瑞星卡卡安全论坛

首先声明：我的瑞星版本2007-6-8号的。2003系统补丁已经全部打好，有专业防火墙，系统有口令，关闭了所有默认功享。和自动播放功能。

      今天无意发现瑞星监控中心的绿伞不见了，大事不好，赶紧启动下吧，
试了N遍，就是没反应。瑞星根本启动不了，再试试卡卡，也是一样。晕！

  还好“买咖啡”防火墙还存在。估计问题不大(还侥幸呢)，赶紧看看系统进程有无可疑进程吧。 打开任务管理器，果然发现一个可疑程序在运行占用CPU20到30左右，文件名为：fxnvvhd.exe , 也没见过这个东西啊，眼生！试着结束它，该死的东西，结束了马上又上来，没招了， 赶紧百度一下吧，搜索网页结果为0，晕！ 无奈了，又点了下“百度知道”，果然出现一篇相关文章，标题为《中毒了啊`卡巴和安全卫士都打不开，安全模式进不去，哪位高手救救我啊？》赶紧点开看看吧， 看看人家是怎么解决的啊，结果点了一下，不到两秒钟IE就被自动关闭了，狂晕了，又试了试别的网页，正常啊~ 郁闷了，难道是哪病毒在作怪？ 于是呼，想了搞笑方法！把那个帖子打开了，就是在它还没有关闭那个瞬间，点IE的查看-原文件，看HTMl代码吧，这样才突破了它的封锁~ 服了，说明它“绑架了我的IE”-----不许你说我坏话！这样的病毒还是第一次发现的说！

  看看上面高手回答：“最近发现很多人出现了打不开杀毒软件 反病毒工具 甚至带有病毒字样的窗口，这是一个可以说结合了几乎所有病毒的特征的病毒，“映像劫持”以及“随机8位数字病毒”其实是一个叫作“AV终结者”的电脑病毒，该病毒通过映像劫持技术，将大量杀毒软件“绑架”，使其无法正常应用，而用户在点击相关安全软件后，实际上已经运行了病毒文件，实现病毒的“先劫持后掉包”的计划.....” 无语啊!

  又给了个地址，http://zhuansha.duba.net/259.shtml 专杀工具，看了这个，赶紧去下载吧， 结果，跟刚才一样还是不到1秒钟就被关闭了，我哭了... 怎么办？ 相信多年瑞星老大也不行了，听说卡巴和安全卫士也是一样，格C盘，重新做系统也没用（得全格，这不行我的数据资料太多，急啊），这不完了吗？，于是凭着多年的WEB开发经验，用狠方法吧。和病毒比速度，结果还是我win，在它没有被关闭的0.01秒，我成功点到了下载链接，
有救了~ 感谢苍天和大地和神仙姐姐！下载完毕，运行后一看是"金山毒霸的AV终结者-专杀工具" 开始扫描，马上发现病毒“Borken-Safeboot”清除，在每个盘符下都删掉了*.exe和*.inf，杀完毒后重新启动系统，我又试这启动下瑞星，结果找不到程序，看来瑞星被干掉了，然后执行瑞星卸载程序，还好能运行，赶紧修复吧，成功修复了，瑞星终于启动了，
瑞星起来第一件事做什么？ 山炮！还用问啊，赶紧升级吧，瑞星不会还落后毒霸两天吧？
升级成功，不过升级了，瑞星也没马上报告有病毒，开始杀毒后，果然发现病毒了....

  我的系统正在杀毒过程中..最后的结果还不知道，不过我的问题是：

  1，瑞星等较大杀毒软件为什么反映这么慢，更新补丁和病毒为什么不提示升级？
  2, 此类病毒为什么能“绑架”我们的“无敌”杀毒软件？让你变成废品，专业的杀毒软件竟然弄不过病毒？弄不出来好的机制吗？ 大哥是杀毒软件先进来的我们的系统的，可不是病毒哦，一个是主，一个是客，竟然主斗不过客？ 
   
