送走了让人谈虎色变的“熊猫烧香”,近日又有一种超破坏力的病毒“AV终结者”大肆席卷互联网,不到一个月期间,变种就已达数百个之多,涉及人群超越十几万人。由于这款病毒破坏力十分王道,一旦感化就很难肃清。那么“AV终结者”究竟是什么?其实它就是由随机8位数字和字母组合而成的病毒,是闪存寄生病毒,其流传是经过闪存等存储介质或许注入主机来成功的。咱们要如何预防这颗互联网超级炸弹?万一被它攻陷了电脑,重装系统后仍不可肃清,咱们又该怎样办?本文将为您消弭一切的纳闷,打造一个安保的操作系统,保证您的财富安保以及秘密信息不会遭到损失。“AV终结者”凭什么这么“跩”1.生成随机文件名对“AV终结者”的样本文件启动剖析后,可以发现其手腕相当的毒辣。病毒运转后会在系统中生成如下几个文件:C:\program files\Common Files\Microsoft Shared\MSInfo\随机生成病毒名.dat、C:\Program Files\Common Files\Microsoft Shared\MSInfo\随机生成病毒名.dll(图1)、C:\windows\随机生成病毒名.hlp、C:\windows\help\随机生成病毒名.chm。“AV终结者”的病毒名是由大写字母+数字随机组合而成的,其长度为8位,可以说生成相反病毒名的概率是极小的。wwW.iTcOMPuTer.CoM.Cn因此即使咱们知道了这是病毒生成的文件,也别指望经过病毒名在网络上找到病毒的肃清方法。2.经过“智能播放”流传病毒运转后会在本地磁盘和移动磁盘中复制病毒文件和anuorun.inf文件,当用户双击盘符时就会激活病毒,即使重装系统,也是不可将病毒彻底肃清的。这是目前很多病毒热衷的流传方法,不少用户也懂得须要删除病毒生成的anuorun.inf文件,然而当咱们进入“文件夹选项”,想显示暗藏文件时,可以发现这里曾经被病毒给禁用了。3.干掉杀毒软件针对杀毒软件的攻打,是“AV终结者”的特点。病毒会中断大局部的杀毒软件和安保工具的进程。国际绝大少数的杀毒软件和安保工具都被列入了黑名单。当杀毒软件临时失去作用时,病毒就会乘胜追击,经过一种“映像劫持”技术将杀毒软件彻底打入死牢。“映像劫持”会在注册表的“HKEY_LOCAL_MACHINE\SOFTWAR E\Microsoft\Windows NT\CurrentVersion\ Image File Execution Options”位置新建一个以杀毒软件和安保工具程序名命名的项。建设终了后,病毒还会在外面建设一个Debugger键,键值为“C:\PROGRA~1\COMMON~1\MICROS~1\MSINFO\05CC73B2.dat”(图2)。这样当咱们双击运转杀毒软件的主程序时,运转的其实是病毒程序。4.注入系统进程为了防止在“义务治理器”中显露破绽,病毒会将自己的进程注入到系统的资源治理器进程explorer.exe中,这样咱们就不可经过“义务治理器”发现病毒的进程了。病毒进程的关键作用是监督系统中的用户操作,例如你想手动肃清病毒,修正注册表,病毒每隔一段期间就会把注册表改回去,让你白吃力。另一个作用是监督IE窗口,发现用户搜查病毒资料时,立刻封锁网页。此外,病毒还会破坏Windows防火墙和安保形式,封堵用户的后路。最关键的是,病毒会从网络高低载少量的盗号木马,盗取用户的游戏账户信息,这才是“AV终结者”的真正目的。彻底肃清“AV终结者”手动查杀“AV终结者”相关于其余病毒来说比拟艰巨,由于它有不少包全措施。但包全措施做得再好还是有破绽可寻的,肃清病毒可以依照以下步骤:Step1:运转“义务治理器”,完结其中的“explorer.exe”进程。单击“义务治理器”的“文件”菜单,选用“新建义务”,输入“regedit”运转“注册表编辑器”。定位到HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\advanced\folder\hidden\showall处,将Check edValue的键值改为“1”(图3)。Step2:在“注册表编辑器”定位到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options,将以杀毒软件和安保工具命名的项删除。Step3:在“资源治理器”中单击“工具”菜单→“文件夹选项”,切换到“检查”标签,敞开“暗藏受包全的操作系统文件”前面的钩,而后选中“显示一切文件和文件夹”选项。依据上文中提供的门路删除一切病毒文件。删除其余分区中的病毒,留意不要双击进入盘符,而要用右键点击进入。如何预防“AV终结者”首先,要制止智能播放性能,并及时更新最新系统补丁,尤其是MS06-014和MS07-017这两个补丁。其次,要限度IFEO的读写权,到达限度病毒经过IFEO劫持杀毒软件的目的。操作方法如下:单击“开局→运转”,在命令行中输入regedit32 ,找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execu tion Options,右键单击此选项,在弹出的菜单当选用“权限”,而后把Administrors用户组和Users用户组的权限所有敞开即可(图4)。