第一步:知己知彼,百战百胜
要战胜AV终结者,我们先要了解自己的处境和它的特性还有弱点。首先我们来了解下AV终结者的执行以后的特征:
1.在多个文件夹内生成随机文件名的文件
旧版本的AV终结者在任务管理器里可以查看2个随机名的进程,新的变种文件名格式发生变化,目前我遇到过2种。
一种是随机8个字母+数字.exe和随机8个字母+数字.dll;另一种是6个随机字母组成的exe文件和inf文件。不管变种多少它们保存的路径大概都是如下几个:
C:\windows
C:\windows\help
C:\Windows\Temp
C:\windows\system32
C:\Windows\System32\drivers
C:\Program Files\
C:\Program Files\Common Files\microsoft shared\
C:\Program Files\Common Files\microsoft shared\MSInfo
C:\Program Files\Internet Explorer
以及IE缓存等
这个是我个人总结出来的,随着病毒的变种。获取还有其他的。我这里只提供参考。
2.感染磁盘及U盘
当你的系统中了AV终结者,你会发现你的磁盘右键打开时将出现一个”Auto”也就是自动运行的意思,此时你的电脑已经中毒了,而且如果你这个时候企图插入移动硬盘、U盘,或者刻录光盘以保存重要资料,都将被感染。这也就为什么许多用户重装完系统甚至格式化磁盘以后病毒依然的原因。
当你重装完系统,必定会有双击打开硬盘寻找软件或者驱动的时候,这个时候寄生在你磁盘根目录内的Autorun.inf文件就起到让病毒起死回生的功能了。这绝对不是耸人听闻哦!
3.破坏注册表导致无法显示隐藏文件
我们一起来看看磁盘里的Autorun.inf,因为此时你的系统已经无法显示隐藏文件了。这个也是AV终结者的一个特征,所以我们这里用到几条简单的dos命令。
开始菜单-运行-输入“cmd”来到cmd界面,输入“D:” 跳转到D盘根目录,因为AV是不感染C盘根目录的,再输入“dir /a”显示D盘根目录内的所有文件及文件夹。“/a”这个参数就是显示所有文件,包含隐藏文件。如图:
我们看到D盘内多出了Autorun.inf以及随机生成的病毒文件017a4901.exe。我们一起看看Autorun.inf的内容,输入”type autorun.inf”,Autorun.inf里的代码的意思就是当你双击打开、右键打开、资源管理器打开。都会自动运行目录里的 017A4901.exe这个文件。所以对于普通用户来说,即使你听过别人劝告,通过右键打开企图避免运行病毒也是徒劳的。因为“上有政策下有对策”,病毒也是在不断的变种升级的!当然它并不是无敌的,下文中我们就会讲述如何清理它。
4. 在注册表中写入启动项,已达到自动启动
HKEY_CLASSES_ROOT\CLSID\"随机CLSID"\\InprocServer32 "病毒文件全路径"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\"随机CLSID" "病毒文件全路径"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks "生成的随机CLSID" ""
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "随机字符串" "病毒文件全路径"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc Start dword:00000004
其他病毒及变种写入注册表的位置不同,下文的实战部分我们将详细说明
5.映像劫持技术
通过修改注册表
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options的内容达到劫持几乎所有主流杀毒软件,甚至360安全卫士这样的工具的目的,被劫持后的现象是,杀毒软件无法自动运行,实时监控也无法启动,双击运行闪出一个黑色dos窗口后立刻消失。其实这个时候就是利用劫持技术转向运行了病毒本身。这个时候杀毒软件就彻底倒下了。关键时刻我们果然还是要靠自己手工清理啊!
6.修改以下服务的启动类型来禁止Windows的自更新和系统自带的防火墙
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess Start dword:00000004
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv Start dword:00000004
7.删除以下注册表项,使用户无法进入安全模式
HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKEY_CURRENT_USER\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
8.连接网络下载更多的游戏木马、广告软件以为病毒作何谋取经济利益。
9.强制关闭包含和病毒或者清理病毒或者杀毒软件有关的信息的页面。
10.注入Explorer.exe和TIMPlatform.exe反弹连接,以逃过防火墙的内墙的审核。
11.新的变种中加入双进程保护,当你结束一个进程,另一个进程自动重新启动它并关闭你的任务管理器
第二步:实战清理病毒
通过上面的内容相信你已经基本了解病毒的运作方式,现在杀毒软件已经“下岗”了,那么现在我们就靠自己的双手将它驱逐出去,还您一片蓝色的天空吧!
首先介绍今天的主角:WinPe 老毛桃修改版
这是一个类似windows98的操作系统。它体积很小只有几十M,现在很多系统安装版里都集成了这个软件,或者你也可以上网下载一个iso文件。用虚拟光驱运行,会有安装到系统的功能,所以没有刻录机的朋友一样可以使用它,当然它还有U盘版。我今天使用的是光盘版,或许你会问“为什么要用这个操作系统?他和xp有什么区别呢?难道用他就不会开机运行病毒了?”
是的!说的没错!因为WinPe是光盘或本地安装出来的一个虚拟磁盘的操作系统,他和系统本身是没有挂钩的,所以不会启动windows注册表里的启动项。这个的带来的优势就是我们可以在病毒启动之前就把他删除掉!设想,一个病毒虽然在注册表里配置的启动项,但是他的原始病毒文件已经不存在了。和谈启动运行?这就是我们今天的重点思路!在病毒启动以前将病毒文件全部删除,让他有心无力!
