电脑中毒了,请问这是什么病毒?

2024-12-21 22:25:34
推荐回答(5个)
回答1:

应该是AV终结者病毒
AV终结者

“AV终结者”即”帕虫”是一系列反击杀毒软件,破坏系统安全模式、植入木马下载器的病毒,它指的是一批具备如下破坏性的病毒、木马和蠕虫。“AV终结者”名称中的“AV”即为英文“反病毒”(An-ti-virus)的缩写。它能破坏大量的杀毒软件和个人防火墙的正常监控和保护功能,导致用户电脑的安全性能下降,容易受到病毒的侵袭。同时它会下载并运行其他盗号病毒和恶意程序,严重威胁到用户的网络个人财产。此外,它还会造成电脑无法进入安全模式,并可通过可移动磁盘传播。目前该病毒已经衍生多个新变种,有可能在互联网上大范围传播。“AV终结者”设计中最恶毒的一点是,用户即使重装操作系统也无法解决问题:格式化系统盘重装后很容易被再次感染。用户格式化后,只要双击其他盘符,病毒将再次运行。“AV终结者”会使用户电脑的安全防御体系被彻底摧毁,安全性几乎为零。它还自动连接到某网站,下载数百种木马病毒及各类盗号木马、广告木马、风险程序,在用户电脑毫无抵抗力的情况下,鱼贯而来,用户的网银、网游、QQ账号密码以及机密文件都处于极度危险之中。

传播途径

“AV终结者”的重要传播途径是U盘等移动存储介质。它通过U盘、移动硬盘的自动播放功能传播,建议用户暂时关闭电脑的这一功能。用户近期一定要注意U盘使用安全,不要在可疑电脑上使用U盘,以免自己的电脑受到传染。

病毒特征

这种病毒主要特征有:禁用所有杀毒软件以及相关安全工具,让用户电脑失去安全保障;致使用户根本无法进入安全模式清除病毒;强行关闭带有病毒字样的网页,只要在网页中输入‘病毒’相关字样,网页遂被强行关闭,即使是一些安全论坛也无法登陆,用户无法通过网络寻求解决办法。

病毒现象

·1. 生成很多8位数字或字母随机命名的病毒程序文件,并在电脑开机时自动运行。

·2. 绑架安全软件,中毒后会发现几乎所有杀毒软件,系统管理工具,反间谍软件不能正常启动。即使手动删除了病毒程序,下次启动这些软件时,还会报错。

·3. 不能正常显示隐藏文件,其目的是更好的隐藏自身不被发现。

·4. 禁用windows自动更新和Windows防火墙,这样木马下载器工作时,就不会有任何提示窗口弹出来。为该病毒的下一步破坏打开方便之门。

·5. 破坏系统安全模式,使得用户不能启动系统到安全模式来维护和修复。

·6. 当前活动窗口中有杀毒、安全、社区相关的关键字时,病毒会关闭这些窗口。假如你想通过浏览器搜索有关病毒的关键字,浏览器窗口会自动关闭。

·7. 在本地硬盘、U盘或移动硬盘生成autorun.inf和相应的病毒程序文件,通过自动播放功能进行传播。这里要注意的是,很多用户格式化系统分区后重装,访问其它磁盘,立即再次中毒,用户会感觉这病毒格式化也不管用。

·8. 病毒程序的最终目的是下载更多木马、后门程序。用户最后受损失的情况取决于这些木马和后门程序。

病毒解决方案

方法一:
因为这个病毒会攻击杀毒软件,已经中毒的电脑杀毒软件没法正常启动,双击没反应,因而这时无法用杀毒软件来清除;利用手动解决也相当困难,并且,AV终结者是一批病毒,不能简单的通过分析报告来人工删除。推荐的清除步骤如下:

1. 在能正常上网的电脑上到http://zhuansha.duba.net/259.shtml 下载AV终结者病毒专杀工具。

2. 在正常的电脑上禁止自动播放功能,以避免通过插入U盘或移动硬盘而被病毒感染。禁止方法参考方案附件:
把AV终结者专杀工具从正常的电脑复制到U盘或移动硬盘上,然后再复制到中毒的电脑上。

3. 执行AV终结者专杀工具,清除已知的病毒,修复被破坏的系统配置。

(注:AV终结者专杀工具的重要功能是修复被破坏的系统,包括修复映像劫持;修复被破坏的安全模式;修复隐藏文件夹的正常显示和删除各磁盘分区的自动播放配置。)

4. 不要立即重启电脑,然后启动杀毒软件,升级病毒库,进行全盘扫描。以清除木马下载器下载的其它病毒。

方法二:
去黑联盟或黑客动画吧,下载一个AV生成器,运行后(注意别单击生成),选“卸载本地服务端”。

病毒分析
[编辑本段]

