如果我们在网上搜索AV终结者的话,会发现这个病毒在网上的曝光率很高,我也是编写完了专杀工具后才在金山的网站上看到这个病毒的名字。金山对他的评价是:该病毒危害性极大,它释放大量的木马程序,请用杀毒软件和大量安全工具,导致安全模式无法进入,甚至连安全类的网页都禁止打开,可见其危害性真的很大,这个病毒有许多变种,下面我就来带着大家一起来研究一下手工清除它的方法。
不入虎穴,焉得虎子,我拷贝了一份病毒样本,然后双击运行,当然,这里做一个友情提示,这个病毒真的非常讨厌,如果各位也想验证一下的话,最好在虚拟机里进行。病毒果然非常的厉害,冲了之后就出现了上述的一系列症状,甚至连安全模式也无法进入,出现了蓝屏。我先和大家简单分析一下病毒的主要模块。
1.病毒有两个进程相互守护,因此我们无法手动单一结束它的进程,这个变种病毒的两个进程分别为nuygtvw.exe和terebmi.exe。
2.修改注册表,病毒修改了,HKEY-LOCAL-MACHIHNE\SOFTWARE\MICROSOFT项进行了反映向劫持,将大量的安全软件指向的病毒文件,导致安全软件无法运行。
3.在注册表中创建了两个启动项vbcyhid和xywrebh并实时监控这两个启动项,发现删除就立即重新注册,病毒还修改了注册表的其他项目,导致安全模式无法运行,并释放了大量的盗号木马,感染其他硬盘分区,导致重装系统后仍有可能感染。
那么要如何才能手动清除该病毒呢!我们现在没有任何的工具可以使用,无法结束进程,无法删除注册表启动项,经过河滨路的一番斗智斗勇,我终于找到了他的破绽,既然无法删除它的启动项,那我们能否修改它的启动项呢!
我们将病毒的启动项随便修改了,病毒实时监控是否存在这个启动项?但却没有检查数据是否被修改,这就是其中的一个漏洞。修改了病毒的启动项就算完成了一半的修复工作,接下来只要将注册表项改回来或直接删除就可以了,马上重启计算机,发现卡巴和360都可以使用,接下来的工作就是清理残留的病毒文件,打开文件夹,将它们删除掉就可以了,最后我们还要修复一下被破坏的安全模式,病毒主要是通过破坏注册表里关于安全模式的设置来达到无法让安全模式启动的目的,我在网上找到了一个修复安全模式的注册表文件REBUILD.REG双击导入就可以轻松修复了。
到这病毒已经被我手动清除干净了,而且这款病毒的变种很多,希望我的这篇文章能够帮助到你们。