
教你手动清除AV终结者 [转自霏凡]现在我给大家一个手动杀毒的思路,并且以"永久下载者"为例教大家怎样手动清除病毒.
事实上AV终结者并不是指某一个特定的病毒,其本身也没有远程控制和盗号的功能.AV终结者的作用就是下载一个或几个指定网址的木马,但AV终结者给自已设定许多保护措施,它会关闭大多数杀毒软件和杀毒辅助软件,并且在各个分区生成autorun.inf以及写入注册表,生成映像劫持等等.
"永久下载者"就是AV终结者中比较典型的一种,上面提过AV终结者并不是指某一特定的病毒,所以这里只能提供手动杀毒思路,完全按照我的杀毒步骤并不一定就能完全清除.所以这个教程适合对电脑比较了解的人.在文章最后我也会给出比较适合初学者的只格C盘重装系统不会马上再中毒的方法.
好,下面开始动手.
工欲善其事,必先利其器.所以,先准备一下会用到的三个杀毒辅助软件
1.Icesword II 1.20(冰刃)
下载地址:[url]http://www.crsky.com/soft/6947.html[/url]
2.Autoruns
下载地址:[url]http://www.crsky.com/soft/5285.html[/url]
3.SREng
下载地址:[url]http://www.kztechs.com/sreng/download.html[/url]
对于这个病毒,Icesword和Autoruns是主力,原因在后面会提到.
如果在中毒期间曾使用过闪盘移动硬盘之类的,最好接上一起杀,免得刚杀完一插闪盘又中毒.
一 先把这三个软件改名,名字改为无规则的就行了.比如我这里,Icesword改为ii.exe,Autoruns改名为aa.exe,SREng改名为ss.exe
很多人都说中了这个病毒上面的三个软件都打不开,原因是病毒对常用杀毒软件和杀毒辅助软件进行了映像劫持,运行这些软件不改名的话,就等于执行了病毒文件.我们可以先运行Autoruns(已经改名为aa.exe了,下面我只提软件名字,不再提示是改名前的名字了).
常见杀毒软件和辅助软件的名字基本都在这儿了.只要你运行和这个列表里名字相同的软件,就会自动转向运行病毒文件.
二 运行Icesword,寻找病毒进程,永久下载者有两个进程,互相保护,使用Windows的任务管理器是关不掉它的进程的.所以这里要求是对电脑较了解的人,要不然不知道病毒进程是哪些.因为AV终结者有很多类型,所以需要自已判断哪些是病毒进程.
找到病毒进程,首先记下后面病毒的路径.按住Ctrl把两个进程都选上,点右键结束进程,因为两个进程同时关闭,所以病毒的进程保护就不起作用了.刷新几次,看看有没有新的病毒进程,如果没有,就可以进行下一步了.
三 点Icesword左侧的"文件",找到上面记下的路径里的两件文件,删除.然后找到C:\D:\E:\等各个分区根目录下的autorun.inf和*****.exe,*****.exe就是autorun.inf里面写着的程序名,我这里是epijcxh.exe.
现在AV终结者病毒对Autorun.inf文件进行了改进,右键不会出现Auto的字样,双击也可以进入分区,但不管右键点打开进入还是双击进入,都会运行病毒文件,这就是许多人只格C盘重装后马上又中毒的原因.要删除这几个文件必须要用第三方的软件,比如Winrar,Icesword,Totalcmd等资源管理器软件,或者Windows的cmd命令行,否则进入分区后就运行了病毒程序,前面的所做的一切都要重新来一遍.
注意:删除了Autorun.inf和*****.exe之后,不管右键还是双击都进不去这个分区了,如果想找到某个文件或运行某个程序,可以直接在地址栏中输入 c: 或 d: 等等然后回车来进入这个分区
四 现在轮到Autoruns出场了,运行Autoruns,点"用户登录",找到病毒写入注册表的启动命令.点右键删除这两个.后面显示的是"未找到文件",因为我们刚才在Icesword里面已经把这两件文件删除了.
然后再点映像劫持,把除了最后的Your Image File Name Here without a path c:\windows\system32\ntsd.exe之外的全都删除,累啊,这么多....删完后应该是这样的,如图6.