下面是winpe下操作的截图:
是不是和98或者2003很像?Winpe的另一个好处就是,我们前面提到的磁盘感染Autorun.inf对它也是无效的。右键是没有”Auto”这个选项的,所以我们在winpe下可以放心的双击盘符而不会运行病毒!
我们首先来清理掉最容易找到的病毒文件——磁盘根目录下的感染文件
除了C盘以外的每个盘根目录下都有,一定要记得全部删除!
删除的文件包括Autorun.inf和那个隐藏的exe文件,有的病毒隐藏文件是.pif或cmd或别的什么,因为c盘根目录没这些感染文件。所以我可以告诉大家一个诀窍:
删除除C盘以外,所以盘目录下的隐藏文件(不包括文件夹)就可以了。
好接下来看看我们前面提到的其他文件夹:
C:\windows
C:\windows\help
C:\Windows\Temp
C:\windows\system32
C:\Windows\System32\drivers
C:\Program Files\
C:\Program Files\Common Files\microsoft shared\
C:\Program Files\Common Files\microsoft shared\MSInfo
C:\Program Files\Internet Explorer
在windows文件夹下我们发现了017A4901.hlp和我们上面说的一样
所以我们利用winpe的文件搜索功能搜索” 017A4901”将其他病毒文件都挖出来
当我们把上面找到的这些文件全部清理完毕以后再搜索看看。是不是已经没有了?
那么现在AV终结者也“下岗”了。注册表里的所谓映像劫持、自动启动、双进程保护都已经形同虚设了!
这个时候你会发现你可以上杀毒软件的网站了
现在我们来彻底将病毒的启动请出我们的电脑吧(注意:这个时候建议先不要运行杀毒软件,避免还有残留的我们没发现的病毒残留文件通过映像劫持再度重生!)
开始菜单-运行-输入“regedit”打开注册表
使用模糊查询搜索我们刚才的病毒文件。不要包括扩展名,因为有的地方是以名字做注册表项的,我们同时勾选 项、值、以及数据。确保不放过一个敌人!
我们找到一个CLSID 为{A490017A-017A-4901-7A49-17A9017A4901}的项里面保存着病毒名称和路径:
我们删除这个项,然后按下F3继续搜索下一个,找到就把它删除。这里要注意一个问题。如果你搜索出来的注册表项里面有很多个值,千万不要盲目删除项。只要删除包含病毒文件名称和路径的部分就可以了!避免系统崩溃!接下来删除映像劫持部分的注册表内容搜索Image File Execution Options既可来到
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options这个位置。你会发现里面几乎包含了所有你知道的杀毒软件的进程名,病毒就是通过识别这些进程名来进行劫持的。所以有的时候你可以通过修改程序的名称。比如把360safe.com改为xxx.exx就可以运行了。当然不是绝对。例如对AV终结者就是无效的,因为他识别的是窗体标题。所以你可以发现的杀毒软件他们推出的专杀工具一般都是.com的扩展名,而且运行时候是没有标题的。这个就是为了防止被感染或者被强制关闭。
第三步:收拾战场,修复系统
首先我们重新启动重新上岗就业的杀毒软件。这里我使用360安全卫士,因为针对非感染exe类型的病毒,360足够应付了,而且速度快很多。
选择查杀流行木马。好的,检测结果。已经没有木马病毒了。下一步我们重启启动被病毒关闭的防火墙以及系统自动更新的服务,我的电脑-右键-管理-服务和应用程序-服务,找到windows firewall开头的服务右键属性,启动类型改为自动,再找到Automatic Updates这个服务,同样将启动类型改为自动
下面修复安全模式:将如下代码保存为1.reg 然后运行导入既可
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}]
@="DiskDrive"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}]
@="DiskDrive"
将如下代码保存为2.reg运行导入后文件夹选项里重新出现“隐藏受系统保护的操作系统文件,以及“隐藏文件和文件夹”选项,选择显示后即可和一样一样,正常情况下不需要去设置,隐藏的病毒文件已经被我们删除了,需要的人可以自行选择
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30501"
"Type"="radio"
"CheckedValue"=dword:00000002
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51104"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden]
"Type"="checkbox"
"Text"="@shell32.dll,-30508"
"WarningIfNotDefault"="@shell32.dll,-28964"
"HKeyRoot"=dword:80000001
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"ValueName"="ShowSuperHidden"
"CheckedValue"=dword:00000000
"UncheckedValue"=dword:00000001
"DefaultValue"=dword:00000000
"HelpID"="shell.hlp#51103"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
@=""
重新启动后。您的电脑又是一片蓝色的天空。
自此,菜鸟们再也不用为中毒烦恼了,重装系统和格式化,不再是噩梦!建议重启后用杀毒软件彻底查杀整个硬盘避免存在感染exe型病毒哦!偷懒的人跳过前面的介绍直接看操作实战,是不是觉得非常容易?以后你也可以轻易的告诉MM电脑中毒?找我就行!重装既浪费时间,又不能彻底解决问题哦!希望大家看完我的文章能够学会举一反三,轻松应对各种各样病毒哦!
