小菜G-
* 回复内容中包含的链接未经审核,可能存在风险,暂不予完整展示!这是被镜像劫持了。病毒通过修改注册表来屏蔽对手的软件及网站。只要相关杀软的网络IP被列入注册表被禁止项就无法打开该网站。(一打开就自动关闭)把相关的注册表项删掉后杀毒就好了。具体如Image File Execution Options (IFEO in short)劫持
一、典型症状:双击某些可执行程序无法正常执行(或者说执行了没看到预期的结果)但改一个名字就可以。
二、典型案例:OSO.exe新变种60{.exe 美女游戏.pif (转载如下)
============================= 转载Start================================
OSO.exe 新变种
这是OSO.exe,美女游戏.pif,重要资料.exe的又一个新变种,以前截获的样本名为Worm.Pabug.ck ,这次由用户上报的病毒瑞星,金山均没有命名,但在病毒行为上大同小异。以下是具体分析:
此样本于2007年02月01日截获,跟上次的变种一样是采用记事本的图标,是一类IFEO映象劫持病毒。(变种不同这处用红色加粗标识)
病毒行为分析:病毒运行后,会不断打开run time error的消息提示,直到系统资源耗尽,当然用任务管理器,结束error窗口可暂时减少提示的生成。生成文件如下:(以系统盘为C盘,XP SP2为例)oso.exe的分析:生成文件:C:WINDOWSsystem32drivers60{.exe 38,510
C:WINDOWSsystem32driversconime.exe 38,510
C:WINDOWSsystem32severe.exe 38510
C:WINDOWSsystem32.exe 38510
C:WINDOWSsystem32.dll 38400C:WINDOWSsystem32hx1.dat 生成运行后自删除 C:WINDOWSsystem32 oruns.reg 生成运行后自删除
C:WINDOWSsystem32kakatool.dll 删除卡卡助手的动态链接库C:WINDOWSsystem32driversetcHosts 1,465 字节 修改HOSTS文件,屏避对手的网站:127.0.0.1 localhost
127.0.0.1 m**.cn
127.0.0.1 i***.com
127.0.0.1 safe.q.com
127.0.0.1 3*****.com
127.0.0.1 www.m**.cn
127.0.0.1 www.i***.com
127.0.0.1 tool.i***.com
127.0.0.1 www.3*****.com
127.0.0.1 zs.k******.com
127.0.0.1 forum.i***.com
127.0.0.1 up.rising.c*.cn
127.0.0.1 scan.k******.com
127.0.0.1 kvup.j******.com
127.0.0.1 reg.rising.c*.cn
127.0.0.1 update.rising.c*.cn
127.0.0.1 update7.j******.com
127.0.0.1 download.rising.c*.cn
127.0.0.1 dnl-us1.k************.com
127.0.0.1 dnl-us2.k************.com
127.0.0.1 dnl-us3.k************.com
127.0.0.1 dnl-us4.k************.com
127.0.0.1 dnl-us5.k************.com
127.0.0.1 dnl-us6.k************.com
127.0.0.1 dnl-us7.k************.com
127.0.0.1 dnl-us8.k************.com
127.0.0.1 dnl-us9.k************.com
127.0.0.1 dnl-us10.k************.com
127.0.0.1 dnl-eu1.k************.com
127.0.0.1 dnl-eu2.k************.com
127.0.0.1 dnl-eu3.k************.com
127.0.0.1 dnl-eu4.k************.com
127.0.0.1 dnl-eu5.k************.com
127.0.0.1 dnl-eu6.k************.com
127.0.0.1 dnl-eu7.k************.com
127.0.0.1 dnl-eu8.k************.com
127.0.0.1 dnl-eu9.k************.com
127.0.0.1 dnl-eu10.k************.com
X:autorun.inf (X在此指非系统盘,不包括移动设备)
X:oso.exe (X在此指非系统盘,不包括移动设备)
U:autorun.inf (U指移动设备 )
U:oso.exe
U:重要资料.exe
U:美女游戏.pif 注册表修改情况:添加自启动项HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
60{
C:WINDOWSsystem32.exe---------------------HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
@ ---默认项
C:WINDOWSsystem32severe.exe被映象劫持的软件名列表(这次被劫持和软件名多了NOD32杀毒软件和EGHOST) HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options360Safe.exe
Debugger
C:WINDOWSsystem32drivers60{.exe 都是指向此项,以下不一一列述
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsadam.exe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution O********.com
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsavp.exe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsIceSword.exeHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsEGHOST.exe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsiparmo.exe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionskabaload.exe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsKRegEx.exe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsKvDetect.exe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsKVMonXP.kxp
