如何清除AV终结者 (如何清除airport上的数据)

送走了让人闻风丧胆的“熊猫烧香”，近日又有一种超破坏力的病毒“AV终结者”大肆席卷互联网，不到一个月时间，变种就已达数百个之多，波及人群超过十几万人。由于这款病毒破坏力十分霸道，一旦感染就很难清除。那么“AV终结者”到底是什么？其实它就是由随机8位数字和字母组合而成的病毒，是闪存寄生病毒，其传播是通过闪存等存储介质或者注入服务器来实现的。我们要如何预防这颗互联网超级炸弹？万一被它攻陷了电脑，重装系统后仍无法清除，我们又该怎么办？本文将为您消除所有的疑惑，打造一个安全的操作系统，保障您的财产安全以及机密信息不会受到损失。“AV终结者”凭什么这么“跩”1.生成随机文件名对“AV终结者”的样本文件进行分析后，可以发现其手段相当的毒辣。病毒运行后会在系统中生成如下几个文件：C:\program files\Common Files\Microsoft Shared\MSInfo\随机生成病毒名.dat、C:\Program Files\Common Files\Microsoft Shared\MSInfo\随机生成病毒名.dll（图1）、C:\windows\随机生成病毒名.hlp、C:\windows\help\随机生成病毒名.chm。“AV终结者”的病毒名是由大写字母+数字随机组合而成的，其长度为8位，可以说生成相同病毒名的概率是极小的。wwW.iTcOMPuTer.CoM.Cn因此即使我们知道了这是病毒生成的文件，也别指望通过病毒名在网络上找到病毒的清除方法。2.通过“自动播放”传播病毒运行后会在本地磁盘和移动磁盘中复制病毒文件和anuorun.inf文件，当用户双击盘符时就会激活病毒，即使重装系统，也是无法将病毒彻底清除的。这是目前很多病毒热衷的传播方法，不少用户也懂得需要删除病毒生成的anuorun.inf文件，但是当我们进入“文件夹选项”，想显示隐藏文件时，可以发现这里已经被病毒给禁用了。3.干掉杀毒软件针对杀毒软件的攻击，是“AV终结者”的特点。病毒会终止大部分的杀毒软件和安全工具的进程。国内绝大多数的杀毒软件和安全工具都被列入了黑名单。当杀毒软件暂时失去作用时，病毒就会乘胜追击，通过一种“映像劫持”技术将杀毒软件彻底打入死牢。“映像劫持”会在注册表的“HKEY_LOCAL_MACHINE\SOFTWAR E\Microsoft\Windows NT\CurrentVersion\ Image File Execution Options”位置新建一个以杀毒软件和安全工具程序名命名的项。建立完毕后，病毒还会在里面建立一个Debugger键，键值为“C:\PROGRA~1\COMMON~1\MICROS~1\MSINFO\05CC73B2.dat”（图2）。这样当我们双击运行杀毒软件的主程序时，运行的其实是病毒程序。4.注入系统进程为了避免在“任务管理器”中露出破绽，病毒会将自己的进程注入到系统的资源管理器进程explorer.exe中，这样我们就无法通过“任务管理器”发现病毒的进程了。病毒进程的主要作用是监视系统中的用户操作，例如你想手动清除病毒，修改注册表，病毒每隔一段时间就会把注册表改回去，让你白费劲。另一个作用是监视IE窗口，发现用户搜索病毒资料时，立即关闭网页。此外，病毒还会破坏Windows防火墙和安全模式，封堵用户的后路。最重要的是，病毒会从网络上下载大量的盗号木马，盗取用户的游戏账户信息，这才是“AV终结者”的真正目的。彻底清除“AV终结者”手动查杀“AV终结者”相对于其他病毒来说比较困难，因为它有不少保护措施。但保护措施做得再好还是有破绽可寻的，清除病毒可以按照以下步骤：Step1：运行“任务管理器”，结束其中的“explorer.exe”进程。单击“任务管理器”的“文件”菜单，选择“新建任务”，输入“regedit”运行“注册表编辑器”。定位到HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\advanced\folder\hidden\showall处，将Check edValue的键值改为“1”（图3）。Step2：在“注册表编辑器”定位到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options，将以杀毒软件和安全工具命名的项删除。Step3：在“资源管理器”中单击“工具”菜单→“文件夹选项”，切换到“查看”标签，取消“隐藏受保护的操作系统文件”前面的钩，然后选中“显示所有文件和文件夹”选项。根据上文中提供的路径删除所有病毒文件。删除其他分区中的病毒，注意不要双击进入盘符，而要用右键点击进入。如何预防“AV终结者”首先，要禁止自动播放功能，并及时更新最新系统补丁，尤其是MS06-014和MS07-017这两个补丁。其次，要限制IFEO的读写权，达到限制病毒通过IFEO劫持杀毒软件的目的。