經典回顧：手動刪除讓「AV終結者」終結

【賽迪網-IT技術報道】【社區整理】AV終結者是通過修改註冊表達到映射的作用，所以我們要限定該項的寫入權限來防止這個AV終結者再次將惡意代碼寫入註冊表。

HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File ExecutionOptions

導入「Image File Execution Options.reg」進行臨時修復，使安全工具和殺毒軟體啟動起來，接下來就需要作權限作一個該AV終結者病毒免疫，讓它無法將殺毒軟體自動關閉。

傳播途徑

「AV終結者」的重要傳播途徑是USB隨身碟等移動儲存介質。它通過USB隨身碟、移動硬碟的自動播放功能傳播，建議用戶暫時關閉電腦的這一功能。用戶近期一定要注意USB隨身碟使用安全，不要在可疑電腦上使用USB隨身碟，以免自己的電腦受到傳染。

病毒特徵

這種病毒主要特徵有：禁用所有殺毒軟體以及相關安全工具，讓用戶電腦失去安全保障；致使用戶根本無法進入安全模式清除病毒；強行關閉帶有病毒字樣的網頁，只要在網頁中輸入『病毒』相關字樣，網頁遂被強行關閉，即使是一些安全論壇也無法登陸，用戶無法通過網絡尋求解決辦法。

病毒現象

1. 生成很多8位數字或字母隨機命名的病毒程序文件，並在電腦開機時自動運行。

2. 綁架安全軟體，中毒後會發現幾乎所有殺毒軟體，系統管理工具，反間諜軟體不能正常啟動。即使手動刪除了病毒程序，下次啟動這些軟體時，還會報錯。

3. 不能正常顯示隱藏文件，其目的是更好的隱藏自身不被發現。

4. 禁用windows自動更新和Windows防火牆，這樣木馬下載器工作時，就不會有任何提示窗口彈出來。為該病毒的下一步破壞打開方便之門。

5. 破壞系統安全模式，使得用戶不能啟動系統到安全模式來維護和修復。

6. 當前活動窗口中有殺毒、安全、社區相關的關鍵字時，病毒會關閉這些窗口。假如你想通過瀏覽器搜索有關病毒的關鍵字，瀏覽器窗口會自動關閉。

7. 在本地硬碟、USB隨身碟或移動硬碟生成autorun.inf和相應的病毒程序文件，通過自動播放功能進行傳播。這裡要注意的是，很多用戶格式化系統分區後重裝，訪問其它硬碟，立即再次中毒，用戶會感覺這病毒格式化也不管用。

8. 病毒程序的最終目的是下載更多木馬、後門程序。用戶最後受損失的情況取決於這些木馬和後門程序。

病毒解決方案

因為這個病毒會攻擊殺毒軟體，已經中毒的電腦殺毒軟體沒法正常啟動，雙擊沒反應，因而這時無法用殺毒軟體來清除：利用手動解決也相當困難，並且，AV終結者是一批病毒，不能簡單的通過分析報告來人工刪除。推薦的清除步驟如下：

1.先從正常系統中導出以下註冊表項

HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/WindowsNT/CurrentVersion/ImageFile Execution Options

2. 在正常的電腦上禁止自動播放功能，以避免通過插入USB隨身碟或移動硬碟而被病毒感染。把AV終結者專殺工具從正常的電腦複製到USB隨身碟或移動硬碟上，然後再複製到中毒的電腦上。

3. 執行AV終結者專殺工具，清除已知的病毒，修復被系統配置。

（註：AV終結者專殺工具的重要功能是修復被破壞的系統，包括修復映像劫持；修復被破壞的安全模式；修復隱藏文件夾的正常顯示和刪除各硬碟分區的自動播放配置。）

4. 不要立即重啟電腦，然後啟動殺毒軟體，升級病毒庫，進行全盤掃瞄。以清除木馬下載器下載的其它病毒。

手動清除辦法

1.到網上下載IceSword工具，並將該工具改名，如改成abc.exe 名稱，這樣就可以突破病毒進程對該工具的屏蔽。然後雙擊打開IceSword工具，結束一個8位數字的EXE文件的進程，有時可能無該進程。

2.利用IceSword的文件管理功能，展開到C:/Program Files/Common Files/Microsoft Shared/MSINFO/下，刪除2個8位隨機數字的文件，其擴展名分別為：dat 和dll 。再到%windir%/help/目錄下，刪除同名的.hlp或者同名的.chm文件，該文件為系統幫助文件圖標。

3. 然後到各個硬碟根目錄下面刪除Autorun.inf 文件和可疑的8位數字文件，注意，不要直接雙擊打開各個硬碟分區，而應該利用Windows資源管理器左邊的樹狀目錄來瀏覽。有時電腦中毒後可能無法查看隱藏文件，這時可以利用WinRar軟體的文件管理功能來瀏覽文件和進行刪除操作。

4.利用IceSword的註冊表管理功能，展開註冊表項到：

HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options

當完成以上操作之後，就可以安裝或打開殺毒軟體了，然後升級殺毒軟體到最新的病毒庫，對電腦進行全盤殺毒。

（