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsKvXP.kxp
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsMagicSet.exe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsmmsk.exe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution O*************.com
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsmsconfig.exeHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsNOD32.exe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsPFW.exe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsPFWLiveUpdate.exe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsQQDoctor.exe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsRas.exe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsRav.exe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsRavMon.exe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options e****.com
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options egedit.exe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options uniep.exe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsSREng.EXE
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsTrojDie.kxp
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsWoptiClean.exe
用一个批处理hx1.dat修改系统时间为2004-1-22 使防病毒软件失效 由于此病毒修改的内容较多手动修复相当麻烦,U盘病毒专杀工具USBCleaner可彻底清除此病毒。此版本已在之官方网站发布,欢迎下载使用! http://nick429.135.h***.com/永久转向域名:http://nick429.1*.com友情提示:U盘病毒专杀工具USBCleaner 为免费绿色的查杀U盘类病毒木马的小工具
============================= 转载End================================
三、解决方法:
可以手动删除添加的非法 IFEO 劫持项目,重启后即可。
具体方法:
1、进入系统目录。例如 C:windows
2、找到 regedit.exe ,复制,粘贴 ,运行“附件 regedit.exe”
3、按上面说的方法删除相应的被劫持项目即可。
四、提示:
防止Image File Execution Options hijack(映象劫持)的方法是通过在SSM等行为防火墙中添加一条注册表的监控规则(如下图)来防御,具体可google ,或点此此处链接。
下:
coco-
* 回复内容中包含的链接未经审核,可能存在风险,暂不予完整展示!如果主页、论坛的域名,均被劫持IP为222.73.126.115的主机,画面为假冒百度网,域名显示为cn.y***.com。
就是中 Javqhc木马了、
360安全卫士、 Javqhc专杀工具 V1.4 版、 最后更新:2008-01-09专杀工具
http://360safe.q***.com/killer/k-javqhc.html
用中毒的电脑上不了专杀网下载、可找朋友代下专杀工具、
1、 专杀工具要改扩展名不能含有------killer_javqhc-----字眼才能在中毒机器里打得开使用、可改成 NIHAO。EXE 或其它、要保留EXE后缀、、此病毒会监控并阻止破坏“killer_javqhc专杀工具”运行的、
2、 解决Javqhc木马专杀没用:有时用专杀软件说未找到被感染文件,没关系,重启电脑、再杀、可反复数次、
3、 用中毒的电脑专杀网上不了、可找朋友代下专杀工具、
javqhc木马简介:
如果你有一下现象,就可能中了此木马:
1、安全软件硬盘文件被删除
无法打开360、诊断工具等安全软件,运行后被立刻删除 。
2、常用域名被劫持到其它域名
该木马会修改 hosts 表,奇虎360、卡巴斯基、金山、江民、瑞星、赛门铁克 等安全厂商的升级服务器、主页、论坛的域名,均被劫持IP为222.73.126.115的主机,画面为假冒百度网,域名显示为cn.y***.com。
3、病毒文件写入常用软件安装目录
发现系统中 qq 安装目录下有 wsock32.dll 存在
皮皮-
有可能是auto之类的病毒。
从“工具”-“文件夹选项”-打开“显示所有文件及隐藏受保护的操作系统文件”,打开各个盘,发看有没有autorun.inf,有的话,新建个文本文档,用文本打开autorun.inf,如内容显示如下:
[AutoRun]
open=***.exe[注:可执行文件名]
shellopen=打开(&O)
shellopenCommand=***.exe
shellopenDefault=1
shellexplore=资源管理器(&X)
shellexploreCommand=***.exe
如果出现以上文字,那么肯定就是auto了。
注册表能打开吗?点“开始”-“运行”-输入“regedit”进入注册表。
先禁用自动播放:方法一:运行注册表编辑器Regedit,展开注册表到HKEY_CURRENT_USERSoftware MicrosoftWindows CurrentVersionPoliciesExplroer主键下,在右边窗口中将二进制值“NoDriveTypeAutoRun”的键值改为 95 00 00 00