  PS:说到此，我也不是什么反病毒专家，只是上来和大家分享下经历，给个位病毒厂商点压力，激励一下，别老互相打嘴仗“什么误杀，什么证据的”，好好用心研究杀毒机制，和病毒决战才是正道，保障客户利益才是生存之本！

为了中毒的用户，我直接给出了，AV终结者专杀工具，直接下载地址：
http://down.www.kingsoft.com/db/download/othertools/DubaTool_AV_Killer.COM

申明下:我不是金山的支持者，只是一个自然人，希望瑞星马上出自己的专杀工具！
别辜负了正版用户的期望！

引用:

【WEB思想的贴子】首先声明：我的瑞星版本2007-6-8号的。2003系统补丁已经全部打好，有专业防火墙，系统有口令，关闭了所有默认功享。和自动播放功能。       今天无意发现瑞星监控中心的绿伞不见了，大事不好，赶紧启动下吧， 试了N遍，就是没反应。瑞星根本启动不了，再试试卡卡，也是一样。晕！   还好“买咖啡”防火墙还存在。估计问题不大(还侥幸呢)，赶紧看看系统进程有无可疑进程吧。 打开任务管理器，果然发现一个可疑程序在运行占用CPU20到30左右，文件名为：fxnvvhd.exe , 也没见过这个东西啊，眼生！试着结束它，该死的东西，结束了马上又上来，没招了， 赶紧百度一下吧，搜索网页结果为0，晕！ 无奈了，又点了下“百度知道”，果然出现一篇相关文章，标题为《中毒了啊`卡巴和安全卫士都打不开，安全模式进不去，哪位高手救救我啊？》赶紧点开看看吧， 看看人家是怎么解决的啊，结果点了一下，不到两秒钟IE就被自动关闭了，狂晕了，又试了试别的网页，正常啊~ 郁闷了，难道是哪病毒在作怪？ 于是呼，想了搞笑方法！把那个帖子打开了，就是在它还没有关闭那个瞬间，点IE的查看-原文件，看HTMl代码吧，这样才突破了它的封锁~ 服了，说明它“绑架了我的IE”-----不许你说我坏话！这样的病毒还是第一次发现的说！   看看上面高手回答：“最近发现很多人出现了打不开杀毒软件 反病毒工具 甚至带有病毒字样的窗口，这是一个可以说结合了几乎所有病毒的特征的病毒，“映像劫持”以及“随机8位数字病毒”其实是一个叫作“AV终结者”的电脑病毒，该病毒通过映像劫持技术，将大量杀毒软件“绑架”，使其无法正常应用，而用户在点击相关安全软件后，实际上已经运行了病毒文件，实现病毒的“先劫持后掉包”的计划.....” 无语啊!   又给了个地址，http://zhuansha.duba.net/259.shtml 专杀工具，看了这个，赶紧去下载吧， 结果，跟刚才一样还是不到1秒钟就被关闭了，我哭了... 怎么办？ 相信多年瑞星老大也不行了，听说卡巴和安全卫士也是一样，格C盘，重新做系统也没用（得全格，这不行我的数据资料太多，急啊），这不完了吗？，于是凭着多年的WEB开发经验，用狠方法吧。和病毒比速度，结果还是我win，在它没有被关闭的0.01秒，我成功点到了下载链接， 有救了~ 感谢苍天和大地和神仙姐姐！下载完毕，运行后一看是"金山毒霸的AV终结者-专杀工具" 开始扫描，马上发现病毒“Borken-Safeboot”清除，在每个盘符下都删掉了*.exe和*.inf，杀完毒后重新启动系统，我又试这启动下瑞星，结果找不到程序，看来瑞星被干掉了，然后执行瑞星卸载程序，还好能运行，赶紧修复吧，成功修复了，瑞星终于启动了， 瑞星起来第一件事做什么？ 山炮！还用问啊，赶紧升级吧，瑞星不会还落后毒霸两天吧？ 升级成功，不过升级了，瑞星也没马上报告有病毒，开始杀毒后，果然发现病毒了....   我的系统正在杀毒过程中..最后的结果还不知道，不过我的问题是：   1，瑞星等较大杀毒软件为什么反映这么慢，更新补丁和病毒为什么不提示升级？   2, 此类病毒为什么能“绑架”我们的“无敌”杀毒软件？让你变成废品，专业的杀毒软件竟然弄不过病毒？弄不出来好的机制吗？ 大哥是杀毒软件先进来的我们的系统的，可不是病毒哦，一个是主，一个是客，竟然主斗不过客？        PS:说到此，我也不是什么反病毒专家，只是上来和大家分享下经历，给个位病毒厂商点压力，激励一下，别老互相打嘴仗“什么误杀，什么证据的”，好好用心研究杀毒机制，和病毒决战才是正道，保障客户利益才是生存之本！ ………………

