最近这个AV终结者闹的沸沸扬扬,和以往的病毒不同,这个病毒有两点做的比较狠,很多人痛苦不堪:一是删除了注册表中安全模式相关的项目,导致不能进入安全模式;二是利用映像劫持技术(点这里查看映像劫持技术详解),导致几乎所有的杀毒软件和安全工具都打不开。听说短短几天时间就有无数电脑被拿下,无数密码被盗。病毒作者笑了,菜鸟们哭了。
症状:不能进入安全模式 症状原因:病毒删除了注册表中安全模式相关的注册表项,导致系统在进入安全模式时出错。
解决办法:用备份的注册表文件导入。如果没有备份,那么下载本帖附件的注册表程序双击导入即可。
症状:不能显示隐藏文件症状原因:病毒修改了注册表中相关键值,使系统中“显示所有文件”的项目不能被选中
解决办法:下载附件中的注册表程序双击导入即可。
症状:不能打开杀毒软件和其他安全工具症状原因:病毒正在运行,会监视当前窗体中所包含的关键字,一旦发现有包含“瑞星”、“卡巴斯基”等字样的窗口会立刻自动关闭
解决办法:到安全模式下杀毒,安全模式下病毒是不会运行的。
症状:安全模式下也打不开杀毒软件和其他安全工具 症状原因:病毒修改了注册表,利用影像劫持技术来实现阻止各种安全程序的运行。比如当你要打开卡巴斯基时,实际上是运行了病毒程序,卡巴斯基并没有打开。
解决办法:手工修改注册表,将[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]删除,重新建一个空的[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options] (操作注册表危险?放大胆子搞吧,反正你搞不定也得重装系统,怕什么?不动手一辈子不会搞。)
症状:格式化重装系统后马上被感染症状原因:这个事情原因就有点复杂了,有很多方面(大家都知道防病毒并非是做好一件事,而是无数件事),但这里最常见的两方面:一是系统有严重漏洞(包括没有设置密码或弱智密码),病毒会主动入侵;二是其他盘(系统盘以外的盘,包括U盘和移动硬盘)还留有病毒文件,从这些文件上又被感染了,特别是其他盘根目录有autorun.inf和病毒文件,只要你敢双击打开其他盘,马上感染,格式化重装的工作算是白搞了。
解决办法:第一个原因就比较好理解了,为系统打补丁设密码是基本劳动,这个还没搞的话没有安全性可言,就不用继续看下去了。
症状:为什么受伤的总是我?症状原因:其实是五个字:安全意识差!
解决办法:之前我也写过了,点这里查看(强烈推荐):处理病毒的基本思想、彻底剖析经常中毒的原因、为什么格盘重装还是有病毒?
具体到这个病毒本身,处理步骤应该是这样的:
1、修复注册表安全模式相关的项,然后重启进入带网络的安全模式(一会利用网络更新杀毒软件病毒库)
2、在安全模式下修复注册表显示隐藏文件相关的项,设置查看隐藏文件(注意,不要双击任何盘符,用鼠标右键菜单中选择“打开”)
3、删除所有盘符根目录下的autorun.inf和exe文件
4、删除所有病毒文件(根据这个帖子描述:详尽分析:AV终结者采用重定向劫持技术)
5、修复注册表中映像劫持的相关项(重要!这个不做还是打不开杀毒软件)
6、更新杀毒软件病毒库,全盘查杀!!或者使用专杀工具
7、马上检查系统漏洞,立刻打补丁,特别是重大漏洞补丁,要刻不容缓的打上。
8、如果是NTFS系统,建议立刻修改权限,系统目录、注册表重要项全部只赋权给administrator,而平时坚决不用该用户登录。平时用一个user组的用户登录就足够操作了。(该步骤参考资料:打造安全的Windows Server 2003系统,大部分内容XP系统也适用,前提是NTFS格式。偶家里的电脑一堆菜鸟用,但他们都是受限帐户,偶平时也使用受限帐户。不装杀毒软件裸奔都行,病毒根本进不来——它也没权限啊,呵呵。)
9、阅读更多关于病毒、系统安全方面的知识,建立足够强的安全意识,时刻关注安全动向和病毒资讯。
