與ＡＶ終結者較量

這陣子，“AV終結者”是比較流行的一個病毒，據說- 如果要給今年的病毒排序的話，除了熊貓燒香，它就是第二了口筆者安全意識不錯，一直是只聞其名不見其蹤。

前天，剛剛放暑假在家，準備當兩個月職業網游玩家的表弟跑來求救：殺毒軟件全部失靈，想去網上找殺毒程序時，網頁也會被自動關閉。難道是碰到AV終結者了?筆者馬上拿上工具盤，趕赴現場。

初識AV終結者

打開染病毒的電腦后，果然殺毒軟件和防火墻都已經啟動不了，不再正常運行。筆者打開百度，輸入“AV終結者”想上網搜索一下相關的查殺方法，結果是網頁馬上被關閉。看來只好手工開始查殺了。今年的病毒都喜歡用侵犯Autorun，看來它也不例外，在非系統的D、E盤根目錄TAutorun，Inf文件，還有不明執行文件。另外，我還發現，安全模式無法進入，經測試無論哪種安全模式都變成自動重啟。

我的清除法

先下載Autoruns，這是我常用的一個殺毒輔助工具。下載解壓縮后先要改名，如改為autoexe，因Autoruns也被AV終結者列入黑名單。

運行成功后，主要查看，HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run啟動菜單及最下方的RUN項，在經過觀察后筆者認為有三處非常可疑：C:\\ProgramFiles\\Common Files\\System\\eyADSx51.exe.C:\\Program Files\\Common Files\\Microsoft Shared\\MSlnfo\\pxpins21 exe，c:\\Windows\\system32\\peD.exe，記下這三處了文件名和路徑后。

重新用深山紅葉光盤啟動，進入PE系統后找到這三個文件并刪除。再次重新啟動系統，此時能夠正常進人打開網頁，AV終結者被暫時抑制。下面可以手動刪除各盤符根目錄下的autorun inf及根目錄下的不明執行文件。

尋找專殺，更徹底的清理

很顯然，這樣手工方法并沒有確保徹底清除了病毒，但AV終結者也暫時不能運行。于是筆者打開金山毒霸官方主頁，尋找更徹底的清理方法。

下載“AV終結者病毒專殺工具”，下載地址：http://zhuansha.duba.net/259.shtml。專殺工具的功能不僅僅清除病毒文件，它還能修復被破壞的系統，包括修復映像劫持；修復被破壞的安全模式；修復隱藏文件夾的正常顯示和刪除各磁盤分區的自動播放配置。

在正常的電腦上禁止自動播放功能，以避免通過插入閃盤或移動硬盤而被病毒感染。執行Av終結者專殺工具，清除已知的病毒，修復被系統配置。

不要立即重啟電腦，然后啟動殺毒軟件，升級病毒庫，進行全盤掃描。以清除木馬下載器下載的其他病毒。

防范措施

從毒霸官網得知，一旦感染AV終結者病毒，清除過程相當復雜，可能不少用戶就會去重裝。建議大家不要輕易重裝系統，按照上面推薦的步驟完成清除，必要時撥打客服電話，請求支持。請采取PAT措施防范AV終結者病毒。

1 使用防火墻，防止網絡病毒通過黑客攻擊手段入侵。

2 及時修補系統漏洞，特別是要安裝瀏覽器的最新補丁。

3 關閉Windows的自動播放功能，并及時升級殺毒軟件。

4 局域網網管應該采取綜合措施防范ARP攻擊掛馬事件(下期本欄目將針對ARP攻擊與防范做詳細的討論)。