同意楼上的PS:说到此，我也不是什么反病毒专家，只是上来和大家分享下经历，给个位病毒厂商点压力，激励一下，别老互相打嘴仗“什么误杀，什么证据的”，好好用心研究杀毒机制，和病毒决战才是正道，保障客户利益才是生存之本！
之前不完全同意

我为了这个病毒头都大了，你还运气,我碰到的是变种的病毒,你用的那个"金山毒霸的AV终结者-专杀工具"和瑞星的橙色八月根本没用,我已经发了邮件给瑞星,现在还在等瑞星回邮件呢?郁闷
未知家族病毒分析
扫描结果:
无可疑文件

病毒确实是杀掉了，但绝对不是瑞星杀掉的，刚才升级了14号瑞星只是杀掉了我几个ASP木马网页----还是我自己弄留着用的木马！晕！

这类病毒处理并不难的，对于重装系统的，或能够一键还原系统的。

可以在新系统安装完毕，进入的第一次，绝不使用原机任何文件，绝不打开任何磁盘，绝不使用U盘。

然后直接去网上的自己的邮箱里下载先备份上传的解压缩工具WinRAR，下载到桌面，安装后，立即用WinRAR打开各个磁盘，手工在WinRAR中删除各盘根目录下的文件：
Autorun.inf及Autorun.inf内容所指向的文件。

然后安装并升级杀软至最新版本，全盘杀毒。

至于U盘，可以在插入电脑前，按住“Shift”键不放手，直至系统检测完毕.
再用WinRAR打开U盘，删除根目录下的同样文件，就可以了。但是里面的所有文件，也得再彻底杀毒。

不能重装系统的，可以选择挂别的系统杀毒。或挂别的系统，在显示隐藏文件和系统文件的情况下搜索所有文件夹（包括隐藏文件夹），查找大致中毒时间段内的创建文件和修改文件。

对照文件名，去百度。大致可以找到大部分病毒的。

只是任何情况下都不能简单打开原中毒磁盘。建议用WinRAR打开需要打开的磁盘或文件夹。

基本可以解决大部分问题的。也不用学DOS或很多工具的使用。

至于后来的系统修复，可以在删除主要病毒，能够正常运行系统以后再找些工具来修复。

同时建议任何人都必须去关闭自己那脆弱的系统的“自动播放”功能。

1、点击“开始”-〉“运行”，输入“gpedit.msc”，确定，打开组策略编辑器。

2、点击“计算机配置”-〉“管理模板”-〉“系统”，在右边的窗格中找到“关闭自动播放”一项。

3、双击该项目。在弹出的窗口中选择“已启用”，并在“关闭自动播放”的下拉菜单中选择“所有驱动器”，点击“确定”关闭该窗口。

4、重启电脑，这样设置就可以生效了。

一定得关闭啊！！！！

楼上说的方法，我早就了解了，即使做到这样对于“AV终结者”病毒也是于事无补!