操作方法如下：单击“开始→运行”，在命令行中输入regedit32 ，找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execu tion Options，右键单击此选项，在弹出的菜单中选择“权限”，然后把Administrors用户组和Users用户组的权限全部取消即可（图4）。最后，要限制SAFEBOOT的读写权，达到限制“AV终结者”修改或删除Drives，保护安全模式正常运行的目的。操作方法如下：同样是在32位注册表中找到 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D3 6E967-E325-11CE-BFC1-08002BE 10318}和HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\ Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}，将Administrors用户组和Users用户组的权限全部取消即可。编后：本文介绍的清除方法需要手动操作，对注册表不熟悉的朋友可以用“AV终结者”专杀工具，并配合SREng、Autoruns、IFEO映像劫持修复工具、修复安全模式.REG、恢复显示隐藏文件.REG使用，也可以彻底清除病毒,这些软件都可以到下载。

论坛求助人气贴：我的电脑最近感染上了一个名为Trojan.Small.dxt的病毒，我用《北信源》杀毒软件进行查杀，虽然杀毒软件提示成功清除病毒，但是经常会复发，即使我重装了操作系统，病毒仍然存在。请问《电脑报》的安全专家，这是一种什么病毒？病毒清除后为什么会死灰复燃？为什么重装系统也没有用？安全专家：根据读者提供的信息，该病毒全名为：Trojan-Downloader.win32.small.dxt，是一种具有下载性质的木马病毒。该病毒主要通过闪存等可移动存储设备进行传播，并且会利用IE漏洞，将木马病毒下载到用户的计算机中运行。病毒的目的是盗取用户的游戏账户。读者提到了该病毒被查杀后会死灰复燃，其实这个现象已经十分普遍了，因为这是目前流行的病毒主要采用的自我保护方法，通过Autorun.inf文件让系统的“自动播放”功能来触发病毒再次运行。读者在使用北信源杀毒软件的时候已经将系统中的病毒清除了，只不过还存在一定的病毒残留。这些残留包括一个Autorun.inf文件和一个病毒文件，这两个文件分别位于硬盘各个分区的根目录中。用杀毒软件杀完毒后，此时系统中是没有病毒的，但是当我们双击分区盘符的时候，Autorun.inf就会发挥其作用，从而再一次运行病毒文件。那么如何判断分区中是否有Autorun.inf文件呢？我们可以用右键单击分区盘符，如果右键菜单中多出了一个“Auto”的选项。就可以证明分区中存在Autorun.inf文件。解决方案知道病毒为什么清除不干净的原因后，我们再来修复被破坏的系统设置，从而避免再一次运行病毒。我们要做的就是清除残留的病毒文件。这里要注意，不要双击盘符进入分区，也不要通过右键进入，因为这两种情况都可能再次运行病毒。下面我们可用安全工具IceSword来进行病毒文件的清除。首先，运行IceSword，切换到“文件”功能，单击其中的“可移动磁盘C”，在软件右侧的内容栏中会出现C盘根目录下的所有文件，找到其中的Autorun.inf和病毒文件setup.exe（图1），右键选中后将它们删除。用同样的方法清除其他分区中的病毒残留文件，至此病毒文件就被我们清除完毕了。然后，我们来修复被破坏的系统。目标是恢复被病毒破坏的“文件夹选项”，单击“开始→运行”，输入“regedit”运行“注册表编辑器”，定位到[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVer sion\ Explorer\Advanced\ Folder\Hidden\SHOWALL]项，将键值修改为“CheckedValue”=dword:000000 01”，关闭“注册表编辑器”后，“显示所有文件和文件夹”就可以正常使用了（图2）。“善后”工作到这里就结束了。读者的最后一个问题也有了答案，因为我们重装系统，一般都是格式化C盘，而不是全盘格式化，因此除了C盘以外，其他盘中的病毒残留文件还是存在的，当你双击除C盘以外的分区盘符时，病毒自然就再一次运行了。所以当你确实要重装系统来解决病毒问题时，要将其他分区中的病毒残留文件清除干净。编辑观点：关闭系统“自动播放”防闪存病毒文章介绍了目前比较流行的闪存病毒的特征，利用Autorun.inf文件来保护自身不被彻底删除，这让重装系统就能解决一切病毒的时代一去不复返了。Autorun.inf文件利用的是系统的“自动播放”功能（病毒特别喜欢利用该功能），因此我们可以通过“组策略”将它关闭，这样病毒就会失去了一条重要的传播途径。关闭方法如下：执行“开始→运行”命令，在弹出的对话框中输入“gpedit.msc”命令，在弹出的“组策略”窗口中依次选择“计算机配置→管理模板→系统”，双击“关闭自动播放”，在弹出窗口中的“设置”选项卡中选择“已启用”，然后单击“确定”按钮即可（图3）。