手工清理病毒病毒 原来如此简单(1)

今天我们以今年泛滥比较严重的病毒之一的“AV终结者”的手工清理方法来像大家讲述如何手工清理这类非感染exe文件类型的病毒（本次讲述的办法在清理完病毒源头以后借助专杀工具依然可以适用于清理感染exe类病毒）。

    第一步：知己知彼，百战百胜

    要战胜AV终结者，我们先要了解自己的处境和它的特性还有弱点。首先我们来了解下AV终结者的执行以后的特征：

    1.在多个文件夹内生成随机文件名的文件

    旧版本的AV终结者在任务管理器里可以查看2个随机名的进程，新的变种文件名格式发生变化，目前我遇到过2种。
一种是随机8个字母+数字.exe和随机8个字母+数字.dll；另一种是6个随机字母组成的exe文件和inf文件。不管变种多少它们保存的路径大概都是如下几个：
    C:\windows
    C:\windows\help
    C:\Windows\Temp
    C:\windows\system32
    C:\Windows\System32\drivers
    C:\Program Files\
    C:\Program Files\Common Files\microsoft shared\
    C:\Program Files\Common Files\microsoft shared\MSInfo
    C:\Program Files\Internet Explorer
    以及IE缓存等

    这个是我个人总结出来的，随着病毒的变种。获取还有其他的。我这里只提供参考。

    2.感染磁盘及U盘

    当你的系统中了AV终结者，你会发现你的磁盘右键打开时将出现一个”Auto”也就是自动运行的意思，此时你的电脑已经中毒了，而且如果你这个时候企图插入移动硬盘、U盘，或者刻录光盘以保存重要资料，都将被感染。这也就为什么许多用户重装完系统甚至格式化磁盘以后病毒依然的原因。

    当你重装完系统，必定会有双击打开硬盘寻找软件或者驱动的时候，这个时候寄生在你磁盘根目录内的Autorun.inf文件就起到让病毒起死回生的功能了。这绝对不是耸人听闻哦！

    3.破坏注册表导致无法显示隐藏文件

    我们一起来看看磁盘里的Autorun.inf，因为此时你的系统已经无法显示隐藏文件了。这个也是AV终结者的一个特征，所以我们这里用到几条简单的dos命令。

    开始菜单-运行-输入“cmd”来到cmd界面，输入“D:” 跳转到D盘根目录，因为AV是不感染C盘根目录的，再输入“dir /a”显示D盘根目录内的所有文件及文件夹。“/a”这个参数就是显示所有文件，包含隐藏文件。如图：

    我们看到D盘内多出了Autorun.inf以及随机生成的病毒文件017a4901.exe。我们一起看看Autorun.inf的内容，输入”type autorun.inf”，Autorun.inf里的代码的意思就是当你双击打开、右键打开、资源管理器打开。都会自动运行目录里的017A4901.exe这个文件。所以对于普通用户来说，即使你听过别人劝告，通过右键打开企图避免运行病毒也是徒劳的。因为“上有政策下有对策”，病毒也是在不断的变种升级的！当然它并不是无敌的，下文中我们就会讲述如何清理它。

    4. 在注册表中写入启动项，已达到自动启动

    HKEY_CLASSES_ROOT\CLSID\"随机CLSID"\\InprocServer32 "病毒文件全路径" 
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\"随机CLSID" "病毒文件全路径" 
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks "生成的随机CLSID" ""
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "随机字符串" "病毒文件全路径"
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc Start dword:00000004
    其他病毒及变种写入注册表的位置不同，下文的实战部分我们将详细说明

    5.映像劫持技术

    通过修改注册表
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options的内容达到劫持几乎所有主流杀毒软件，甚至360安全卫士这样的工具的目的，被劫持后的现象是，杀毒软件无法自动运行，实时监控也无法启动，双击运行闪出一个黑色dos窗口后立刻消失。其实这个时候就是利用劫持技术转向运行了病毒本身。这个时候杀毒软件就彻底倒下了。关键时刻我们果然还是要靠自己手工清理啊！

    6.修改以下服务的启动类型来禁止Windows的自更新和系统自带的防火墙

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess Start dword:00000004
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv Start dword:00000004

    7.删除以下注册表项，使用户无法进入安全模式

    HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
    HKEY_CURRENT_USER\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}

    8.连接网络下载更多的游戏木马、广告软件以为病毒作何谋取经济利益。

    9.强制关闭包含和病毒或者清理病毒或者杀毒软件有关的信息的页面。

    10.注入Explorer.exe和TIMPlatform.exe反弹连接，以逃过防火墙的内墙的审核。

    11.新的变种中加入双进程保护，当你结束一个进程，另一个进程自动重新启动它并关闭你的任务管理器。

    12.跟随系统唯一可以使用的安全模式“控制目录恢复模式”启动，并防止企图清理注册表里的启动项以清除病毒的行为，让你清除注册表的下秒，它又自动建立了！