很多人都說中了這個病毒上面的三個軟體都打不開,原因是病毒對常用殺毒軟體和殺毒輔助軟體進行了映像劫持,運行這些軟體不改名的話,就等於執行了病毒檔案.我們可以先運行Autoruns(已經改名為aa.exe了,下面我只提軟體名字,不再提示是改名前的名字了).
2.
發現了什麼?呵呵,常見殺毒軟體和輔助軟體的名字基本都在這兒了.只要你運行和這個列表裡名字相同的軟體,就會自動轉向運行病毒檔案.
二
運行Icesword,尋找病毒進程,永久下載者有兩個進程,互相保護,使用Windows的工作管理員是關不掉它的進程的.所以這裡要求是對電腦較瞭解的人,要不然不知道病毒進程是哪些.因為AV終結者有很多類型,所以需要自已判斷哪些是病毒進程.
3,
找到病毒進程,首先記下後面病毒的路徑.按住Ctrl把兩個進程都選上,點右鍵結束進程,因為兩個進程同時關閉,所以病毒的進程保護就不起作用了.重新整理幾次,看看有沒有新的病毒進程,如果沒有,就可以進行下一步了.
三
點Icesword左側的"檔案",找到上面記下的路徑裡的兩件檔案,刪除.然後找到C:\D:\E:\等各個分區根目錄下的autorun.inf和*****.exe,*****.exe就是autorun.inf裡面寫著的程式名,我這裡是epijcxh.exe.
4.
現在AV終結者病毒對Autorun.inf檔案進行了改進,右鍵不會出現Auto的字樣,雙擊也可以進入分區,但不管右鍵點開啟進入還是雙擊進入,都會運行病毒檔案,這就是許多人只格C盤重裝後馬上又中毒的原因.要刪除這幾個檔案必須要用第三方的軟體,比如Winrar,Icesword,Totalcmd等資源管理員軟體,或者Windows的cmd命令列,否則進入分區後就運行了病毒程式,前面的所做的一切都要重新來一遍.
注意:刪除了Autorun.inf和*****.exe之後,不管右鍵還是雙擊都進不去這個分區了,如果想找到某個檔案或運行某個程式,可以直接在地址欄中輸入 c: 或 d: 等等然後斷行符號來進入這個分區
四
現在輪到Autoruns出場了,運行Autoruns,點"使用者登入",找到病毒寫入註冊表的啟動命令.點右鍵刪除這兩個.後面顯示的是"未找到檔案",因為我們剛才在Icesword裡面已經把這兩件檔案刪除了.
5.
然後再點映像劫持,把除了最後的Your Image File Name Here without a path c:\windows\system32\ntsd.exe之外的全都刪除,累啊,這麼多....刪完後應該是這樣的,6.
到此,AV終結者病毒基本已經清除了.但是....呵呵,一聽到但是,就知道還沒完.因為我們僅僅清除了AV終結者,AV終結者所下載下來的木馬我們還沒有殺.大家都注意到了圖3中紅色的iexplorer進程了吧,這就是AV終結者下載下來的灰鴿子木馬進程.Icesword可以發現隱藏進程並用紅色表示,在Windows工作管理員下是看不到這個進程的.一般情況下這種紅色進程都不是什麼好鳥~
文章開始已經說了AV終結者有很多類型,並不是每一種都像"永久下載者"這樣唯寫入註冊表啟動項.所以SREng這時候就派上用場了,使用SREng掃描,把註冊表啟動項,服務,驅動這些都檢測一遍,結合Icesword可以一起把木馬也清除掉.因為SREng的使用需要對電腦的服務項和驅動項都比較瞭解,電腦初學者可以使用SREng的智能掃描掃一個報告發到一些大論壇上請高手指導你哪些要刪.這裡我就不詳細示範怎麼手動殺掉灰鴿子了,使用SREng和Icesword很容易就可以清除掉.
我還考慮做一個動畫教程,但現在是在辦公室裡機子很爛也不太方便,以後有時間我會做的.
歡迎大家加入群:4550740
Start building with 50+ products and up to 12 months usage for Elastic Compute Service
1 on 1 presale consultation
24/7 Technical Support 6 Free Tickets per Quarter Faster Response
Alibaba Cloud offers highly flexible support services tailored to meet your exact needs.
A comprehensive suite of global cloud computing services to power your business
Payment Methods We Support