到此,AV终结者病毒基本已经清除了.但是....呵呵,一听到但是,就知道还没完.因为我们仅仅清除了AV终结者,AV终结者所下载下来的木马我们还没有杀.大家都注意到了图3中红色的iexplorer进程了吧,这就是AV终结者下载下来的灰鸽子木马进程.Icesword可以发现隐藏进程并用红色表示,在Windows任务管理器下是看不到这个进程的.一般情况下这种红色进程都不是什么好鸟~
文章开始已经说了AV终结者有很多类型,并不是每一种都像"永久下载者"这样只写入注册表启动项.所以SREng这时候就派上用场了,使用SREng扫描,把注册表启动项,服务,驱动这些都检测一遍,结合Icesword可以一起把木马也清除掉.因为SREng的使用需要对电脑的服务项和驱动项都比较了解,电脑初学者可以使用SREng的智能扫描扫一个报告发到一些大论坛上请高手指导你哪些要删.这里我就不详细演示怎么手动杀掉灰鸽子了,使用SREng和Icesword很容易就可以清除掉.
中毒后无法进入安全模式的解决
重点步骤如下:1、首先建立一个文本文档txt
2、复制粘贴下面的代码(蓝色字体部分)
3、保存后把.txt改成.reg
4、双击运行,重启
应该就能进入安全模式了
==========复制以下内容========
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot]
"AlternateShell"="cmd.exe"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\AppMgmt]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Base]
@="Driver Group"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Boot Bus Extender]
@="Driver Group"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Boot file system]
@="Driver Group"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\CryptSvc]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\DcomLaunch]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmadmin]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmboot.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmio.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmload.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmserver]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\EventLog]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\File system]
@="Driver Group"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Filter]
@="Driver Group"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\HelpSvc]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Netlogon]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PCI Configuration]
@="Driver Group"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PlugPlay]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PNP Filter]
@="Driver Group"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Primary disk]
@="Driver Group"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\RpcSs]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SCSI Class]
@="Driver Group"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sermouse.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sr.sys]
@="FSFilter System Recovery"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SRService]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\System Bus Extender]
@="Driver Group"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vds]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vga.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vgasave.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinMgmt]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{36FC9E60-C465-11CF-8056-444553540000}]
@="Universal Serial Bus controllers"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E965-E325-11CE-BFC1-08002BE10318}]
@="CD-ROM Drive"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}]
@="DiskDrive"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E969-E325-11CE-BFC1-08002BE10318}]
@="Standard floppy disk controller"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96A-E325-11CE-BFC1-08002BE10318}]
@="Hdc"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96B-E325-11CE-BFC1-08002BE10318}]
@="Keyboard"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96F-E325-11CE-BFC1-08002BE10318}]
@="Mouse"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E977-E325-11CE-BFC1-08002BE10318}]
@="PCMCIA Adapters"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E97B-E325-11CE-BFC1-08002BE10318}]
@="SCSIAdapter"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E97D-E325-11CE-BFC1-08002BE10318}]
@="System"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E980-E325-11CE-BFC1-08002BE10318}]
@="Floppy disk drive"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{533C5B84-EC70-11D2-9505-00C04F79DEAF}]
@="Volume shadow copy"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{71A27CDD-812A-11D0-BEC7-08002BE2092F}]
@="Volume"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{745A17A0-74D3-11D0-B6FE-00A0C90F57DA}]
@="Human Interface Devices"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\AFD]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\AppMgmt]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Base]
@="Driver Group"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Boot Bus Extender]
@="Driver Group"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Boot file system]
@="Driver Group"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Browser]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\CryptSvc]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\DcomLaunch]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Dhcp]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\dmadmin]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\dmboot.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\dmio.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\dmload.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\dmserver]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\DnsCache]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\EventLog]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\File system]
@="Driver Group"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Filter]