怎么无补呢？？？？？

至少到现在，还没见变种能够自己去开了那个自动播放哦。

还有对于重装系统的，或能够还原系统的。

删除磁盘根目录下的那些文件，没有不行的。

而挂盘的，只要先停了挂的系统的自动播放，并且绝不使用中毒盘任何文件，绝不随意打开中毒磁盘。也可以解决主要问题。

这可是实践，而不是随意说的。

在早前，我已接触过这类病毒的变种，那时早知道，右键的所有“打开”和“资源管理器”的打开，都会激活病毒。

所以从一开始我就从没建议过，用那些方法打开各磁盘处理病毒文件，我一直遇到这些病毒，都只建议用WinRAR打开各磁盘。

可这里，一直到真的求助的用右键的所有“打开”和“资源管理器”的打开，都会激活病毒以后。才都建议用WinRAR打开各磁盘。

我还接触过几个系统，在不断还原系统几次以后（当然这些系统的原备份，就是已经停了自动播放的），在这些系统的非系统分区根目录，都看到过不少这类靠“autorun.inf”来运行的病毒，只不过都静悄悄的。

因为系统大多设置为不显示隐藏文件和系统文件。所以一般用户都没注意到这些东西，因为平时看不到，所以就没有哪个再好奇的去双击病毒文件。

而因为自动播放是停了的，所以病毒都死在那里。都聚了有七八个种类的吧，偶尔我去朋友的电脑里，用WinRAR打开各磁盘。看看删除掉。

现在也教了那些用电脑的朋友们了，他们也大多很容易，就学会使用WinRAR打开各磁盘。删除这些不明文件。

那个病毒真厉害..我没中过...

如果一个东西直接想破坏你的软件 那么任何强大的软件都没有办法

你可以去 http://hi.baidu.com/newcenturysun/blog/item/683c772707ab2c02918f9dc9.html
看看对于此类病毒的分析
病毒会监控那些带有病毒 杀毒等字样的窗口
并不是绑架 了IE 也就是说 即便你建个记事本 名为 病毒.txt打开他 照样给你关闭

呵呵，病毒.txt是一定被关闭了，应该说只要窗体的标题栏上有“病毒”字样就会关闭，我写文章的只是我的中毒历程，认识和了解是有阶段性的，不过，我那个IE-查看-原文件-***.txt标题上没有病毒字样的，所以没有被关闭.