最后,要限度SAFEBOOT的读写权,到达限度“AV终结者”修正或删除Drives,包全安保形式反常运转的目的。操作方法如下:雷同是在32位注册表中找到 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D3 6E967-E325-11CE-BFC1-08002BE 10318}和HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\ Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318},将Administrors用户组和Users用户组的权限所有敞开即可。编后:本文引见的肃清方法须要手动操作,对注册表不相熟的好友可以用“AV终结者”专杀工具,并配合SREng、Autoruns、IFEO映像劫持修停工具、修复安保形式.REG、复原显示暗藏文件.REG经常使用,也可以彻底肃清病毒,这些软件都可以到下载。
如何肃清Trojan.Small.dxt病毒论坛求助人气贴:我的电脑最近感化上了一个名为Trojan.Small.dxt的病毒,我用《北信源》杀毒软件启动查杀,只管杀毒软件揭示成功肃清病毒,然而经常会复发,即使我重装了操作系统,病毒依然存在。请问《电脑报》的安保专家,这是一种什么病毒?病毒肃清后为什么会死灰复燃?为什么重装系统也没有用?安保专家:依据读者提供的信息,该病毒全名为:Trojan-Downloader.win32.small.dxt,是一种具备下载性质的木马病毒。该病毒关键经过闪存等可移动存储设施启动流传,并且会应用IE破绽,将木马病毒下载到用户的计算机中运转。病毒的目的是盗取用户的游戏账户。读者提到了该病毒被查杀后会死灰复燃,其实这个现象曾经十分广泛了,由于这是目前盛行的病毒关键驳回的自我包全方法,经过Autorun.inf文件让系统的“智能播放”性能来触发病毒再次运转。读者在经常使用北信源杀毒软件的时刻曾经将系统中的病毒肃清了,只不过还存在必定的病毒残留。这些残留包含一个Autorun.inf文件和一个病毒文件,这两个文件区分位于硬盘各个分区的根目录中。用杀毒软件杀完毒后,此时系统中是没有病毒的,然而当咱们双击分区盘符的时刻,Autorun.inf就会施展其作用,从而再一次性运转病毒文件。那么如何判别分区中能否有Autorun.inf文件呢?咱们可以用右键单击分区盘符,假设右键菜单中多出了一个“Auto”的选项。就可以证实分区中存在Autorun.inf文件。处置打算知道病毒为什么肃清不洁净的要素后,咱们再来修复被破坏的系统设置,从而防止再一次性运转病毒。咱们要做的就是肃清残留的病毒文件。这里要留意,不要双击盘符进入分区,也不要经过右键进入,由于这两种状况都或许再次运转病毒。上方咱们可用安保工具IceSword来启动病毒文件的肃清。首先,运转IceSword,切换到“文件”性能,单击其中的“可移动磁盘C”,在软件右侧的内容栏中会产生C盘根目录下的一切文件,找到其中的Autorun.inf和病毒文件setup.exe(图1),右键选中后将它们删除。用雷同的方法肃清其余分区中的病毒残留文件,至此病毒文件就被咱们肃清终了了。而后,咱们来修复被破坏的系统。指标是复原被病毒破坏的“文件夹选项”,单击“开局→运转”,输入“regedit”运转“注册表编辑器”,定位到[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVer sion\ Explorer\Advanced\ Folder\Hidden\SHOWALL]项,将键值修正为“CheckedValue”=dword:000000 01”,封锁“注册表编辑器”后,“显示一切文件和文件夹”就可以反经常常使用了(图2)。“善后”上班到这里就完结了。读者的最后一个疑问也有了答案,由于咱们重装系统,普通都是格局化C盘,而不是全盘格局化,因此除了C盘以外,其余盘中的病毒残留文件还是存在的,当你双击除C盘以外的分区盘符时,病毒人造就再一次性运转了。所以当你确实要重装系统来处置病毒疑问时,要将其余分区中的病毒残留文件肃清洁净。编辑观念:封锁系统“智能播放”防闪存病毒文章引见了目前比拟盛行的闪存病毒的特色,应用Autorun.inf文件来包全自身不被彻底删除,这让重装系统就能处置一切病毒的时代一去不复返了。Autorun.inf文件应用的是系统的“智能播放”性能(病毒特意青睐应用该性能),因此咱们可以经过“组战略”将它封锁,这样病毒就会失去了一条关键的流传途径。封锁方法如下:口头“开局→运转”命令,在弹出的对话框中输入“gpedit.msc”命令,在弹出的“组战略”窗口中依次选用“计算机性能→治理模板→系统”,双击“封锁智能播放”,在弹出窗口中的“设置”选项卡当选用“已启用”,而后单击“确定”按钮即可(图3)。
如何破解免杀的流氓软件