【正文】 108002be10318}和 HKEYLOCALMACHINE\SYSTEM\ currentcontrolset\control\safeboot\minimal\，將 administors用戶組和 users用戶組的權限全部取消即可。 ? 在“ regedit”中找到 HEKEYLOCALMACHINE\software\microsoft\windows NT\currentversion\image file execution options， 將以殺毒軟件和安全工具命名的項刪除。建立完畢后，病毒還會在里面建立一個 Debugger鍵，鍵值為：“ c:\progra~1\mon~1\micros~1\msinfo\05cc73b2.dat”。因此即使我們知道了這是病毒生成的文件，也別指望通過病毒名在網(wǎng)絡上找到病毒的清楚方法。目前該病毒已經(jīng)衍生多個新變種 ,有可能在互聯(lián)網(wǎng)上大范圍傳播。它能破壞大量的 殺毒軟件 和 個人防火墻 的正常監(jiān)控和保護功能 ,導致用戶電腦的安全性能下降 ,容易受到病毒的侵襲。 ? ? AV終結者最徹底解決方案 ? 病毒名稱： AV終結者 ? 傳播方式：內(nèi)存， windows漏洞 ? 破壞方式：進程插入 ? 生成病毒文件名： 隨機 8位字符 ? 自我保護：應用程序綁架 ? 病毒目的：從網(wǎng)絡上下載大量木馬 ? 危害等級：★★★★★ ? 近日網(wǎng)絡上出現(xiàn)了一種破壞力及強的病毒“ AV終結者”，不到一個月時間，變種就已達到數(shù)百個之多，波及人群超過十幾萬人，這個病毒非常變態(tài)，一旦感染就很難清楚。國內(nèi)絕大多數(shù)的殺毒軟件和安全工具都被列入了黑名單。 ? 此外，病毒還會破壞 windows防火墻和安全模式，封堵用戶的后路。 ? 其次，要限制 IFEO的讀寫權，達到限制病毒通過 IFEO劫持殺毒軟件的目的。 ? 病毒現(xiàn)象 ? 4. 禁用 windows自動更新和 Windows防火墻，這樣木馬下載器工作時，就不會有任何提示窗口彈出來。7. 在本地硬盤、 U盤或移動硬盤生成 ，通過自動播放功能進行傳播。 ? 2. 給系統(tǒng)打好補丁程序，尤其是 MS06014和 MS0717這兩個補丁，目前絕大部分的網(wǎng)頁木馬都是通過這兩個 漏洞 入侵到計算機里面的。 ? （注： AV終結者專殺工具的重要功能是修復被破壞的系統(tǒng)，包括修復映像劫持；修復被破壞的安全模式；修復隱藏文件夾的正常顯示和刪除各磁盤分區(qū)的自動播放配置。 ? 3. 然后到各個硬盤根目錄下面刪除 文件和可疑的 8位數(shù)字文件，注意，不要直接雙擊打開各個硬盤分區(qū)，而應該利用 Windows資源管理器左邊的樹狀目錄來瀏覽。與其它關閉殺毒軟件的病毒不同的是，該病毒利用了多達六種強制關閉殺毒軟件和干擾用戶查殺的反攻手段，許多自身保護能力不夠強壯的殺毒軟件在病毒面前紛紛被折。該病毒會感染除 windows及program files目錄下所有的 EXE格式可執(zhí)行文件，會造成用戶計算機運算速度緩慢，甚至造成系統(tǒng)藍屏、死機。 ? 三、自我保護和隱藏能力 ? “熊貓燒香”采用的是進程保護，病毒首先生成一個系統(tǒng)服務程序來保護其進程不被關閉，只要清除了病毒生成的系統(tǒng)服務，就可以輕松關閉其進程。 ? 四、病毒變種和自我更新速度 ? “熊貓燒香”由于技術上較“磁碟機”簡單，加上源代碼可能外泄，因此病毒變種較多，而”磁碟機”由于病毒程序復雜，加上目前可以確定其源代碼尚未泄露到互聯(lián)網(wǎng)上，因此一周只出現(xiàn)兩到三個變種，最多的時候達到了一天出現(xiàn)兩個變種的速度，雖然相較于“熊貓燒香”在變種數(shù)量上稍遜一籌，但“磁碟機”的在線升級更新速度之快令人咋舌。 ? 而“磁碟機”病毒也正是在這種刻意低調(diào)的偽裝下，伺機竊取用戶的隱私敏感信息，包括游戲帳號和網(wǎng)上銀行、網(wǎng)上證券交易等帳號密碼，這比“熊貓燒香”明目張膽的打劫更可怕。 ? 6． 遍歷磁盤，在所有磁盤中添加 ， 使得用戶打開磁盤的同時運行病毒。 ? ，把自己注到所有進程中，該動態(tài)庫主要用來 HOOK API和重寫注冊表。 ? 3．格式： ATTRIB [文件名 ] [+R|R][+A|A][+H|H][+S|S][/S] ? 4．使用說明： ? （ 1）選用 +R參數(shù)，將指定文件設為只讀屬性，使得該文件只能讀取，無法寫入數(shù)據(jù)或刪除；選用 R參數(shù)，去除只讀屬性； ? （ 2）選用 +A參數(shù)，將文件設置為檔案屬性；選用 A參數(shù)，去除檔案屬性； ? （ 3）選用 +H參數(shù)，將文件調(diào)協(xié)為隱含屬性；選用 H參數(shù)，去隱含屬性； ? （ 4）選用 +S參數(shù)，將文件設置為系統(tǒng)屬性；選用 S參數(shù)，去除系統(tǒng)屬性； ? （ 5）選用 /S參數(shù)，對當前目錄下的所有子目錄及作設置。（繼續(xù)咒罵微軟 10000遍） ? 用改名大法將 system32和 dllcache目錄下的 （為安全起見，筆者使用了 WinRAR的資源管理功能），再重啟系統(tǒng)看看。最重要的，還是要用最新病毒庫的殺毒軟件全盤殺毒，切記！ 。發(fā)現(xiàn)改名后的 ，但 system32目錄下出現(xiàn)了一個怪怪的 (見下圖 )。據(jù)調(diào)查，這種情況是多種病毒混合入侵導致。 ? 2． HOOK EnumProcessModules、 OpenProcess和 CloseHandle這幾個 API使得殺毒軟件無法查殺病毒進程。 ? 8． 感染可執(zhí)行文件，當找個可執(zhí)行文件時，把正常文件放在自己最后一個節(jié)中，通過病毒自身所帶的種子值對正常文件進行加密。然后在 System32路徑下