中了av终结者

历史以来是我见过最厉害的病毒了，什么AV专杀，什么瑞星，什么360全没效、安全模式被损坏，一进去蓝屏、重装后不到一个小时，病毒又开始侵害！真的烦人，我想问除了分区还有什么办法能解决？电脑里的大部分资料已被病毒损坏，再这样下去我真的快崩溃了、

这是我以前中了后总结的一篇日志，有我的东西，也有别人总结的东西。在我空间里，希望对你有用~~AV终结者病毒特征
*****病毒运行后在系统中有着几个文件：
一:c:\programefiles\commonfiles\microsoftshared\msinfo\随机生成病毒名.dat
二 c:\programefiles\commonfiles\microsoftshared\msinfo\随机生成病毒名.dll
三：c:\windows\随机生成病毒名.hlp
四：c:\windows\help\随机生成病毒名.chm 以上文件均为隐藏文件。
==== %programfiles%\Common Files\Microsoft Shared\MSInfo\{随机8位字母+数字名字}.dat
===C:\Program Files\Common Files\Microsoft Shared\MSInfo\{随机8位字母+数字名字}.dll
======%windir%\{随机8位字母+数字名字}.hlp%windir%\Help\{随机8位字母+数字名字}.chm也有可能生成如下文件%sys32dir%\{随机字母}.exe替换%sys32dir%\verclsid.exe文件
病毒还会将任务栏图标破坏，笔者的电脑是在任务栏中显示有五至六个宽带连接图标，其中只有一个是正常的。
******病毒名是由大写字母加随机数字随机组合而成的,其长度为八位 病毒的传播方式由本地磁盘和移动硬盘传播，用户双击盘符时就会激活病毒。通过自动播放的方式传播的。 ******病毒通过映像劫持技术劫持杀毒软件，使杀毒软件失去作用。

******映像劫持技术通过修改注册表：
“HKEY_LOCALMACHINE\SOFTWARE\MICROSOFT\WindowsNT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS”位置新建以一个杀毒软件和安全工具程序名命名的项， 建立完毕后，病毒还会在里面建立一个Debugger键，键 值为：“c:\progra~1\common~1\micros~1\msinfo\05cc73b2.dat.这样当双击运行杀毒软件时，运行的其实是病毒程序。




********病毒注入系统进程：
病毒将进程注入到系统资源管理器进程：explorer.exe中，中毒后会发现该进程所占用的CPU使用率较高，高达 90%以上，如此以来CPU 使用率可达到100%，使电脑运行 特别慢，手工清除病毒修改注册表后仍会被改回去。还 有对关键字的监视，如果发现用户搜索病毒资料时会自
动关闭网页。同时病毒会将Windows 防火墙的安全模式 破坏。****最重要的是病毒会从网上自动下载大量的木马，盗取用户的帐户信息。


