shandongflower.com 's blog

1、AV终结者：Anti Virus killer(杀毒软件终结者)
这是一类病毒，并不是某一个具体的病毒，江民称之为“U盘寄生虫”、金山称之为“AV终结者”、瑞星称之为“帕虫”。

解决方法1：瑞星方案

（一）未感染该蠕虫的计算机用户采用以下措施：

１、立即升级计算机系统中防病毒软件，暂时关闭微软“自动播放”功能。

具体方法：打开“开始→运行”，在对话框中输入“gpedit.msc”命令，在
出现“组策略”窗口中依次选择“在计算机配置→管理模板→系
统”，双击“关闭自动播放”，在“设置”选项卡中选“已启
用”选项，最后单击“确定”按钮即可。这样可以防止染有蠕虫
的移动存储设备（如：U盘）接入时受到感染。

２、使用移动存储设备前，务必进行病毒的扫描工作，查杀移动存储设备中存
在的已知病毒；

（二）已经感染该蠕虫的计算机用户采用以下措施：

立即下载专杀工具进行查杀，同时将受感染的移动存储设备（如：U盘）进行
格式化处理，彻底清除残留的病毒文件。另外，对系统全盘进行病毒清除。

安全建议：

1、修改操作系统中的一些设置参数，提高系统安全设置。如：关闭微软
“自动播放”功能等。

2、计算机用户使用U盘等移动设备交换文件时，务必开启杀毒软件的“实时
监控”功能，或先用防病毒软件扫描，并关闭自动播放功能。

解决方案2:金山毒霸

第1步：在能正常上网的电脑上登录金山毒霸网站，
下载“AV终结者”专杀工具

     第2步：在正常的电脑上禁止自动播放功能，避免插入U盘或移动硬盘而被病毒感染。
把AV终结者专杀工具从正常的电脑复制到U盘或移动硬盘上，然后再复制到中毒的电脑上。     第3步：执行AV终结者专杀工具，清除已知的病毒，修复被破坏的系统配置。     第4步：不要立即重启电脑，请先启动杀毒软件，升级病毒库，进行全盘扫描。以清除木马下载器下载的其它病毒。

解决方法3：个人浅谈
1．进入金山毒霸杀毒网站，下载一个“AV终结者”的最新专杀软件。
2．为了防止“显示所有文件和文件夹”功能被病毒强行关闭，我告诉大家解决方法：显示出被隐藏的系统文件运行——regedit，
HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL，将CheckedValue键值修改为1 ，这样就可以选择“显示所有隐藏文件”和“显示系统文件”。在文件夹——工具——文件夹选项中将系统文件和隐藏文件设置为显示

3．运行AV终结者专杀程序，开始杀毒，如果感染，很快便会杀出病毒“AV_KILLER.A”，而且金山毒霸的专杀程序会提示“重启电脑”。
4．重启电脑后，再打开专杀，再杀一次，一般会杀出4个病毒，专杀会提示“发现
Broken_SafeBoot，Broken_Autorun_Inf，发现AV_Killer.a，笔者的是“AV_Killer.c”的变种。（注：AV终结者专杀工具的重要功能是修复被破坏的系统，包括修复映像劫持；修复被破坏的安全模式；修复隐藏文件夹的正常显示和删除各磁盘分区的自动播放配置。）

5．重启，重启后，病毒症状应该都消失了，你会发现你能打开网页了，如果不行，表示还没成功。如果成功后，下面我们来做接下来的的清除工作。

6． 关闭windows硬件自动播放功能，注册表中的位置：
“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom”,修改右侧的DWORD类型的项目“AutoRun”,把值由1改为0

7． 用提示符删除病毒文件。操作方法：
①点“开始”——“运行”，输入 “cmd”，回车，输入 “D：”回车，到达D盘跟目录；
②输入 “dir /a”查看是否存在“autorun.inf”和“oatrfhf.exe”两个文件，这时候应该只存在“oatrfhf.exe”文件。
③输入 “del oatrfhf.exe /a” 回车，系统没有提示，自动仍然回到D盘根目录；
④回到根目录提示符下以后，你可以输入 “dir /a” 查看此文件是否已经被删除。
⑤接着输入“E：”，接着操作从②开始往后...有几个盘就要在几个盘下这样手动操作一次。包括U盘或者移动硬盘。

8．重启，好了，电脑清除病毒了，如果重复感染，请用同样的步骤来实施一遍，在此，我很感谢金山毒霸出了AV终结者专杀，使我摆脱了病毒的困扰，最后，请大家不要尝试网上的全手动删除什么C盘下的某某某程序，那样很难删干净，应该以专杀软件配合着手动删除，这样才会达到更好的效果。

解决方案(最新):

一.清理病毒主程序
由于相关专杀已经失效，所以只能手动查杀
1.下载Icesword这个软件
http://www.ttian.net/website/2005/0829/391.html
解压后
把Icesword.exe改名 运行
点击 菜单栏 文件>设置 钩选 禁止进线程创建 确定
查看窗口中 单击 进程 查找有无C:\Program Files\Common Files\Microsoft Shared
和C:\Program Files\Common Files\System下面的随机7位字母的进程（记住他们的名字）
如果有分别结束他们
另外如果装有瑞星防火墙 需要结束rfwsrv.exe进程
然后 点击 点击 菜单栏 文件>设置 去掉 禁止进线程创建的钩 确定

