遠程清除機器狗、AV終結者混合入侵實戰

昨晚一哥們半夜雞叫，說他的電腦中了病毒，殺毒軟體不能用，也裝不上，我估計是中了機器狗。建議他從正常電腦下載論壇提供的機器狗專殺，再到自己電腦上查毒。結果這哥們當晚沒解決，今天又找上我。

首先用QQ給傳了個機器狗專殺和磁碟機專殺，機器狗專殺報告發現av_killer_x，按提示重啟後，病毒仍未清除，磁碟機專殺沒有報告病毒。

遂遠程連過去，用最新的AV終結者/機器狗專殺處理病毒，並抓了一堆新版機器狗清除後清理專家掃瞄的截圖。

機器狗專殺報告發現安全模式被破壞、av_killer_x和另一個病毒。清除後，點停止查毒，再刷新，病毒又來了，專殺提示重啟電腦，重啟發現故障依 舊。除毒霸新出的機器狗/AV終結者專殺和磁碟機專殺外，這台電腦上，毒霸和清理專家均不能運行，主程序已被病毒刪除，COPY過去之後，雙擊程序立即再 次被刪除。

剛好，珠海要跟蹤新版專殺的效果，就把這個用戶交給水中雁處理。水大師遠程連接後，用procxp關閉了explorer.exe進程裡面的一個隨機文件 名隨機後綴名的文件句柄（可理解為在explorer.exe進程中運行的一個子程序模塊或線程），然後將這個句柄對應的system32下的那個文件改 名，再搜索硬碟中同樣大小的文件，結果刪除了QQ目錄下的和該文件大小一致的文件。重啟計算機之後，發現av_killer_x被徹底清除。

據水大師後來分析，機器狗/AV終結者專殺5.0查殺失敗的原因可能是未全部關閉這個句柄，可能與開著QQ遠程桌面有關，如果關閉所有不相關程序後，再運行，就可能清除成功。

最新版本機器狗/AV終結者專殺下載

接下來我重新遠程連接到他的桌面，將清理專家，毒霸主程序COPY回去，運行清理專家完成掃尾就可以了。以下是清理專家掃瞄的幾張截圖。

1.找到15個惡意軟體，機器狗下載器果然很強悍。

2.修復啟動項中的殘留信息

3.將清除病毒之後，驅動中留下的殘留信息刪除。

4.將病毒修改的映像劫持項目修復，這裡清理專家不能直接修復，在相應的加載項點左鍵，快捷菜單中選擇定位到註冊表，將這些錯誤的引用全部刪除。（提醒，對註冊表不熟的朋友小心操作，下手慢一點，看清楚註冊表編輯器右邊窗口鍵值和清理專家檢查結果一致的 ，就刪除。

(