1.生成文件
%programfiles%\Common Files\Microsoft Shared\MSInfo\{随机8位字母+数字名字}.dat
%programfiles%\Common Files\Microsoft Shared\MSInfo\{随机8位字母+数字名字}.dll
%windir%\{随机8位字母+数字名字}.hlp
%windir%\Help\{随机8位字母+数字名字}.chm
也有可能生成如下文件
%sys32dir%\{随机字母}.exe
替换%sys32dir%\verclsid.exe文件

2.生成以下注册表项来达到使病毒随系统启动而启动的目的
HKEY_CLASSES_ROOT\CLSID\"随机CLSID"\InprocServer32 "病毒文件全路径"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\"随机CLSID" "病毒文件全路径"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
ShellExecuteHooks "生成的随机CLSID" ""
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"随机字符串" "病毒文件全路径"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc Start
dword:00000004

3.映像劫持
通过在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
Image File Execution Options下添加注册表项来进行文件映像劫持,可阻止大量安全软件及系统管理软件运行,并执行病毒体。
被劫持的软件包括:
360rpt.exe;
360Safe.exe;
360tray.exe;
adam.exe;
AgentSvr.exe;
AppSvc32.exe;
autoruns.exe;
avgrssvc.exe;
AvMonitor.exe;
avp.com;
avp.exe;
CCenter.exe;
ccSvcHst.exe;
FileDsty.exe;
FTCleanerShell.exe;
HijackThis.exe;
IceSword.exe;
iparmo.exe;
Iparmor.exe;
isPwdSvc.exe;
kabaload.exe;
KaScrScn.SCR;
KASMain.exe;
KASTask.exe;
KAV32.exe;
KAVDX.exe;
KAVPFW.exe;
KAVSetup.exe;
KAVStart.exe;
KISLnchr.exe;
KMailMon.exe;
KMFilter.exe;
KPFW32.exe;
KPFW32X.exe;
KPFWSvc.exe;
KRegEx.exe;
KRepair.COM;
KsLoader.exe;
KVCenter.kxp;
KvDetect.exe;
KvfwMcl.exe;
KVMonXP.kxp;
KVMonXP_1.kxp;
kvol.exe;
kvolself.exe;
KvReport.kxp;
KVScan.kxp;
KVSrvXP.exe;
…………

4.修改以下注册表,导致无法显示隐藏文件
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\
Advanced Hidden dword:00000002
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Advanced\Folder\Hidden\SHOWALL CheckedValue dword:00000000

5、修改以下服务的启动类型来禁止Windows的自更新和系统自带的防火墙
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
SharedAccess Start dword:00000004
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
wuauserv Start dword:00000004

6.删除以下注册表项,使用户无法进入安全模式
HKEY_LOCAL_MACHINESYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\

7.连接网络下载病毒
hxxp://www.webxxx.com/xxx.exe

8.关闭杀毒软件实时监控窗口,如瑞星、卡巴,通过自动点击"跳过"按钮来逃过查杀

9.尝试关闭包含以下关键字窗口
Anti
AgentSvr
CCenter
Rsaupd
SmartUp
FileDsty
RegClean
360tray
…………
ikaka
duba
kingsoft
木马
社区
aswBoot
…………

10.注入Explorer.exe和TIMPlatform.exe反弹连接,以逃过防火墙的内墙的审核。

11.隐藏病毒进程,但是可以通过结束桌面进程显示出来。

12.在硬盘分区生成文件:autorun.inf 和 随机字母+数字组成的病毒复制体,并修改“NoDriveTypeAutoRun”使病毒可以随可移动存储介质传播。
用360顽固木马专杀杀毒http://dl.360safe.com/360compkill.zip

回答2:

从问题补充来看,你好像是中了av终结者

回答你的问题:1 av终结者不是新病毒

2 因为这个病毒会攻击杀毒软件,已经中毒的电脑杀毒软件没法正常启动,双击没反应,因而这时无法用杀毒软件来清除;利用手动解决也相当困难,并且,AV终结者是一批病毒,不能简单的通过分析报告来人工删除。推荐的清除步骤如下:

1. 在能正常上网的电脑上到http://zhuansha.duba.net/259.shtml 下载AV终结者病毒专杀工具。

2. 在正常的电脑上禁止自动播放功能,以避免通过插入U盘或移动硬盘而被病毒感染。禁止方法参考方案附件:
把AV终结者专杀工具从正常的电脑复制到U盘或移动硬盘上,然后再复制到中毒的电脑上。

3. 执行AV终结者专杀工具,清除已知的病毒,修复被破坏的系统配置。

(注:AV终结者专杀工具的重要功能是修复被破坏的系统,包括修复映像劫持;修复被破坏的安全模式;修复隐藏文件夹的正常显示和删除各磁盘分区的自动播放配置。)

4. 不要立即重启电脑,然后启动杀毒软件,升级病毒库,进行全盘扫描。以清除木马下载器下载的其它病毒。

3 它的代码因人而异,因为变种很多!大概的流程是 u盘传播或挂马机房---劫持系统管理程序和杀毒软件,让你电脑失去安全防护---内置下载器,自动下载木马后门程序,这些木马后门程序会拿走木马控制者所感兴趣的任何东西。

