强行关闭杀毒软件的AV

heavy · 发表于 2007-6-25 04:19:00

最近小H的朋友经常告诉小H说系统坏掉了。。。。 [s:6]
一晚上修了3个本本！困觉[s:6]
主要症状如下：
1.杀毒软件被禁用，且无法启动
2.启动项里添加了至少2个以上随机生成的8位或7位字母的程序
3.无法网上杀毒，凡是涉及到毒字的网页或是讨论有关病毒的网站（包括HS）都会被自动关闭
4.破坏安全模式，使用户无法进入
5.修改系统日期，强制下载各种木马和病毒
以上症状有点象最近比较流行的艾妮病毒。如果某位RP仁兄不幸中了艾妮也可以参照解决
1.到http://cn.91fox.cn/down.htm上下载fire fox浏览器保证IE不会被强行关闭
2.下载“AV终结者”专杀的工具。已经放到小H的网络硬盘上了
地址：www.heavyrpg.ys168.com密码是：123456
3.在开始运行里面输入msconfig禁用包括杀毒软件在内的所有程序，只保留ctfmon.exe
4.打开系统隐藏文件。我的电脑-工具-文件夹选项-查看-去掉隐藏受保护的系统文件和显示所有文件。如果无法显示隐藏文件的话下载附件中的注册表，双击导入。删除在c:\windows目录下的所有伪装的系统进程，如csrss.exe  smss.exe等。如果不确定的话参照正常电脑系统目录下的文件删除。
5.按ctrl+alt+del呼叫任务管理器，结束explorer.exe进程树（病毒似乎是依赖explorer.exe进程存活的）和非法进程树（注意是进程树不是进程）有时候需要多试几次。桌面虽然没有了，但是可以通过任务管理器上的文件-新建任务来执行程序。
6.在任务管理器上的文件-新建任务中选择浏览打开杀毒软件的目录，右键更改杀毒软件程序的名称，改完后可以打开杀毒软件，先将c:\program files下的meex.exe删除（伪装mex.exe程序）再删除c:\program files\common files\system目录下的8位随机字母的病毒程序（都是隐藏的）。在杀毒软件中选择隔离也可以。如果病毒文件为隐藏的系统文件的话可以在任务管理器上的文件-新建任务中输入cmd进入dos删除
格式如下：

Microsoft Windows XP [版本 5.1.2600]
(C) 版权所有 1985-2001 Microsoft Corp.

C:\Documents and Settings\Administrator>cd C:\Program Files\Common Files\system；进入相应目录

C:\Program Files\Common Files\System>dir；显示目录下的文件
驱动器 C 中的卷是 WINXP
卷的序列号是 2A1D-0905

C:\Program Files\Common Files\System 的目录

2006-04-09  01:41 <DIR>       .
2006-04-09  01:41 <DIR>       ..
2006-04-09  01:41 <DIR>       msadc
2006-04-09  01:41 <DIR>       ado
2006-04-09  01:41 <DIR>       Ole DB
2004-08-17  20:00          216,064 wab32res.dll
2006-11-08  13:07          510,976 wab32.dll
2006-11-08  13:07          86,528 directdb.dll
            3 个文件       813,568 字节
            5 个目录 870,797,312 可用字节

C:\Program Files\Common Files\System>

找到要删除的对象后输入attrib -s -h -a（注意空格） xxxxxxxx.exe会车后输入del xxxxxxxx.exe
用杀毒软件杀毒吧。。。。。。
7.打开AV终结者，再查一遍。记得开启杀毒的监控和自启动还有别忘了在控制面板里-管理工具-服务里面禁用非法服务。（禁用不等于停止和手动）
如果小H有哪些地方叙述的不清楚欢迎提问！ [s:7] 小H要困觉去了！