注销
方法二:单击“开始→运行”,键入“gpedit.msc”,确定后运行“组策略”,在左边找到“本地计算机策略→计算机配置(或用户配置)→管理模板→系统”,然后在右边双击“关闭自动播放”,选择“未配置”后点击确定退出。
再找到HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun和 HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRunOnce,找到可疑的启动项目及其路径、名称,记下来。
下个Icesword,下不了或从别的地方下拷过来。
有时优化大师进程管理、Icesword、360安全卫士、金山病毒专杀工具等也都打不开了,而且当窗口开到上面两个可疑文件的目录时都立即自动关闭了,同时还对关键字为“木马”“杀”“专杀”的文件或文件夹很敏感,一旦打开,立刻就自动关闭了,其他目录能正常打开;但改个名,去掉关键字后就能打开了。(^^我就有这种情况,不过搞定了)。
清除过程:
{[删除文件时在Icewword里删除,不要打开windows。]}
如果打不开Icewword,就把Icesword减几个字母,改成Ice或者别的什么可能就能打开了。打开后寻找可疑进程,如果结束可疑进程它们又马上生成,记住文件名;那就在“文件”-“设置”中选择“禁止创建进程”,结束可疑进程;再到“查看”下面找“监视进程创建”,看刚才结束可疑进程时是什么文件再创建的,记住文件名。
开始-搜索,把刚才记下来的文件全找出来记下位置。
{[删除文件时在Icewword里删除]}删除各盘根目录下的***.exe和autorun.inf;再删除搜索出来的文件。
重起。
但如果以上操作还清除不了的话请进行下面的操作(可能不必要):前面操作一样,但搜索时使用高级选项,选取系统文件夹、隐藏文件夹和隐藏文件、子文件夹(里面有很可能有正常文件),记住位置,再全部删除。
打开注册表,分别搜索可疑文件(不要后缀.exe),并一一删除。
这时程序都打不开了,把Icesword里“文件”-“设置"中“禁止创建进程”去掉,再打开或装上(打不开就再装)杀毒杀木马的软件杀一遍。
杀过之后,很可能有些程序运行不了了,但如果没有毒木马了,重装一下就是了。
马老四-
是AV终结者,忆林子专杀工具如下,存在记事本中,另存为 文件名.bat,双击运行即可
@echo off
title 忆林子
color 0a
echo ▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓
echo.
echo 该病毒资料
echo 瑞星将该病毒定义为:Worm.Win32.DownLoad.b
echo.
echo 该病毒建立的包括的源文件如下:
echo.
echo 病毒文件全路径 大小(字节)
echo c:autorun.inf 159
echo c: iu.exe 30,625
echo c:WINDOWSsystem32Autorun.inf 159
echo c:WINDOWSsystem32crsss.exe 30,625
echo 其它所有分区:autorun.inf 159
echo 其它所有分区: iu.exe 30,625
echo.
echo autorun.inf文件里的内容
echo.
echo [AutoRun]
echo.
echo open=niu.exe
echo shellopen=打开(^&O)
echo shellopenCommand=niu.exe
echo shellopenDefault=1
echo shellexplore=资源管理器(^&X)
echo shellexploreCommand=niu.EXE
echo.
echo 该病毒的后果:
echo 你的杀毒软件会无法打开,另外你的系统时间会被修改成2000年,无法显示隐藏文件
echo 另外,该病毒会把注册表项删除,导致你进入安全模式就蓝屏。
echo 可能还有其它的情况,我这里就不详细说明了.
echo.
ECHO 注意:该病毒会将你的系统时间修改为2000年,而这个杀毒程序的会将你的时间
echo 修改为2008年,你如果是在2008年使用这个的话,系统时间就不用修改了,否则
echo 杀毒后请自己重新设置系统时间。
echo.
echo ▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓
echo.
set /p tmp=以上是该病毒的信息,如果要清除该病毒,请回车键开始杀毒...
rem 结束病毒进程
for %%d in (niu.exe,crsss.exe,reg.exe) do (
taskkill /im %%d /f
cls
)
rem 把时间改成2008年
FOR /F "eol=; tokens=1,2,3 delims=- " %%i in ("date /t") do (
date 2008-%%j-%%k
)
rem 去除病毒源文件的 系统、隐藏、只读 属性,然后删除它们。
for %%d in (Autorun.inf,crsss.exe) do if exist "%systemroot%system32\%%d" (
attrib -s -h -r "%systemroot%system32\%%d"
del "%systemroot%system32\%%d" /q
)
rem 添加进入安全模式的注册表项
reg add "HKLMSYSTEMControlSet001ControlSafeBootMinimal{4D36E967-E325-11CE-BFC1-08002BE10318}" /ve /d DiskDrive /f
reg add "HKLMSYSTEMControlSet001ControlSafeBootNetwork{4D36E967-E325-11CE-BFC1-08002BE10318}" /ve /d DiskDrive /f
reg add "HKLMSYSTEMControlSet003ControlSafeBootMinimal{4D36E967-E325-11CE-BFC1-08002BE10318}" /ve /d DiskDrive /f
reg add "HKLMSYSTEMControlSet003ControlSafeBootNetwork{4D36E967-E325-11CE-BFC1-08002BE10318}" /ve /d DiskDrive /f
reg add "HKLMSYSTEMCurrentControlSetControlSafeBootMinimal{4D36E967-E325-11CE-BFC1-08002BE10318}" /ve /d DiskDrive /f
reg add "HKLMSYSTEMCurrentControlSetControlSafeBootNetwork{4D36E967-E325-11CE-BFC1-08002BE10318}" /ve /d DiskDrive /f
