最近发现很多人在网上搜索“AV终结者专杀”。最近的病毒猖狂了，以下介绍一些有关“AV终结者专杀”，希望大家及时的防范。 AV终结者专杀工具推荐下载站点：http://duba-011.duba.net/duba/kavtools/DubaTool_AV_Killer.COM AV终结者病毒包括一系列破坏杀毒软件的病毒，有网友命名为“8位随机文件名病毒”。该病毒利用了IFEO 重定向劫持技术，使大量的杀毒软件和安全相关工具无法运行；会破坏安全模式，使中毒用户无法在安全模式下查杀病毒；会下载大量病毒到用户计算机来盗取用户有价值的信息和某些帐号；能通过可移动存储介质传播；病毒还会关闭windows安全中心和windows防火墙，以降低系统安全性。

金山毒霸反病毒专家戴光剑表示，用户在论坛中提到的“映像劫持”以及“随机8位数字病毒”其实是一个叫作“AV终结者”的电脑病毒，该病毒通过映像劫持技术，将大量杀毒软件“绑架”，使其无法正常应用，而用户在点击相关安全软件后，实际上已经运行了病毒文件，实现病毒的“先劫持后掉包”的计划。

此外，与以往针对杀毒软件的病毒不同，AV终结者会破坏安全模式，即使用户发现电脑感染了病毒，重新启动后也无法进入安全模式进行查毒，而且该病毒还可下载大量的木马病毒到用户电脑内，用户有价值的信息以及某些帐号将面临严重威胁。

据了解，“AV终结者”不但可以劫持大量杀毒软件以及安全工具，而且还可禁止Windows的自更新和系统自带的防火墙，大大降低了用户系统的安全性，这也是近几年来对用户的系统安全破坏程度最大的一个病毒之一。

金山毒霸反病毒专家表示，该病毒的破坏程度与熊猫烧香非常相似，只是比熊猫烧香更加隐蔽，病毒可随系统启动而启动，并通过修改注册表，隐藏进程的方式，让用户不易察觉。该病毒可在硬盘分区生成文件autorun.inf和随机字母+数字组成的病毒复制体，并修改 “NoDriveTypeAutoRun”使病毒可以随可移动存储介质传播。

AV终结者专杀可修复映像劫持，修复破坏的安全模式，修复隐藏文件夹的正常显示配置，修复autorun.inf配置的自动播放。推荐遇到这种情况的用户采用。然后，您可以重启系统进入带网络连接的安全模式，升级毒霸后杀毒。如果仍不能解决，那就是有更新的病毒了，建议此时采用毒霸工具菜单下的可疑文件扫描工具，提取新样本。

1.生成文件 %programfiles%Common FilesMicrosoft SharedMSInfo{随机8位字母+数字名字}.dat C:Program FilesCommon FilesMicrosoft SharedMSInfo{随机8位字母+数字名字}.dll %windir%{随机8位字母+数字名字}.hlp %windir%Help{随机8位字母+数字名字}.chm 也有可能生成如下文件 %sys32dir%{随机字母}.exe 替换%sys32dir%verclsid.exe文件

2.生成以下注册表项来达到使病毒随系统启动而启动的目的 HKEY_CLASSES_ROOTCLSID"随机CLSID"[url=file://\InprocServer32]\InprocServer32[/url] "病毒文件全路径" HKEY_LOCAL_MACHINESOFTWAREClassesCLSID"随机CLSID" "病毒文件全路径" HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks "生成的随机CLSID" "" HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun "随机字符串" "病毒文件全路径" HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceswscsvc Start dword:00000004