@="Driver Group"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\HelpSvc]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\ip6fw.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\ipnat.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\LanmanServer]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\LanmanWorkstation]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\LmHosts]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Messenger]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NDIS]
@="Driver Group"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NDIS Wrapper]
@="Driver Group"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Ndisuio]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetBIOS]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetBIOSGroup]
@="Driver Group"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetBT]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetDDEGroup]
@="Driver Group"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Netlogon]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetMan]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Network]
@="Driver Group"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetworkProvider]
@="Driver Group"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NtLmSsp]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PCI Configuration]
@="Driver Group"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PlugPlay]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PNP Filter]
@="Driver Group"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PNP_TDI]
@="Driver Group"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Primary disk]
@="Driver Group"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\rdpcdd.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\rdpdd.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\rdpwd.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\rdsessmgr]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\RpcSs]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\SCSI Class]
@="Driver Group"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\sermouse.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\sharedaccess]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\sr.sys]
@="FSFilter System Recovery"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\SRService]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Streams Drivers]
@="Driver Group"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\System Bus Extender]
@="Driver Group"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Tcpip]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\TDI]
@="Driver Group"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\tdpipe.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\tdtcp.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\termservice]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\UploadMgr]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\vga.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\vgasave.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\WinMgmt]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\WZCSVC]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{36FC9E60-C465-11CF-8056-444553540000}]
@="Universal Serial Bus controllers"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E965-E325-11CE-BFC1-08002BE10318}]
@="CD-ROM Drive"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}]
@="DiskDrive"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E969-E325-11CE-BFC1-08002BE10318}]
@="Standard floppy disk controller"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E96A-E325-11CE-BFC1-08002BE10318}]
@="Hdc"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E96B-E325-11CE-BFC1-08002BE10318}]
@="Keyboard"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E96F-E325-11CE-BFC1-08002BE10318}]
@="Mouse"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}]
@="Net"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E973-E325-11CE-BFC1-08002BE10318}]
@="NetClient"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E974-E325-11CE-BFC1-08002BE10318}]
@="NetService"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E975-E325-11CE-BFC1-08002BE10318}]
@="NetTrans"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E977-E325-11CE-BFC1-08002BE10318}]
@="PCMCIA Adapters"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E97B-E325-11CE-BFC1-08002BE10318}]
@="SCSIAdapter"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E97D-E325-11CE-BFC1-08002BE10318}]
@="System"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E980-E325-11CE-BFC1-08002BE10318}]
@="Floppy disk drive"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{71A27CDD-812A-11D0-BEC7-08002BE2092F}]
@="Volume"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{745A17A0-74D3-11D0-B6FE-00A0C90F57DA}]
@="Human Interface Devices"
================复制以上内容============
复制两行等号间的蓝色字体部分内容到记事本,另存为safebootxp.reg后,运行即为安全模式的注册表修复行为.
适用于winxp.
以上方法提示失败的话(一般就是禁止了注册表编辑),请按以下步骤操作:
进入正常模式,开始菜单-运行-输入“gpedit.msc”点确定(输入时请不要输入引号)。打开“组策略”窗口后在“本地计算机策略”窗口中依次找到“用户配置→管理模板→系统”,在右边的设置窗口中双击-“阻止访问注册表编辑工具”,打开其属性对话框,并在设置中点选“已禁用”,然后“应用”并“确定”;再次运行safeboot_winxp.reg(上文编辑的文件)即可。
回复 楼主 的帖子
AV终结者,八位数字病毒 (IFEO映象劫持的病毒)清除+修复工具最近带有IFEO映象劫持的病毒..下载地址:[url]http://www.mopery.cn/mopery/IFEO[/url]重定向劫持修复工具.exe
然后再执行下面
第1步: 下载金山的"“AV终结者”木马专杀工具"
地址:[url]http://zhuansha.duba.net/259.shtml[/url]
“AV终结者”木马专杀工具
如果下载之后本机运行不了,请在网上邻居里共享运行
第2步: 下载[url]http://www.codeqq.com/updatefiles/2006-10-28/20061028_211132.rar[/url]
这里面有两个文件:"Anti-Rose-v1.1"和"开启关闭自动播放工具"
上面链接失效的话,大家也可以在其它地方找!
运行“开启关闭自动播放工具”:会自动进入dos 按0关闭autorun
*:这是关闭自动运行文件antorun.inf 防止病毒自动运行
第3步: 运行anti-rose-v1.1 修复所有被感染的文件!
打开“任务管理器”eleicnd.exe和asgwmne.exe是不是没有了
4步:双击所有盘符,会弹出对话框!