cls
rem 解除对任务管理器的禁用
reg delete "HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem" /v DisableTaskMgr /f
rem 解除禁用Windows更新程序
reg delete "HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesWindowsUpdate" /v DisableWindowsUpdateAccess /f
rem 添加显示隐藏文件的注册表项
reg add "HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenNOHIDDEN" /v Text /d "@shell32.dll,-30501" /f
reg add "HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL" /v CheckedValue /d 1 /f
reg add "HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL" /v DefaultValue /t reg_dword /d 2 /f
reg add "HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL" /v HelpID /d "shell.hlp#51105" /f
reg add "HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL" /v HKeyRoot /t reg_dword /d 2147483649 /f
reg add "HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL" /v RegPath /d "SoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced" /f
reg add "HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL" /v Text /d "@shell32.dll,-30500" /f
reg add "HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL" /v Type /d "radio" /f
reg add "HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL" /v ValueName /d "Hidden" /f
rem 删除病毒添加的启动项
for %%f in (crsss) do (
reg delete "HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun" /v %%f /f
)
rem 删除其它盘根目录下的病毒文件
for %%f in (autorun.inf,niu.exe) do (
for /D %%d in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do (
if exist %%d:\%%f (
attrib -s -h -r %%d:\%%f
del %%d:\%%f /q
)
)
)
rem 删除病毒在注册表中添加的关联
if exist test.忆林子 del test.忆林子
reg query "HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options">test.忆林子
for /f "tokens=* delims= skip=4" %%j in (test.忆林子) do (
reg delete "%%j" /v debugger /f
cls
if exist test.忆林子 del test.忆林子
echo ▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓
echo.
echo 正在清除由病毒添加的注册表项,请稍候...
echo.
echo ▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓
)
if exist test.忆林子 del test.忆林子
reg add "HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsYour Image File Name Here without a path" /v Debugger /d "ntsd -d" /f
cls
color a0
echo ▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓
echo.
echo 病毒清除完毕,按回车键开始解决分区无法双击打开的问题.
echo.
echo ▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓
set /p test=
cls
@echo off
title 忆林子--解决分区无法打开
color a0
rem 删除引起磁盘无法双击打开的autorun.inf文件
for /d %%i in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do if exist %%i:autorun.inf (
cacls %%i:autorun.inf /c /e /p everyone:f
attrib -s -h -r %%i:autorun.inf
del %%i:autorun.inf /q
)
rem 进行磁盘检查,恢复双击打开功能
for /d %%i in (d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do if exist %%i: chkdsk %%i: /f /x
cls
color ec
echo ▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓
echo.
echo 操作结束,按回车键退出该程序...
echo.
echo ▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓
set /p temp=
:exit
exit
小教板-
* 回复内容中包含的链接未经审核,可能存在风险,暂不予完整展示!(可能要用到你的移动存储工具)先下一个“超级巡警”看看能否打开(用的是什么工具在这里我说了算,不过,具体用什么工具要看个人喜好与可用性这情况,因为这是一类毒,个人就用了十几种工具)
打不开?