*****======病毒清除办法
1打开任务管理器，结束explorer.exe进程。这 时会发现桌面的所有图标都不存在了，然后单击任务管理器的”文件“菜单，选择”新建任务“，输入” regedit“运行‘注册表编辑器’。定位到 HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\ADVANCED\FOLDER\HIDDEN\SHOWALLC处，在空白处单击右键，在弹出的菜单中选择”新建----Dword值----命名为checkedvalue---修改----将键值改为”1“。同时将原有的checkedvalue项删除，如果没有则直接新建。这一步可以将文件夹中不能看到隐藏文件夹的问题解决。
2打开资源管理器，单击”工具“---‘文件夹选项’-----‘查看’标签-----取消”隐藏受保护的操作系统文件“前面的钩，然后选中”显示所有文件和文件夹“选项。这时可以以上文中提到的文件路径将这些文件全部删除，同时将其他分区的病毒文件也删除，以上病毒文件均为隐藏文件，需先按前文所述步骤解决看不到隐藏文件的问题。
3在注册表编辑器中定位到”
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENT VERSION\IMAGE FILE EXECUTION OPTIONS“ 将以杀毒软件和安全工具命名的项删除.========通过以上步骤已将病毒基本删除，但是治标不治本，还需防御。
********病毒的防御
首先要限制病毒通过IFEO劫持杀毒软件的目的，操作方法如下：单击----开始-----运行---在命令中输入"regedit32“,找到 HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS
NT\CURRENT VERSION\IMAGEFILE EXECUTION OPTIONS,右键单击此选项，在弹出的菜单中选择‘权限’，然后把Administratora用户组和USERS用户组的权限全部取消即 可。
其次，要限制SAFEBOOT的读写权，达到限制“AV终结者”修改或删除Drivers,保护安全模式正常运行的目的。
操作方法如下，在注册表中找到
HKEY_LOCAL_MACHINE\SYSTEM\CONTROLSET001\CONTROL\SAFEBOOT\NETWORK\{4D36E967-E325-11CE-BFC1-08002BE10318}和HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\CONTROL\SAFEBOOT\MINIMAL\{4D36E967-E325-11CE-BFC1-08002BE10318},将Adminidtrators用户组和USERS用户组的权限全部取消即可。

应该是文件被感染了．可以试一下巨盾．

当巨盾发现恶意感染文件的时候，会自动提示用户调用修复工具修复的．

有问题可以加我．

哎 楼主 浪费时间啊 网上 AV终结者的 专杀多的数不清 直接下个 有权威 一些的不就得了

建议楼主下载最新的杀毒软件杀毒，如果电脑配置较高的就下载那些世界知名的、数一数二的杀软（比如卡巴斯基，麦咖啡等）就行了，如果配置较低建议用360+east nod（360官网免费下载），如果不想用杀软的话请按下列步骤进行： 如果无法正常进入windows的话则采用第一种方式进入： （1）电脑启动完成自检的时候（启动到读取硬盘的时候），按F8 进入启动菜单。选择带网络连接的安全模式； （2）然后在安全模式下进行查毒，并且同时查看在任务管理器中有没有可疑进程，不懂可以去百度搜下，如有可疑进程，则将其删除掉；一般在安全模式下病毒的自启动项不会被Windows加载，但是如果其自启动项加载在windows系统进程中在安全模式下也可以活动，所以建议楼主在注册表自启动项里查找不明程序或者程序后缀为“htm”或“html”的程序，并将其删除。当查毒时发现此病毒的文件路径时，可以直接进入手其文件夹将其删除；在开始菜单栏的运行里输入“msconfig”可以察看启动项和服务是否有不该有的文件启动，regedit进注册表查找病毒相关的值全删了，在这手动杀毒过程中鼠标不要双击，也不要按回车，因为可能会激活病毒。选中我的电脑，按ctrl+f会弹出一个查找的对话框，在里面 输入 “病毒的名字”按F3查找。看到这个名字就删除，一直到查完为止，很快的，最多也就几个。删除上述可疑键在硬盘中的执行文件、一般这种文件都在WINNT，SYSTEM，SYSTEM32这样的文件夹下，他们一般不会单独存在，很可能是有某个母文件复制过来的，检查C、D、E等盘下有没有可疑的.exe，.com或.bat文件，有则删除之。 当然除了这些我还有很多备选方案： 1...重装系统 2...将磁盘进行格式化（包括高级格式化和低级格式化） 3...使用系统还原 …………以上方案不推荐使用！可能会对系统硬盘等造成无法预测的损害

重装系统还复生的话，全盘格式化重装系统。一定不会复生！（光盘安装）不是系统还原

装个杀软吧！

还是需要找专杀工具的

专杀有很多版本

瑞星可能不行

我中毒也是靠专杀解决的

如以上回答内容为低俗、色情、不良、暴力、侵权、涉及违法等信息，可以点下面链接进行举报！

点此我要举报以上问答信息