还是Icesword这个软件 单击左下角的文件按钮
找到刚才C:\Program Files\Common Files\Microsoft Shared
和C:\Program Files\Common Files\System的 两个随机7位字母的exe 分别右键 删除他们
另外还需要删除如下文件
C:\Program Files\meex.exe
C:\Program Files\syuhxcx.inf（随机7位字母组合）
以及各个分区下面的autorun.inf和随机7位字母组合成的exe（一定不要忘记这步）

2.下载sreng
http://download.kztechs.com/files/sreng2.zip
运行 启动项目 注册表 删除所有红色的IFEO项目

删除[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]下面的随机7位字母启动项目
本次测试为如下键值
<syuhxcx><C:\Program Files\Common Files\System\gamkqme.exe> []
<pmovrao><C:\Program Files\Common Files\Microsoft Shared\vdiwghf.exe> []

sreng 修复>Windows shell/IE 选中 显示隐藏文件 单击 下面的修复
sreng 修复>高级修复>修复安全模式 在弹出的窗口中点击 是

二.清理下载的木马和流氓软件
此时 病毒主程序已经清理完毕
下面清理下载的木马和流氓软件
注意：由于病毒下载的木马和流氓软件各异，所以此清除办法仅供参考
首先 需要下载http://www.i170.com/attach/92EB2ED9-6D11-441D-8A28-2A9B08F0452E Xdelbox1.3这个软件
然后重启计算机 进入安全模式(开机后不断 按F8键 然后出来一个高级菜单 选择第一项 安全模式 进入系统)

打开sreng
“启动项目”-“服务”-“Win32服务应用程序”中点“隐藏经认证的微软项目”，
选中以下项目，点“删除服务”，再点“设置”，在弹出的框中点“否”：
Windows dcwd RunThem / dcwd
Fax 2Client / ms_2fax

在“启动项目”-“服务”-“驱动程序”中点“隐藏经认证的微软项目”，
选中以下项目，点“删除服务”，再点“设置”，在弹出的框中点“否”：

acpidisk / acpidisk
kz0q8id6 / kz0q8id6

系统修复－浏览器加载项－找到如下项目 点击删除项目，在弹出的对话框中点“是”
[ff Class]
{FAAAC0F6-94BE-4466-934B-7C53666A2F41} <C:\WINDOWS\system32\b601.dll, TODO: <公司名>>


双击我的电脑，工具，文件夹选项，查看，单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件（推荐）"前面的钩。在提示确定更改时，单击

“是” 然后确定
点击 菜单栏下方的 文件夹按钮（搜索右边的按钮）
从左边的资源管理器 进入C盘
删除如下文件
C:\Program Files\yxry文件夹
C:\WINDOWS\system32\1b1.dll
C:\WINDOWS\system32\60e41.exe
C:\WINDOWS\system32\ad_2201.exe
C:\WINDOWS\system32\b601.dll
C:\WINDOWS\system32\mprmsgse.axz
C:\WINDOWS\system32\mscpx32r.det
C:\WINDOWS\031.bmp
C:\WINDOWS\3fa1.exe
C:\WINDOWS\716dairx.exe
C:\WINDOWS\716daiwm.exe
C:\WINDOWS\716daiwow.exe
C:\WINDOWS\716daizx.exe
C:\WINDOWS\716dgj.exe
C:\WINDOWS\716dwl.exe
C:\WINDOWS\ad_2201.exe
C:\WINDOWS\boolan95.exe
C:\WINDOWS\dodolook386.exe
C:\WINDOWS\fa7c1.txt
C:\WINDOWS\kulionrx.dll
C:\WINDOWS\kulionrx.exe
C:\WINDOWS\kulionwl.dll
C:\WINDOWS\kulionwm.dll
C:\WINDOWS\kulionzx.dll
C:\WINDOWS\kulionzx.exe
C:\WINDOWS\my_70087.exe
C:\WINDOWS\video.dll
C:\WINDOWS\winow.dll
C:\WINDOWS\winow.exe
C:\WINDOWS\winwl.exe
C:\WINDOWS\winwm.exe
C:\WINDOWS\wmsj.exe
C:\WINDOWS\齐看网Setup2.exe
C:\Program Files\1AGameSetup.exe
C:\Program Files\2BSetup.exe
C:\WINDOWS\system32\drivers\acpidisk.sys
C:\WINDOWS\system32\drivers\iExplorer.exe
C:\WINDOWS\system32\drivers\kz0q8id6.sys

打开Xdelbox1.3
把下列文件输入进去
C:\WINDOWS\system32\drivers\809igndb.sys
C:\WINDOWS\system32\bnkgqpadwh.dll
C:\Documents and Settings\All Users\Application Data\Microsoft\PCTools\pctools.dll
添加 然后选中3个文件 立即重启执行删除

再次重启后 恭喜你，所有病毒都被干掉了！