可能是映像劫持(就是类似“AV终结者”的病毒用的手法)
到安全工具的目录下改工具主程序的名称如改360safe.exe为2.exe(此时安全模式下操作很重要),再试试运行它,
可能也会出现,没反映的情况,这正是映像劫持的可怕处,看下法
注册表编辑器定位到
HKEY_LOCAL_MACHINE SOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options
并展开里面的子项列表一个个看下来确认是否出现Debugger参数或其他可能影响程序运行的堆管理参数(最后的一项“your image file without a path "就别管了)
有就删了此DEbugger的值
若注册表打不开没关系
下载Sysinternals Suite软件
使用Sysinternals的Autoruns,点击它的“Image Hijacks”选项卡,即可看到被劫持的程序项
再用其监控工具Regmon或类似工具,设置Filter为你正在尝试删除的安全工具的IFEO项,很快就能发现具体是什么进程在操作注册表了
这样可再改应用程序名,那些程序便可用了
再用icesword(运行它速度要快,不然又被劫持了)
参考可用解决方法,以后的操作可能复杂的要死
但有些工具能解除这劫持,上面说了Sysinternals Suite,还有其他工具(如“超级巡警”)可用此地址
http://www.a****.cn/html/7/2008/1/antidu_200817213549.html
个人认为突出的工具是avast!virus cleaner”的智能化病毒专杀工具,用法看此地址吧http://zhidao.b***.com/question/43026226.html
注意的是,所有工具都要改其名,最好用的不知名的解劫持软件(因为知名的都在此病毒的黑名单中),工具能否进行还是听天由命,因为,若病毒采用的是“互斥量”技术,除了不知名的软件外,神仙也救不你了。
如此这样,那只能在DOS下进行杀毒了,个人用的是江民、深山红叶DOS版的
不过,只看见几百几千种毒被杀,却不见系统正常运行征兆,愿你能在此环境将它们杀完。
LocCloud-
* 回复内容中包含的链接未经审核,可能存在风险,暂不予完整展示!你看下是否和以下描述一样,如果有相同或类似的你可以使用我的方法试试:
这个病毒是“A V终结者”,也就是帕虫病毒,或者8位随机数字字母病毒
“A V终结者”病DU发作症状
1.生成很多8位数字或字母随机命名的病DU程序文件,并在电脑开机时自动运行。
2.绑架安全软件,中DU后会发现几乎所有杀DU软件,系统管理工具,反间谍软件不能正常启动。
3.不能正常显示隐藏文件,其目的是更好地隐藏自身不被发现。
4.禁用windows自动更新和Windows防火墙,这样木马下载器工作时,就不会有任何提示窗口弹出来。
5.破坏系统安全模式,使得用户不能启动系统到安全模式来维护和修复。
6.当前活动窗口中有杀DU、安全、社区相关的关键字时,病DU会关闭这些窗口。假如你想通过浏览器搜索有关病DU的关键字,浏览器窗口会自动关闭。
7.在本地硬盘、U盘或移动硬盘生成autorun.inf和相应的病DU程序文件,通过自动播放功能进行传播。很多用户格式化系统分区后重装,访问其他磁盘,立即再次中DU。
8.最终目的是下载更多木马、后门程序。用户最后受损失的情况正是取决于此
你中的这个病DU是“A V终结者”,也就是帕虫病DU,或者8位随机数字字母病DU
“A V终结者”病DU发作症状
1.生成很多8位数字或字母随机命名的病DU程序文件,并在电脑开机时自动运行。
2.绑架安全软件,中DU后会发现几乎所有杀DU软件,系统管理工具,反间谍软件不能正常启动。
3.不能正常显示隐藏文件,其目的是更好地隐藏自身不被发现。
4.禁用windows自动更新和Windows防火墙,这样木马下载器工作时,就不会有任何提示窗口弹出来。
5.破坏系统安全模式,使得用户不能启动系统到安全模式来维护和修复。
6.当前活动窗口中有杀DU、安全、社区相关的关键字时,病DU会关闭这些窗口。假如你想通过浏览器搜索有关病DU的关键字,浏览器窗口会自动关闭。
7.在本地硬盘、U盘或移动硬盘生成autorun.inf和相应的病DU程序文件,通过自动播放功能进行传播。很多用户格式化系统分区后重装,访问其他磁盘,立即再次中DU。
8.最终目的是下载更多木马、后门程序。用户最后受损失的情况正是取决于此
http://hi.b***.com/qwwwl/blog/item/2c55a8eff3c93234adafd5df.html
http://www.s***.net/downloads/down/Terminator.rar
试试这俩软件吧,不一定能解决你的问题,也许会有意想不到的收获。
真可-
你机器里面有很重要的东西吗?
1.没有的话最好是重做一次系统,这样毒才会清理的比较干净
2.如果真的AV终结者的话,一般网站上都会有专杀,你下载一个就行,另外,我个人的习惯是如果用的是瑞星,就下一个江民的av专杀,用和自己杀毒软件不一样牌子的专杀会杀得比较干净(这我也不知道为什么,但个人觉得这确实比较好用)
3.上次360关闭,我用瑞星查出的病毒在网上没有发现特别好的方法,用了相类似的专杀工具也没有好用,安全模式下也不能将其删除,后来就下了一个能在Dos下清除文件的软件,把感染病毒的软件在Dos下删除了,重装了一次360,病毒干干净净。
各人不推崇第3点,因为有些染毒文件是不能被删除的,并写俺们知识也不高,对那些个系统文件是干什么的也不知道,删错了反而更麻烦,最好是重装系统,病毒干干净净。
祝你好运,希望你中毒不深。
tt白-
你的病毒很厉害,网上说的方法基本上都被病毒作者考虑到了。这个病毒就是千方百计的不让你杀他,而不是杀不掉。
说说我的解决方法,一定可以~~不可以我倒给你分!