网上找到的一部分代码:

WHOIS Results for: 100000000000000000000000000000.cn
Domain Name: 100000000000000000000000000000.cn
ROID: 20070314s10001s35110810-cn
Domain Status: ok
Registrant Organization: 蓝色精灵
Registrant Name: 蓝色精灵
Administrative Email: shenzhenkeji@hotmail.com
Sponsoring Registrar: 北京新网互联科技有限公司
Name Server:ns1.dns.com.cn
Name Server:ns2.dns.com.cn
Registration Date: 2007-03-14 18:27
Expiration Date: 2008-03-14 18:27

一个叫蓝色精灵的组织在2007年3月14日使用shenzhenkeji@hotmail.com注册了100000000000000000000000000000.cn域名,有一个“AV终结者病毒”的变种从这个站提供了大量的木马下载,拥有这个站点或控制这个站点的人,有重大作案嫌疑。

回答3:

无厘头的问题

出现你这种状态的病毒和木马很多

主要原因是你没有做好安全防护

有些病毒在硬盘里,系统启动时就随系统启动了,

有些病毒在临时文件夹下

有些病毒和木马在cookie里

你之所以启动不了反木马和反病毒软件。是因为这个病毒和木马能够侦测到反病毒软件和反木马软件,根本就不让他启用。甚至你把一些杀毒软件拷贝到硬盘上都会被他删除掉。

推荐操作。

1、格式化所有分区(如果你有工具或者会分区的话推荐重新分区)。
2、重装系统。
3、装好系统后,做好安全防护。

推荐一个安全防护组合给你,安全防护做好以后才能百毒不侵。

装上系统建议做好病毒防护

1、360安全卫士 ,360安装好以后,会弹出一个禁止移动硬盘和优盘自动运行的选择提示,你确定就可以了。

2、360保险箱,把IE也保护上

3、杀毒软件,推荐用NOD32的,CPU占用率低,杀毒能力强还全免费,卡巴斯基也不错,就是CPU占用率高了点。 如果你安装了NOD,需要对NOD进行设置,在实时文件保护操作上选定自动清除。这样你访问到哪里,NOD32发现有病毒文件会自动清除。网页访问操作发现病毒和木马也可以设定为拒绝访问模式。

再推荐一个免安装的AVG杀毒软件给你,你可以用这个和其他的杀毒软件交叉使用。效果很好。

4、防火墙,麦咖啡专业版的或者风云免费版的,我使用的是风云防火墙免费版。 装防火墙的好处在于一旦系统要执行程序,防火墙会提示你有文件注入注册表或者要连接互联网,你可以手动选择是否执行操作,不熟悉的操作,你拒绝执行后,病毒和木马就无法感染系统。

5、再装个超级兔子随时清理系统,升级天使也很好用。

6、qqkav用起来也不错。系统运行慢了偶尔用来清理一下,也可以。

7、上网下载一个瑞星注册表修复工具。用于恢复被病毒修改的可执行文件无法执行。

我使用了这个组合防护后,几台笔记本使用发贴工具每天访问上十万网页,也就每天清理一下临时文件。被NOD32忽略掉的木马和广告程序只能保存在临时文件夹或者cookie里,,运行超级兔子清理王清理了就ok。使用时间最长的笔记本差不多3年了,都没有重装过系统。

回答4:

360安全卫士安装后找到360safe。exe把他改个名然后启动杀一下,估计会提示你下转杀,点直接运行,杀后要重起一下,就好了,小病毒没大影响,哦那你有什么杀软把杀软的exe文件名称改了杀一下吧是host被劫持了,说太多也没用你先试试看
这种病毒用的方法是映向劫持用他的exe劫持了你的杀软的exe甚至c盘,说的都是大白话没啥技术含量,凑货看,呵呵,同时他修改了你的host表重定向表中的网站到他指定的站解决方式就是消除劫持重写host表然后杀毒!你可以baidu一下映向劫持上面说的很详细,

回答5:

先看看C盘-WINDOWS-SYSTEM32下有没有taskmgr。EXE这个程序 没有的话可以到别人那复制过来就可以了一般这个情况是由于用了杀毒软件造成

的,我上次也是这样,还是不行的话可以试一下下面的方法:
方法一:修改注册表。打开注册表,展开到:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
找到"DisableTaskmgr"把dword值设置为00000000

方法二:
打开记事本,把下面的内容保存成.reg文件,然后双击导入恢复。
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableTaskmgr"=dword:00000000

(最后一行留一空行)

方法三:利用组策略:
开始/运行/gpedit.msc,
在用户配置-管理模板-系统-CTRL+ALT+DELE选项,在左边找到“删除任务管理器”
双击打开,设置为未配置,或者禁用。
运行->regedit->HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run->删除异常进程启动项->重启->启动防毒软件杀毒。