文章来源:IT168

今天我们以今年泛滥比较严重的病毒之一的“AV终结者”的手工清理方法来像大家讲述如何手工清理这类非感染exe文件类型的病毒（本次讲述的办法在清理完病毒源头以后借助专杀工具依然可以适用于清理感染exe类病毒）。

第一步：知己知彼，百战百胜

要战胜AV终结者，我们先要了解自己的处境和它的特性还有弱点。首先我们来了解下AV终结者的执行以后的特征：

1.在多个文件夹内生成随机文件名的文件

旧版本的AV终结者在任务管理器里可以查看2个随机名的进程，新的变种文件名格式发生变化，目前我遇到过2种。
一种是随机8个字母+数字.exe和随机8个字母+数字.dll；另一种是6个随机字母组成的exe文件和inf文件。不管变种多少它们保存的路径大概都是如下几个：
C:\windows
C:\windows\help
C:\Windows\Temp
C:\windows\system32
C:\Windows\System32\drivers
C:\Program Files\
C:\Program Files\Common Files\microsoft shared\
C:\Program Files\Common Files\microsoft shared\MSInfo
C:\Program Files\Internet Explorer
以及IE缓存等

这个是我个人总结出来的，随着病毒的变种。获取还有其他的。我这里只提供参考。

2.感染磁盘及U盘

当你的系统中了AV终结者，你会发现你的磁盘右键打开时将出现一个”Auto”也就是自动运行的意思，此时你的电脑已经中毒了，而且如果你这个时候企图插入移动硬盘、U盘，或者刻录光盘以保存重要资料，都将被感染。这也就为什么许多用户重装完系统甚至格式化磁盘以后病毒依然的原因。

当你重装完系统，必定会有双击打开硬盘寻找软件或者驱动的时候，这个时候寄生在你磁盘根目录内的Autorun.inf文件就起到让病毒起死回生的功能了。这绝对不是耸人听闻哦！

3.破坏注册表导致无法显示隐藏文件

我们一起来看看磁盘里的Autorun.inf，因为此时你的系统已经无法显示隐藏文件了。这个也是AV终结者的一个特征，所以我们这里用到几条简单的dos命令。

开始菜单-运行-输入“cmd”来到cmd界面，输入“D:” 跳转到D盘根目录，因为AV是不感染C盘根目录的，再输入“dir /a”显示D盘根目录内的所有文件及文件夹。“/a”这个参数就是显示所有文件，包含隐藏文件。如图：

我们看到D盘内多出了Autorun.inf以及随机生成的病毒文件017a4901.exe。我们一起看看Autorun.inf的内容，输入”type autorun.inf”，Autorun.inf里的代码的意思就是当你双击打开、右键打开、资源管理器打开。都会自动运行目录里的017A4901.exe这个文件。所以对于普通用户来说，即使你听过别人劝告，通过右键打开企图避免运行病毒也是徒劳的。因为“上有政策下有对策”，病毒也是在不断的变种升级的！当然它并不是无敌的，下文中我们就会讲述如何清理它。

4. 在注册表中写入启动项，已达到自动启动

HKEY_CLASSES_ROOT\CLSID\"随机CLSID"\\InprocServer32 "病毒文件全路径"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\"随机CLSID" "病毒文件全路径"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks "生成的随机CLSID" ""
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "随机字符串" "病毒文件全路径"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc Start dword:00000004
其他病毒及变种写入注册表的位置不同，下文的实战部分我们将详细说明

5.映像劫持技术

通过修改注册表
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options的内容达到劫持几乎所有主流杀毒软件，甚至360安全卫士这样的工具的目的，被劫持后的现象是，杀毒软件无法自动运行，实时监控也无法启动，双击运行闪出一个黑色dos窗口后立刻消失。其实这个时候就是利用劫持技术转向运行了病毒本身。这个时候杀毒软件就彻底倒下了。关键时刻我们果然还是要靠自己手工清理啊！

6.修改以下服务的启动类型来禁止Windows的自更新和系统自带的防火墙

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess Start dword:00000004
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv Start dword:00000004

7.删除以下注册表项，使用户无法进入安全模式

HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKEY_CURRENT_USER\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}

8.连接网络下载更多的游戏木马、广告软件以为病毒作何谋取经济利益。

9.强制关闭包含和病毒或者清理病毒或者杀毒软件有关的信息的页面。

10.注入Explorer.exe和TIMPlatform.exe反弹连接，以逃过防火墙的内墙的审核。

11.新的变种中加入双进程保护，当你结束一个进程，另一个进程自动重新启动它并关闭你的任务管理器。

第二步：实战清理病毒

通过上面的内容相信你已经基本了解病毒的运作方式，现在杀毒软件已经“下岗”了，那么现在我们就靠自己的双手将它驱逐出去，还您一片蓝色的天空吧！

首先介绍今天的主角：WinPe 老毛桃修改版

这是一个类似windows98的操作系统。它体积很小只有几十M，现在很多系统安装版里都集成了这个软件，或者你也可以上网下载一个iso文件。用虚拟光驱运行，会有安装到系统的功能，所以没有刻录机的朋友一样可以使用它，当然它还有U盘版。我今天使用的是光盘版，或许你会问“为什么要用这个操作系统？他和xp有什么区别呢？难道用他就不会开机运行病毒了？”

是的！说的没错！因为WinPe是光盘或本地安装出来的一个虚拟磁盘的操作系统，他和系统本身是没有挂钩的，所以不会启动windows注册表里的启动项。这个的带来的优势就是我们可以在病毒启动之前就把他删除掉！设想，一个病毒虽然在注册表里配置的启动项，但是他的原始病毒文件已经不存在了。和谈启动运行？这就是我们今天的重点思路！在病毒启动以前将病毒文件全部删除，让他有心无力！

下面是winpe下操作的截图：

是不是和98或者2003很像？Winpe的另一个好处就是，我们前面提到的磁盘感染Autorun.inf对它也是无效的。右键是没有”Auto”这个选项的，所以我们在winpe下可以放心的双击盘符而不会运行病毒！

[1] [2] [3] [4] 下一页