我的方法:
只有一种,把你硬盘卸载了,拿到别人机器上组建双硬盘。当然以别人机器的硬盘为主硬盘了。完成后,进入系统。这时候千万别打开你的硬盘,直接运行机器上的杀毒软件,选择你的硬盘,进行查杀。OK.
推荐使用江民,至于为什么用江民呢,个人认为国产的病毒还是国产杀毒软件好使唤一些。当然你用卡巴也行。关键是哪个能杀掉这个病毒的问题。
为什么用这个方法呢,原理就一个:切断病毒滋生的温床,也就是你的C盘喽。
这个方法可能会产生一个恶心的问题,就是你C盘的系统文件可能被当病毒删除掉。至于会不会这样取决于你用的杀软识别能力了。
max笔记-
* 回复内容中包含的链接未经审核,可能存在风险,暂不予完整展示!先介绍电脑死机原因!
无法启动系统,画面“定格”无反应,鼠标、键盘无法输入,软件运行非正常中断等。尽管造成死机的原因是多方面的,但是万变不离其宗,其原因永远也脱离不了硬件与软件两方面。
由硬件原因引起的死机
【散热不良】 显示器、电源和CPU在工作中发热量非常大,因此保持良好的通风状况非常重要,如果显示器过热将会导致色彩、图象失真甚至缩短显示器寿命。工作时间太长也会导致电源或显示器散热不畅而造成电脑死机。CPU的散热是关系到电脑运行的稳定性的重要问题,也是散热故障发生的“重灾区”。
【移动不当】 在电脑移动过程中受到很大振动常常会使机器内部器件松动,从而导致接触不良,引起电脑死机,所以移动电脑时应当避免剧烈振动。
【灰尘杀手】 机器内灰尘过多也会引起死机故障。如软驱磁头或光驱激光头沾染过多灰尘后,会导致读写错误,严重的会引起电脑死机。
【设备不匹配】 如主板主频和CPU主频不匹配,老主板超频时将外频定得太高,可能就不能保证运行的稳定性,因而导致频繁死机。
【软硬件不兼容】 三维软件和一些特殊软件,可能在有的微机上就不能正常启动甚至安装,其中可能就有软硬件兼容方面的问题。
【内存条故障】 主要是内存条松动、虚焊或内存芯片本身质量所致。应根据具体情况排除内存条接触故障,如果是内存条质量存在问题,则需更换内存才能解决问题。
【硬盘故障】 主要是硬盘老化或由于使用不当造成坏道、坏扇区。这样机器在运行时就很容易发生死机。可以用专用工具软件来进行排障处理,如损坏严重则只能更换硬盘了。另外对于在不支持UDMA 66/100的主板,应注意CMOS中硬盘运行方式的设定。
【CPU超频】 超频提高了CPU的工作频率,同时,也可能使其性能变得不稳定。究其原因,CPU在内存中存取数据的速度本来就快于内存与硬盘交换数据的速度,超频使这种矛盾更加突出,加剧了在内存或虚拟内存中找不到所需数据的情况,这样就会出现“异常错误”。解决办法当然也比较简单,就是让CPU回到正常的频率上。
【内存条故障】 主要是内存条松动、虚焊或内存芯片本身质量所致。应根据具体情况排除内存条接触故障,如果是内存条质量存在问题,则需更换内存才能解决问题。
【硬盘故障】 主要是硬盘老化或由于使用不当造成坏道、坏扇区。这样机器在运行时就很容易发生死机。可以用专用工具软件来进行排障处理,如损坏严重则只能更换硬盘了。另外对于在不支持UDMA 66/100的主板,应注意CMOS中硬盘运行方式的设定。
【CPU超频】 超频提高了CPU的工作频率,同时,也可能使其性能变得不稳定。究其原因,CPU在内存中存取数据的速度本来就快于内存与硬盘交换数据的速度,超频使这种矛盾更加突出,加剧了在内存或虚拟内存中找不到所需数据的情况,这样就会出现“异常错误”。解决办法当然也比较简单,就是让CPU回到正常的频率上。
【硬件资源冲突】 是由于声卡或显示卡的设置冲突,引起异常错误。此外,其它设备的中断、DMA或端口出现冲突的话,可能导致少数驱动程序产生异常,以致死机。解决的办法是以“安全模式”启动,在“控制面板”→“系统”→“设备管理”中进行适当调整。对于在驱动程序中产生异常错误的情况,可以修改注册表。选择“运行”,键入“REGEDIT”,进入注册表编辑器,通过选单下的“查找”功能,找到并删除与驱动程序前缀字符串相关的所有“主键”和“键值”,重新启动。
【内存容量不够】 内存容量越大越好,应不小于硬盘容量的0.5~1%,如出现这方面的问题,就应该换上容量尽可能大的内存条。
【劣质零部件】 少数不法商人在给顾客组装兼容机时,使用质量低劣的板卡、内存,有的甚至出售冒牌主板和Remark过的CPU、内存,这样的机器在运行时很不稳定,发生死机在所难免。因此,用户购机时应该警惕,并可以用一些较新的工具软件测试电脑,长时间连续考机(如72小时),以及争取尽量长的保修时间等。
由软件原因引起的死机
【病毒感染】 病毒可以使计算机工作效率急剧下降,造成频繁死机。这时,我们需用杀毒软件如KV300、金山毒霸、瑞星等来进行全面查毒、杀毒,并做到定时升级杀毒软件。
【CMOS设置不当】 该故障现象很普遍,如硬盘参数设置、模式设置、内存参数设置不当从而导致计算机无法启动。如将无ECC功能的内存设置为具有ECC功能,这样就会因内存错误而造成死机。
