找回密码
 注册
搜索
热搜: 超星 读书 找书
查看: 1662|回复: 2

[【原创】] [原创]Anti Antivirus-Terminator 清理"AV终结者"个人心得

[复制链接]
发表于 2007-12-23 19:03:32 | 显示全部楼层 |阅读模式
[原创]Anti Antivirus-Terminator
    从今年上半年起,本人经常遇到一些电脑脑使用者的求助,称其电脑出现故障,症状为使用的杀毒软件不能启动,系统运行速度明显降低,程序运行时常出现错误,打开有杀毒软件的文件夹,资源管理器自动退出,上网查找“中毒”、“病毒”等关键字,浏览器自动关闭。
   在对付这种后来被称为\"AV终结者“的病毒时,笔者积累了一定的经验,在此和各AntiVirus同好共享。

1.相关知识
1.1镜像挟持(IFEO)
   全称为Image File Execution Options,个人认为MS公司设计这个选项时,是为了运行一个可执行文件时,能够打开相关程序,对普通用户意义不大。其定位在注册表的HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options 正常电脑用户这个分支里有数十个子项,和系统的正常使用如视频解码、系统清理、程序调试有关。
  而AV终结者通过在此项下面加入Antivirus软件的可执行文件名,导致windows系统启动时,AV软件不能启动,从而躲过防卫系统,攻击电脑。
1.2自动运行与windows系统服务
  系统启动时,一般都要自动启动一些常用程序,如大家都熟悉的屏幕右下角的输入法指示器,音频和视频管理软件,以及AV软件等,如果想看一下自己的自动运行的程序,请在“开始\"->“运行\"中输入\"msconfig\",查看一下最后的启动项。一般来说,只要保留输入法指示器ctfmon和杀毒软件就可以了,其他到用时再开。
  而windows系统服务是工作在后台,起到维持电脑正常运行的一些如网络服务,升级补丁,磁盘管理等基本服务,在正常的任务管理器下是看不到的。msconfig里可以看到系统加载的后台服务,但要更详细地了解系统后台到底运行了什么,请在“开始\"->“运行\"中输入\"gpedit.msc\"。
  “AV终结者”会在自动运行里加载病毒体,同时会加自身注册成系统服务,达到自动运行的目的。
1.3autoruns.inf
  这个文件位于各磁盘分区的根目录下,MS公司又一好心帮倒忙的设计,其本意是在打开磁盘时,能够同时运行一些预先设计好的程序,如一些软件安装光盘,左键双击就会打开安装界面。结果就被病毒设计者钻了空子,通过精心编写autoruns.inf里的目标程序,达到在用户没有知觉的情况下,启动病毒的目的。
  现在的autoruns.inf越写越高级,最先只是左键双击会中毒,通过右键点击可以打开受感染磁盘分区,现在即使是右键点击也会中毒了。
1.4守卫进程
  简单说,两个名称不相同的程序不停地同时监控系统,如果观察到对方被强行关闭,马上就会重新启动一个新的对方程序,达到病毒时刻运行的目的。

2.杀毒利器
 SReng、Autoruns-系统扫描。
 ProceXP、icesword-进程管理
 Mcafee8.5.0、360安全卫士-杀毒软件
 KillRemovablediskVirus1.5.exe、showhidden.reg-免疫程序
 深山红叶winpe启动盘-他山之石
 windows系统盘-最后一招

3.杀毒过程
  Antivirus软件被terminatored了,怎么办?如上,就是IFEO被人家CDTH了,那好,我们只要“反hijiack“就可以了。
  “开始\"->“运行\"中输入\"regedit\",按ctrl+F打开搜索页,输入\"image file\",只选中\"顶“复选框,开始搜索,马上就会定位到Image File Execution Options这个分支。(我这么做是因为我根本记不住这么长的具体注册表路径 -_-!!!)
   这里,我们可以看到我们那些可爱的AV软件都被加到了黑名单,如avp.exe、360tray、shtat等,前面所说的SReng和autoruns、procexp、icesword也在上面。
  一个个删掉吧,如果觉得不方便,先把autoruns.exe先救出来,然后启动autoruns,把镜像劫持里的东西全给除最后一个外,全OOXX了,以解救AV软件。
 
  但是,有时候这一招是不灵的,因为新的AV终结者病毒时刻都在监视着这个分支的情况,根本不让用户改动,how to deal?这时候,可以使出用户权限自残大法。
  在Image File Execution Options这个注册表分支上点右键,在跳出的菜单中选权限,把除了Administrators之外的用户全删掉,然后选取下面\"Administars权限\"拒绝框中的“完全控制”复选框,这样IFEO里面所有的东西全和系统脱钩。

