清除使用映象劫持技术的病毒作者：佚名 安全中心來源：不详 点击数：28更新时间：2007-12-4听dodo说，发现一 MM的电脑好象中了终结者，用毒霸的专杀修复后，毒霸仍不 能启动。要來QQ，远程连接过去看个究竟。网速限制，整了一个小时，最终搞定，写 总结文章比修复简单多了。1. 给MM传过去需要的工具软件：AV终结者专杀，autoruns，冰刃，process expl orero2. 分别运行这四个工具，只有专杀可以启动，其它工具未能启动。尝试进入ka，20 07 H录，发现毒新主程序，清理专家均无法启动。auloruns和Process Explorer改名后 可以运行。冰刃改名后，打开即被关闭，毒霸和清理专家也一样。3. 在 autoruns 的 explorer 页发现 2 个 DLL, a1d29050.dll 和 msacn.dll（使用 autoruns 时，一定要选中隐藏MS签名认证的项不然要累死）。将这两个DLL复制到桌面的新建文件夹备份。然后将process explorer改名后运行, 在进程explorer +查找相关线程。找到4个正在运行的线程，立即将病锋线程暂停。4这时己经发现冰刃可以正常使用了，所以就选择用process Explorer杀掉了相关线程。5. 继续使用autoruns查看服务，找到3个未知服务。不过，事后证实这三个服务与毒霸不能运行无关，是毒霸可杀的木马程序。6. 接下來，进入毒霸目录,双击uplive.exe升级。7. 升级完成后,双击kav32.exe执行病毒扫描。结束发现了 10多个已知木马。当然，这几个令毒箱,冰刃无法运行的DLL,是新病毒。为确保清除成功，建议MM扫描完毕后再和AV终结者修复一下注册表,因为这个病毒让隐藏文件无法正常显示，这个AV终结者修复工 具，刚好可以解决这个问题。补充一点，右皱用autoruns的过程中，发现病毒已经删除了毒霸注册的服务，因此电脑如果垂启的话，会发现实时监控不能被加载。总结：类似AV终结者的病毒，会把杀毒软件做为攻击的第一道关。攻击成功后，会使用下载器下载一堆的木马，木案例就在解决掉新病毒后， 升级毒緡查到10多个盗号木马。预计在一段时间内,采用这种乎法的盗号集团将I分狛獗。请网友参考AV终结者的综合方案采取防御措施。