病毒下个版本,可能会增加"AV""终结者""专杀"等关键字

如果不更新专杀的话,"专杀"等着被关吧``

SREng\IS随机命名启动的都开不了

````

引用:

【孤独更可靠的贴子】病毒下个版本,可能会增加"AV""终结者""专杀"等关键字 如果不更新专杀的话,"专杀"等着被关吧`` SREng\IS随机命名启动的都开不了 ```` ………………

这类病毒关键在于预防。
HIPS，遭人鄙视的HIPS——对付这类病毒很管用。
即使鄙视HIPS，杀软商也应该考虑监视IFEO。但就是不做！严重不解！！

学习了。。。

【回复“孤独更可靠”的帖子】
孤独，我有点不明白，病毒的劫持，是要软件名字的啊。我们改了名字，他一样可以劫持到，这个是什么原理呢？

引用:

【日不懂啊的贴子】【回复“孤独更可靠”的帖子】 孤独，我有点不明白，病毒的劫持，是要软件名字的啊。我们改了名字，他一样可以劫持到，这个是什么原理呢？ ………………

关窗```

IFEO和上面的技术没得比``

查找安全工具的"关键字"关闭的,这不受软件名字的限制`



哎``HIPS有待普及``

明白了，汗~~
看来病毒是一直在变种啊
之前针对他的劫持，我们改名了，他也更新了，查找关键字了...

说起来我也觉得奇怪，搞得满城风雨的AV杀手，瑞星的官网上面居然一点消息都不提。难道就对付不了的病毒，装个鸵鸟就能有用麽？客户买你的杀毒软件，不是希望在关键时候装傻的吧。

引用:

【尤利·烈風斬魔的贴子】说起来我也觉得奇怪，搞得满城风雨的AV杀手，瑞星的官网上面居然一点消息都不提。难道就对付不了的病毒，装个鸵鸟就能有用麽？客户买你的杀毒软件，不是希望在关键时候装傻的吧。 ………………

这个显而易知了，瑞星到现在还没有解决方案！

为了中毒的用户，我直接给出了，AV终结者专杀工具，直接下载地址：
http://down.www.kingsoft.com/db/download/othertools/DubaTool_AV_Killer.COM

申明下:我不是金山的支持者，只是一个自然人，希望瑞星马上出自己的专杀工具！
别辜负了正版用户的期望！

【凝逸反毒】
[一键清除]
点[强进关机],点[ok]
清除:映像劫持.随机8位病毒.av终结者.帕虫(worm.pabug).U盘病毒
最新版本 http://nyfd.n-cn.com/download/nyfd.zip

我也是深受av终结者的危害，找了好多方法都不行，很庆幸找到了【凝逸反毒】，很简单，强进关机后再开机，就一切都恢复正常了。

楼主的“主”与“客”的说法很形象。只可惜对于大多数杀毒软件来说，他们的“主”只是说明他们先来的，并没有“主动”的去防御，检查“客人”。或者说他们是放君子，不防小人。这次的小人就把主人给干掉了。。
猫叔说的HIPS就是主动防御类软件。楼主是开发WEB的，那应该了解下。还不错。
另外学习些手动杀毒知识，把常用工具备份，重要资料尽量不放在系统盘，也是很重要的。

其实瑞星已经是出了关于这病毒的说明了,只是命名不同而已.
关于这病毒,我这两天也终于体会到了,确实很厉害,重装系统后只要不打开我的电脑或者不进入分区根目录通常都不会有事,利用这一点就可以把本地杀毒软件的安装程序保存在一个非根目录的地址,然后在重装后,通过我的文档或回收站进入文件目录,进行安装
很多事情我们都不能只依靠杀毒软件的帮助,最重要还是我们电脑使用者的防毒意识.买杀毒软件绝对不是买保险,买杀毒软件最重要的是看它的售后.如果要攀比哪个杀毒软件发现病毒最快,那就只好把全部杀毒软件买回家好了.

在重装系统后,不要用我的电脑打开任何盘,这时直接网上下载专杀或安装杀毒软件并升级,然后杀毒.
注意千万不要用我的电脑打开任何盘,不然就中招,你可以用资源管理器左边的树型目录打开,嘿嘿

一只句话:瑞星,我现在开始不相信你了!!!
"AV终结者的中毒症状"我6月9日打了近一个小时的电话,好不容易打通并通报给他们,可结果一直现在还没有专杀工具出来,而且这么大的网站除论坛上中招者的无奈外,居然没见到任何的警示????
金山毒霸的专杀也没有任何的效果!
我能相信谁????
相信自己吧,重新格式化,重新装系统!
但愿我还能看到有更好的办法!
上帝保佑!

【回复“萨古斯玛基斯”的帖子】
老萨,你所说的不知道是不是指的是"橙色八月"?
如果是,我告诉你,那个比金山的更垃圾!!!金山的能查出病毒,能清除,只是假清除,而"橙色八月"就是查也查不出来!!!居然电话里还让我用听症器去提取,更是个天大的笑柄!查了居然什么都没有...

卡巴斯基，金山，瑞星。。。基本上主流杀软都被这个病毒干掉了，大家还是客观宽容一些吧。

引用:

【火火柠檬的贴子】卡巴斯基，金山，瑞星。。。基本上主流杀软都被这个病毒干掉了， ………………

被此毒干掉的杀软商该想想了————为什么不主动监控IFEO？
Tiny这个2005年就停止更新的防火墙就有IFEO监控。
难道所有这些被干掉的杀软不该好好自省一下吗？
加个IFEO监控就那么难吗？
无论那款杀软，如果还不加上IFEO监控，今后若再被这类病毒干掉，那纯属活该！自取其辱！

【凝逸反毒】清除:av终结者.帕虫.U盘病毒

清除:映像劫持.随机8位病毒.av终结者.帕虫(worm.pabug).U盘病毒
清除:杀软不杀的病毒,修复:感染威金,熊猫,Virus.Win32.Delf.bl的exe;
nyfd5.7版:http://nyfd.n-cn.com/download/nyfd.zip

【凝逸实验室】
                      作者:凝逸
主站:http://hi.baidu.com/503165656
凝逸软件:http://503165656.ys168.com
技术支持QQ:503165656
反病毒TM群:24874517

又1个好复杂的病毒,还好偶没中过.