  好,一般来说AV和扫描器是能启动了,但病毒体呢?先不要重启,先用msconfg看一下启动菜单吧,把莫名其妙的启动顶给删了,不过要先记下病毒体的具体位置。
  这年头,是个病毒就隐身,而且在资源里修改了也不行,这时,请双击showhidden.reg吧,如果没有,请google之或考之。
  同样的,看一下后台服务,看看有没有不正常后台程序。
  (那些是正常的,哪些是不正常的服务,限于篇幅,无法列出,请查阅有关资料)
  再msconfig,看一次启动菜单。
  为什么?还是那句话,有些高级的AV终结者病毒就是不会让你修改启动项的,你动它反动,就是不许动,那么先启动icesword吧,看看那些刚才记下来的病毒体,结束它。
  我考,结束不了,马上病毒就重新启动了,那iceword同时选中两个病毒,双杀呢?
  一般来说这样就行了,这样就可以顺利地把病毒进程给结束掉,然后打开它们所在的文件夹,删掉就行了,然后把服务里的那些不明不白的东西也给OOXX了。
  但是,也有结束不了的时候。
  那咋办?
  另找一个系统吧,而且是不会被感染的。
  那就要用到深山红叶winpe启动盘了,用这张盘启动电脑后,那个界面和正常的windows系统是很像的,我们就可以很方便地打开刚才已经记下来病毒所在目录,删之。  这个时候,可以直接删除各个盘根目录下的autoruns.inf和病毒体(这些病毒的名字一般都是随机英文字母的组合),这样就一脚把病毒从硬盘里踢了出去了。
  进入正常的windows系统,去掉那些启动里还有残留的病毒项,用sreng修复一下系统,如果前面锁了IFEO,那么请解除之。用病毒名称在注册表里查找,删除不正常的值。
  
  然后呢?
  用AV全盘扫描杀毒呗。AV个人很喜欢Mcafee8.5.0,这是因为Mcafee可以自定义规则,一般来说,把禁止程序注册为自动运行、禁止程序注册为服务选上,就可以防住大部分病毒。
  最后呢?
  堵上漏洞呗。
  首先,用KillRemovablediskVirus1.5.exe作一下全盘免疫,它会在各个盘根目录下加入一个autoruns.inf的隐藏的、系统的、不可删除的文件夹(ntfs文件系统,FAT32不行),那么auto病毒就不行了。
  找个windows补丁包,打上SP2发行之后的所有补丁。
  用360安全卫士,打上全部补丁,顺便把U盘免疫也搞上。
  
   
4、可能碰到的麻烦
  我没有碰到禁用注册表的AV终结者,如果连regedit都不能用了,怎么办?
  病毒如果注册成驱动,那怎么办?一些流氓软件就这么做过,我对付不了,如果AV终结者也这么做,怎么办?

5、题外话
  我经常被人家叫去重装系统和杀毒,以致于随身携带着一个U盘,做与启动型,里面把常用的软件都带上了,上面提到的软件里面全有,还有一些装机时常用的应用软件和系统补丁,全部加起来不过400M,到用时,拿出来考一下,就可以工作了。
 
回复

使用道具 举报

xjw417 该用户已被删除
发表于 2007-12-23 20:16:54 | 显示全部楼层
写的很好,很全面啊
什么时候中了就能用上你的方法了
回复

使用道具 举报

发表于 2007-12-23 20:33:17 | 显示全部楼层
试试雨夜飘零免疫程序2.1正式版


  此免疫程序针对现在流行的:IGM及其变种。ARP.机器狗.AV终结者.欢乐时光。威金.熊猫烧香变异.修改系统时间.Auto.OSO.exe.AlxRes061209.玉兔病毒.“爱虫”病毒.ADDL洪水猛兽病毒变种.武汉男生.病毒落雪.橙色八月          WINLOGON,LSASS,SMSS.泽拉丁变种EF.啊拉qq大盗.最近流行的网游盗号木马,另还有一些恶意(评)软件.还有最常见的多个自动播放病毒.等到现在为止高危已知病毒。基于Windows2000/XP/2003而写!
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

Archiver|手机版|小黑屋|网上读书园地

GMT+8, 2024-11-3 05:26 , Processed in 0.210998 second(s), 7 queries , Redis On.

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表