3.生成以下注册表项来进行文件映像劫持，从而试图阻止相关安全软件运行，并执行病毒体。 被劫持的软件包括： 360rpt.exe; 360Safe.exe; 360tray.exe; adam.exe; AgentSvr.exe; AppSvc32.exe; autoruns.exe; avgrssvc.exe; AvMonitor.exe; avp.com; avp.exe; CCenter.exe; ccSvcHst.exe; FileDsty.exe; FTCleanerShell.exe; HijackThis.exe; IceSword.exe; iparmo.exe; Iparmor.exe; isPwdSvc.exe; kabaload.exe; KaScrScn.SCR; KASMain.exe; KASTask.exe; KAV32.exe; KAVDX.exe; KAVPFW.exe; KAVSetup.exe; KAVStart.exe; KISLnchr.exe; KMailMon.exe; KMFilter.exe; KPFW32.exe; KPFW32X.exe; KPFWSvc.exe; KRegEx.exe; KRepair.COM; KsLoader.exe; KVCenter.kxp; KvDetect.exe; KvfwMcl.exe; KVMonXP.kxp; KVMonXP_1.kxp; kvol.exe; kvolself.exe; KvReport.kxp; KVScan.kxp; KVSrvXP.exe; KVStub.kxp; kvupload.exe; kvwsc.exe; KvXP.kxp; KvXP_1.kxp; KWatch.exe; KWatch9x.exe; KWatchX.exe; loaddll.exe; MagicSet.exe; mcconsol.exe; mmqczj.exe; mmsk.exe; NAVSetup.exe; nod32krn.exe; nod32kui.exe; PFW.exe; PFWLiveUpdate.exe; QHSET.exe; Ras.exe; Rav.exe; RavMon.exe; RavMonD.exe; RavStub.exe; RavTask.exe; RegClean.exe; rfwcfg.exe; RfwMain.exe; rfwProxy.exe; rfwsrv.exe; RsAgent.exe; Rsaupd.exe; runiep.exe; safelive.exe; scan32.exe; shcfg32.exe; SmartUp.exe; SREng.exe; symlcsvc.exe; SysSafe.exe; TrojanDetector.exe; Trojanwall.exe; TrojDie.kxp; UIHost.exe; UmxAgent.exe; UmxAttachment.exe; UmxCfg.exe; UmxFwHlp.exe; UmxPol.exe; UpLive.EXE.exe; WoptiClean.exe; zxsweep.exe;

4.修改以下注册表，导致无法显示隐藏文件 HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced Hidden dword:00000002 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL CheckedValue dword:00000000

5、修改以下服务的启动类型来禁止Windows的自更新和系统自带的防火墙。 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesSharedAccess Start dword:00000004 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceswuauserv Start dword:00000004

6.删除以下注册表项，使用户无法进入安全模式 HKEY_CURRENT_USERSYSTEMCurrentControlSetControlSafeBootMinimal{4D36E967-E325-11CE-BFC1-08002BE10318} HKEY_CURRENT_USERSYSTEMControlSet001ControlSafeBootMinimal{4D36E967-E325-11CE-BFC1-08002BE10318}

7.连接网络下载病毒 hxxp://www.webxxx.com/xxx.exe

8.关闭杀毒软件实时监控窗口，如毒霸、瑞星、卡巴，通过自动点击"跳过"按钮来逃过查杀

9.尝试关闭包含以下关键字窗口 Anti AgentSvr CCenter Rsaupd SmartUp FileDsty RegClean 360tray 360safe kabaload safelive KASTask KPFW32 KPFW32X KvXP_1 KVMonXP_1 KvReport KvXP KVMonXP nter TrojDie avp.com KRepair.COM Trojan KvNative Virus Filewall Kaspersky JiangMin RavMonD RavStub RavTask adam cSet PFWliveUpdate mmqczj Trojanwall Ras.exe runiep.exe avp.exe PFW.exe rising ikaka .duba kingsoft 木马 社区 aswBoot …

10.注入Explorer.exe和TIMPlatform.exe反弹连接，以逃过防火墙的内墙的审核。

11.隐藏病毒进程，但是可以通过结束桌面进程显示出来

12.在硬盘分区生成文件：autorun.inf 和 随机字母+数字组成的病毒复制体，并修改“NoDriveTypeAutoRun”使病毒可以随可移动存储介质传播。