【正文】 108002be10318}和 HKEYLOCALMACHINE\SYSTEM\ currentcontrolset\control\safeboot\minimal\，將 administors用戶組和 users用戶組的權(quán)限全部取消即可。 ? 在“ regedit”中找到 HEKEYLOCALMACHINE\software\microsoft\windows NT\currentversion\image file execution options， 將以殺毒軟件和安全工具命名的項(xiàng)刪除。建立完畢后，病毒還會在里面建立一個(gè) Debugger鍵，鍵值為：“ c:\progra~1\mon~1\micros~1\msinfo\05cc73b2.dat”。因此即使我們知道了這是病毒生成的文件，也別指望通過病毒名在網(wǎng)絡(luò)上找到病毒的清楚方法。目前該病毒已經(jīng)衍生多個(gè)新變種 ,有可能在互聯(lián)網(wǎng)上大范圍傳播。它能破壞大量的 殺毒軟件 和 個(gè)人防火墻 的正常監(jiān)控和保護(hù)功能 ,導(dǎo)致用戶電腦的安全性能下降 ,容易受到病毒的侵襲。 ? ? AV終結(jié)者最徹底解決方案 ? 病毒名稱： AV終結(jié)者 ? 傳播方式：內(nèi)存， windows漏洞 ? 破壞方式：進(jìn)程插入 ? 生成病毒文件名： 隨機(jī) 8位字符 ? 自我保護(hù)：應(yīng)用程序綁架 ? 病毒目的：從網(wǎng)絡(luò)上下載大量木馬 ? 危害等級：★★★★★ ? 近日網(wǎng)絡(luò)上出現(xiàn)了一種破壞力及強(qiáng)的病毒“ AV終結(jié)者”，不到一個(gè)月時(shí)間，變種就已達(dá)到數(shù)百個(gè)之多，波及人群超過十幾萬人，這個(gè)病毒非常變態(tài)，一旦感染就很難清楚。國內(nèi)絕大多數(shù)的殺毒軟件和安全工具都被列入了黑名單。 ? 此外，病毒還會破壞 windows防火墻和安全模式，封堵用戶的后路。 ? 其次，要限制 IFEO的讀寫權(quán)，達(dá)到限制病毒通過 IFEO劫持殺毒軟件的目的。 ? 病毒現(xiàn)象 ? 4. 禁用 windows自動(dòng)更新和 Windows防火墻，這樣木馬下載器工作時(shí)，就不會有任何提示窗口彈出來。7. 在本地硬盤、 U盤或移動(dòng)硬盤生成 ，通過自動(dòng)播放功能進(jìn)行傳播。 ? 2. 給系統(tǒng)打好補(bǔ)丁程序，尤其是 MS06014和 MS0717這兩個(gè)補(bǔ)丁，目前絕大部分的網(wǎng)頁木馬都是通過這兩個(gè) 漏洞 入侵到計(jì)算機(jī)里面的。 ? （注： AV終結(jié)者專殺工具的重要功能是修復(fù)被破壞的系統(tǒng)，包括修復(fù)映像劫持；修復(fù)被破壞的安全模式；修復(fù)隱藏文件夾的正常顯示和刪除各磁盤分區(qū)的自動(dòng)播放配置。 ? 3. 然后到各個(gè)硬盤根目錄下面刪除 文件和可疑的 8位數(shù)字文件，注意，不要直接雙擊打開各個(gè)硬盤分區(qū)，而應(yīng)該利用 Windows資源管理器左邊的樹狀目錄來瀏覽。與其它關(guān)閉殺毒軟件的病毒不同的是，該病毒利用了多達(dá)六種強(qiáng)制關(guān)閉殺毒軟件和干擾用戶查殺的反攻手段，許多自身保護(hù)能力不夠強(qiáng)壯的殺毒軟件在病毒面前紛紛被折。該病毒會感染除 windows及program files目錄下所有的 EXE格式可執(zhí)行文件，會造成用戶計(jì)算機(jī)運(yùn)算速度緩慢，甚至造成系統(tǒng)藍(lán)屏、死機(jī)。 ? 三、自我保護(hù)和隱藏能力 ? “熊貓燒香”采用的是進(jìn)程保護(hù)，病毒首先生成一個(gè)系統(tǒng)服務(wù)程序來保護(hù)其進(jìn)程不被關(guān)閉，只要清除了病毒生成的系統(tǒng)服務(wù)，就可以輕松關(guān)閉其進(jìn)程。 ? 四、病毒變種和自我更新速度 ? “熊貓燒香”由于技術(shù)上較“磁碟機(jī)”簡單，加上源代碼可能外泄，因此病毒變種較多，而”磁碟機(jī)”由于病毒程序復(fù)雜，加上目前可以確定其源代碼尚未泄露到互聯(lián)網(wǎng)上，因此一周只出現(xiàn)兩到三個(gè)變種，最多的時(shí)候達(dá)到了一天出現(xiàn)兩個(gè)變種的速度，雖然相較于“熊貓燒香”在變種數(shù)量上稍遜一籌，但“磁碟機(jī)”的在線升級更新速度之快令人咋舌。 ? 而“磁碟機(jī)”病毒也正是在這種刻意低調(diào)的偽裝下，伺機(jī)竊取用戶的隱私敏感信息，包括游戲帳號和網(wǎng)上銀行、網(wǎng)上證券交易等帳號密碼，這比“熊貓燒香”明目張膽的打劫更可怕。 ? 6． 遍歷磁盤，在所有磁盤中添加 ， 使得用戶打開磁盤的同時(shí)運(yùn)行病毒。 ? ，把自己注到所有進(jìn)程中，該動(dòng)態(tài)庫主要用來 HOOK API和重寫注冊表。 ? 3．格式： ATTRIB [文件名 ] [+R|R][+A|A][+H|H][+S|S][/S] ? 4．使用說明： ? （ 1）選用 +R參數(shù)，將指定文件設(shè)為只讀屬性，使得該文件只能讀取，無法寫入數(shù)據(jù)或刪除；選用 R參數(shù)，去除只讀屬性； ? （ 2）選用 +A參數(shù)，將文件設(shè)置為檔案屬性；選用 A參數(shù)，去除檔案屬性； ? （ 3）選用 +H參數(shù)，將文件調(diào)協(xié)為隱含屬性；選用 H參數(shù)，去隱含屬性； ? （ 4）選用 +S參數(shù)，將文件設(shè)置為系統(tǒng)屬性；選用 S參數(shù)，去除系統(tǒng)屬性； ? （ 5）選用 /S參數(shù)，對當(dāng)前目錄下的所有子目錄及作設(shè)置。（繼續(xù)咒罵微軟 10000遍） ? 用改名大法將 system32和 dllcache目錄下的 （為安全起見，筆者使用了 WinRAR的資源管理功能），再重啟系統(tǒng)看看。最重要的，還是要用最新病毒庫的殺毒軟件全盤殺毒，切記！ 。發(fā)現(xiàn)改名后的 ，但 system32目錄下出現(xiàn)了一個(gè)怪怪的 (見下圖 )。據(jù)調(diào)查，這種情況是多種病毒混合入侵導(dǎo)致。 ? 2． HOOK EnumProcessModules、 OpenProcess和 CloseHandle這幾個(gè) API使得殺毒軟件無法查殺病毒進(jìn)程。 ? 8． 感染可執(zhí)行文件，當(dāng)找個(gè)可執(zhí)行文件時(shí)，把正常文件放在自己最后一個(gè)節(jié)中，通過病毒自身所帶的種子值對正常文件進(jìn)行加密。然后在 System32路徑下