【系统文件的误删除】 由于Windows 9x启动需要有C*****.com、Io.sys、Msdos.sys等文件,如果这些文件遭破坏或被误删除,即使在CMOS中各种硬件设置正确无误也无济于事。解决方法:使用同版本操作系统的启动盘启动计算机,然后键入“SYS C:”,重新传送系统文件即可。
【初始化文件遭破坏】 由于Windows 9x启动需要读取System.ini、Win.ini和注册表文件,如果存在Config.sys、Autoexec.bat文件,这两个文件也会被读取。只要这些文件中存在错误信息都可能出现死机,特别是System.ini、Win.ini、User.dat、System.dat这四个文件尤为重要。
估计是----AV终结者:之类的病毒。试杀一下AV终结者病毒看有改观否。
在能正常上网的电脑上到http://zhuansha.d**.net/259.shtml 下载AV终结者病毒专杀工具。杀
网友博客一、 方法一、
http://hi.b***.com/qsc2004gx/blog/item/a85d32df16fcce1748540323.html 手动杀AV病毒成功经验 2007-12-22 01:39 图文并冒 另一种方法。
网友博客二、 方法二、zhong jie zhe 的解决办法!
http://hi.b***.com/%CE%D2%BC%D2%B5%C4%D0%A1%BB%A8%C3%A8/blog/item/3ac9808009683ed59023d96e.html/index/4#comment
参考。
http://zhidao.b***.com/question/42124651.html我是否中了AV终结者?望有专家能给我帮助,谢谢了!
正常启动系统正常,进安全模式蓝屏?xp+sp2系统
XP开机进入安全模式出现蓝屏,出现以下内容,A problem has been detected and windows has been shut down to prevent damage to your computer UNMOUNTABLE__BOOT__VOLUME If this is the first time you`ve seenthis stop error screen restart your computer. If this screen apprars again follow these steps: check to make any new hardware or softwareis properly installed If this is a new installation,ask your harchware or software manufacturer. for any windows updates you wight need If problems cintinue disable or remove any newly installed hardware or software Disable BIOS memory options suchas caching or shadowing If you need to use safe mode to remae or disable conponents restart your conputer press F8 to setect Advanced startup options and then select safe mode. Technical in formation: *** STOP:0x000000ED(0x81FD2900,0xC0000185 0x00000000 0x00000000)
主要看蓝屏代码
出现stop:0X000000A : IRQL-NOT-LESS-OR-EQUAL 的蓝屏信息
解决的方法
1 : 检查最新安装的软硬件驱动程序,卸载或禁用它们,最好在安全模式下完成这个任务,如果是驱动程序,则推荐使用WIN XP的返回驱动程序功能来恢复原有的驱动程序.
2 : 如果是系统无法启动,可以尝试使用最后一次正确的配置来解决问题.具体方 法是:重启系统,在出现启动菜单使按下F8键,然后在出现的高级启动选项菜单中选择并进入最后一次正确的配置即可.
3 : 如果无效,则进入WIN XP故障恢复控制台,然后执行%systemroot% system32 estore strui.exe命令,然后按提示进行系统还原操作即可
附:
蓝屏显示 :0X0000001E:KMODE_EXCEPTION_NOT_HANDLED
错误提示含义:WIN内核检查到一个非法或未知的进程指令,这个停机码一般是由问题的内存或是由前一个错误相同的原因造成
蓝屏显示:0X000000EA:THREAD_STUCK_IN_DEVICE_DRIVER
由显卡驱动或显卡造成.解决的方法:升级最新显卡程序或更换显卡测试
4: 既然是安全模式蓝屏,正常启动正常的话可能是某个驱动它HKLMsystem下 有个设置,告诉系统它必须启动,但是安全模式确实启动不了。
把鼠标换了 换成PS2的 不要用USB的!!