重新打开“开启关闭自动播放工具“按1打开antorun
重新运行:"“AV终结者”anti-rose-v1.1
重新启动计算机 ,修复杀毒软件
【autorun病毒】它导致硬盘盘符无法打开或者无法进入安全模式
近期很多网友电脑中毒现象,除了大家已经熟悉的帕虫病毒、AV终结者病毒等等外,其实跟在它们身后还有一个罪大恶极的病毒在作怪,这就是autorun 病毒
【病毒症状】除系统盘外,其它盘鼠标左键双击打不开,右键单击打开菜单会出现一个OPEN的选项。每个盘都有两个这样右键出现auto怎么办的文件:autorun.inf 和 sxs.exe,当然可能有些人并不是sxs.exe,而是以其它命名的*.exe的文件。
【说明】它是rose病毒的变种, rose病毒症状:双击盘符无法打开,只能通过右键打开;几天之后删除系统NTDETECT.COM文件,导致系统无法启动。 此毒不除,电脑玩完。一般的杀毒软件基本只能查出来,但是都杀不了。
【传播途径】U盘、MP3、移动硬盘
【依赖系统】Win9x / 2000 / XP / NT
【解决建议】网上也讲了许多方法,其中有两种方法比较普遍:注册表右键auto病毒专杀法和专杀工具法。注册表法由于过于复杂,所以建议对注册表知之甚少的朋友少用,搞不好毒杀不掉,反倒把自己的系统搞跨,实在不值得。
这里,我们转了一篇文章特别对此病毒进行说明,主要目标在于帮助您通过图文相结合的方式,更加直观地了解该病毒(注:该文中所附图片只用注册用户才可见)。
而关于该病毒的查杀,则可直接到本论坛《AutoRun病毒清除工具下载 》一贴中免费下载专杀工具即可。
近来电脑中毒的情况很严重,只要就是由mp3、手机内存卡、U盘传播引起的,什么熊猫烧香之类的。只要是在已中毒的电脑上传染的,很多电脑都没装杀毒软件、或杀不到毒的杀毒软件。有些人以为重装了系统就没事了,其实很多都是重装好之后,进入系统,打开磁盘后,又马上中毒了,还是同样的毒。这只要是中了那些病毒之后,电脑的每个盘都会中同样的毒,一般都是两个,而且平常是看不到的,因为属性给设置成了“隐藏”。
检查的方法:检查这类病毒的最简单的方法是:右键点击磁盘(MP3、U盘等),平时第一个是打开..如果不是打开,而是[Autorun]或自动播放、安装..之类的话,就应该是中毒了:
清理方法:如果有好的杀毒软件的话,应该会自己检测到,并且杀毒。
没有的话就用手动,这样比杀毒软件更好。
1.就是要把隐藏的病毒文件显示出来,然后删除它们!
打开“我的电脑”--“工具(T)”--“文件夹选项(O)...”
“查看”,把“隐藏受保护的操作系统文件(推荐)”的勾去掉,
选中“显示所有文件和文件夹”,确定。
2.右键打“打开”随便哪个盘,就可以看到一些隐藏的文件,如回收站、System Volume Information还原文件夹等。如果有病毒的话,要自动运行都有autorun.inf的安装信息,和一个xxx.exe的可执行文件:
一般的病毒文件要自动运行都有autorun.ini的安装信息,文本里面的内容是:
[AutoRun]
open=sxs.exe
shellexecute=sxs.exe
shell\Auto\command=sxs.exe
3.直接删掉autorun.in,xxx.exe的可执行文件,千万不要打开,如果mp3之类的是自动运行,没杀毒软件,或打开了,那就完蛋了,轻则只偷QQ密码之类的,重则系统崩溃,全部中毒。
关闭XP的“自动播放
近期一些病毒大都通过系统的“自动播放”功能,从“优盘”、“存储卡”等一些可移动媒体传播进来,所以关闭“自动播放”这个功能很重要。我将以前写的“关闭XP的'自动播放'”,转过来,希望大家养成良好的使用习惯,尽量减少病毒的传播。其它系统参考设置。
对于才接触电脑的人来说,Windows的“自动播放”功能是一个人性化的功能,而对于病毒来说,这也是一个非常好的后门和漏洞。最近,流行的一些病毒就是通过“自动播放”优盘,而潜入系统的。
用工具来关闭“自动播放”方法和软件有很多,下面我说说在没有工具软件,只有XP系统情况下如何关闭“自动播放”功能。
首先,在“开始菜单”,点击“运行”,输入“gpedit.msc”命令,调出“组策略”
然后,选择“用户配置”>“管理模版”>“系统” >“关闭自动播动”
接着,双击“关闭自动播放”,调出属性,在设置选项卡中选择“启用”,关闭自动播放列表框中,选择“所有驱动器”。
至此,关闭XP系统的“自动播放”就做好了。此外,平时养成好习惯也很重要,用优盘和存储卡时,最好先杀一遍毒,时间来不及的话,就用鼠标右键菜单打开,这样优盘带毒的话也不会运行。 看来还要多多学习下防毒方面的!以防病毒入侵!
hhhhhhhhhhhhhhhhhhhhhhhh
hhhhhhhhhhhhhhhhhhhh 学习 学习了 长见识了 下来看看 good &&^^^ 这些都知道,就是老是忘了用WINRAR来删,这回记住了... 真的不错,不枉到此一望啊! 感谢楼主。这东西确实很烦人啊回复 楼主 的帖子
谢谢lz 学习学习。。 HAOHAOAHO:lol 应该支持一下啊AV最近还是很疯狂的 学习了 长见识了
页:
[1]
2