在开机的时候不停按F8试试
到这里下载 http://nothel.g*********.com/XPSP2.zip
解压后 将其中两项注册表文件导入到计算机中后,试试能不能进入到安全模式
再也不做稀饭了-
注意步骤:
1。有还原精灵,你就先把你的系统还原到初始状态。
2。还原后启动系统,但请不要打开我的电脑。
3。开始-运行-》输入regedit
4。展开:HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options,把Image File Execution Options的权限设置为拒绝访问
5。展开:HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun把RUN下面的键值全部删除。设置权限为拒绝访问。
6。现在重新启动。(注意上面的方法需要硬盘分区为NTFS)
7。重启动后,打开我的电脑,右需一下C盘,看看是否有“播放”,“自动运行”“auto"之类的文字,如果有,你可以下载我自己制作的小工具,点病毒防护类,选第一项或第二项,试试!
8,这时可以下载一个杀毒软件试试了!
可乐-
格C盘装系统,不要动任何东西,去下个卡吧,装上,开机选“带命令提示的安全模式”,杀杀杀,重启,还是带命令提示的安全模式,启动后不要双击打开盘符(如果不小心点了,再来一次吧),在文件夹选项里显示系统文件和隐藏文件,再右击盘符选打开(切记,不管有什么选项,只点打开)找找有没有“Autorun.inf”之类的文件,把它按Shift+Del删除,每个盘都来一次,就应该就没问题了。
其实卡吧不是最好的,针对中国的病毒,江民和金山都不错的,不推荐瑞星。
贝贝-
1:360+卡巴完全可以解决问题
2:完全没有必要进入安全模式
3:hosts文件被改了,这点是肯定的,要先改回来
4:首先要将自动启动的程序及服务检查一遍,将多余的统统去掉
5:删除病毒文件或者启动杀毒软件前,教你个小技巧,在进程管理器里面先将可疑的进程统统关掉,包括explorer.exe,病毒加载入这个进程中导致它的病毒文件删除不了,你也可以准备好杀软的安装程序,关掉这些进程后-安装杀软-杀毒-重启!
hosts改回来之前,断网,不要上任何网站,它的木马病毒都是从hosts里面指向的网址动态下载的,会让你杀都杀不完
可可-
你系统已经崩溃了,没办法只有从新装系统了,
不要说你不会装,
没事,往下看,
我以前和你一样不会装,但是人是逼出来的,你该是不愿意拿30块钱请电脑维修人员帮你装吧!就算给你装好了,以后出问题了,又拿30块钱继续请人装?我想你应该不会。
装系统这种事情还是要学,现在学会了,终身受用,
进入正题,
首先,打开计算机,在电脑通电的时候,也就是显示器显示的时候,不停连续的按键盘上面的.(也就是Del)键
直到出现BIOS设置窗口(通常为蓝色背景,黄色英文字)。
2.选择并进入第二项,“BIOS SETUP”(BIOS设置)。在里面找到包含BOOT文字的项,并找到依次排列的FIRST,设置为CDROM(光盘)
3.按F10键,出现E文对话框,按“Y”键,并回车,计算机自动重启,证明更改的设置生效了。
下面就是,去电脑商城,卖电脑附近有专门卖光盘的店,不要说你找不到店在那里,
找到店后给卖光盘的老板说要张‘番茄花园XP"装系统的光盘,
价格在5块钱左右,
把上面讲的设置弄到位,把光盘放进电脑里面‘重起计算机"在重起后的时候按键盘上任何键,让电脑进入WindowsXP的安装界面,下面的最简单,全部都是中文,不要说你看不懂,除非你不是中国人,根据中文的提示,选择自动安装WindowsXP,你就可以去看电视了,半个小时以后,差不多装好了,这时候会出现些小问题,比如没声音....,这些都是小问题,在百度上面找答案,
说完了,
如果这样你都看不懂,不可否认你的IQ有点偏低,我相信在菜的菜鸟都应该看的懂,
学会了,就不怕啦,百毒不侵
苏州马小云-
先 运 行 任务 管理器,结束桌面系统(Explorer),(因为这个病毒有一个桌面监控系统,是8开头的一个进程),点击新任务,打开winRAR,删除除C盘的露在外的两个不明程序.接着在其他电脑上下一个WINDOWS清理助手,拷到U盘上,再插入你那台机子上,点击新任务运行WINDOWS清理专家(中途不能打开桌面).杀毒完毕后,打开桌面病毒就没了,然后再运行杀毒软件.如果这的确是"AV终结者" 的话,我这个方法绝对有效,因为我昨天才中的,拼了一天才删掉
祝好啦