::本文可以转载,转载时请标明转载地址:http://hi.baidu.com/hua0629/blog/item/8592380874c97232e82488d5.html,否则视为侵犯版权.

手动查杀AV终结者手记

久闻AV终结者的大名，特意从网上下载了一个AV终结者，尝试一下手动查杀这个2007年上半年的头号病毒。
显示隐藏文件后，双击tubjsoe.exe后，AV终结者开始运行。
打开Windows任务管理器，发现C:\Program Files\Common Files\Microsoft Shared\iqwfobe.exe和C:\Program Files\Common Files\System\owupxei.exe两个不正常的进程。结束进程后再次生成。
打开C:\Program Files\Common Files\Microsoft Shared目录，自动关闭，打开C:\Program Files\Common Files\System目录，也是自动关闭。
可以初步断定iqwfobe.exe和owupxei.exe为病毒文件。
发现每个盘根目录下面都有“autorun.inf”和“tubjsoe.exe”文件。
打开maxthon,搜索tubjsoe.exe，点击搜索出来的网页，maxthon自动关闭。
打开D盘下的“查毒杀毒”文件夹，自动关闭。
双击桌面快捷键“IceSword.exe”，没有反应，再次双击IceSword.exe，弹出“iqwfobe.exe - 应用程序错误”窗口。
看来IceSword被劫持了。
打开“SREngPS.EXE”,查看“启动”项，发现九个不正常"run"启动项：
C:\Program Files\Common Files\Microsoft Shared\iqwfobe.exe
C:\Program Files\Common Files\System\owupxei.exe
C:\WINDOWS\AVPSrv.exe
C:\WINDOWS\cmdbcs.exe
C:\WINDOWS\mppds.exe
C:\WINDOWS\MsIMMs32.exe
C:\WINDOWS\TIMHost.exe
C:\WINDOWS\upxdnd.exe
C:\WINDOWS\system32\RAV008C.exe
有四个"ShellExecuteHooks"启动项：
C:\Program Files\Common Files\Microsoft Shared\MSInfo\SysWFGQQ2.dll
C:\WINDOWS\system32\dhapri.dll
C:\WINDOWS\system32\qhbpri.dll
C:\WINDOWS\system32\wdapri.dll
还有一大堆的IFEO映像劫持。劫持了常用的杀毒软件和一些辅助杀毒的软件，比如IceSword.exe，SREng.exe,autoruns.exe等。
再查看“win.ini”，“system.ini”，“AutoExec.bat”,“Config.sys”“驱动程序”都没有问题。再查看“Win32 服务应用程序”，发现不正常服务名“Remote Debug Service”。
打开C:\WINDOWS，发现cmdbcs.exe，mppds.exe，TIMHost.exe三个应用程序并未隐藏，删除了这三个程序。
打开registry workshop，删除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下的bhpkndi，cmdbcs，mppds，TIMHost，tubjsoe五个项。发现bhpkndi和tubjsoe项马上再次生成。

接下来该是杀毒的时候了。
重命名冰刃“IceSword.exe”后打开，按住CTRL复选“owupxei.exe”和“iqwfobe.exe”，然后结束owupxei.exe和iqwfobe.exe进程。
从地址栏打开，删除各个盘根目录下的“autorun.inf”和“tubjsoe.exe”文件。
打开Windows任务管理器，结束“Explorer.exe”,重启“Explorer.exe”。
打开“SREngPS.EXE”,修复入口点错误“CreatprocessA”和“CreatprocessW”。
用冰刃强制删除“CreatprocessA”和“CreatprocessW”的键值C:\WINDOWS\system32\TIMHost.dll中的TIMHost.dll文件。
打开注册表，删除HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run键下的启动项；
删除HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks下的启动项；
用冰刃IceSword.exe强制删除启动项中键值的文件：
C:\Program Files\Common Files\Microsoft Shared\iqwfobe.exe
C:\Program Files\Common Files\System\owupxei.exe
C:\Program Files\Common Files\Microsoft Shared\MSInfo\SysWFGQQ2.dll
C:\WINDOWS\AVPSrv.exe
C:\WINDOWS\MsIMMs32.exe
C:\WINDOWS\upxdnd.exe
C:\WINDOWS\cmdbcs.exe
C:\WINDOWS\mppds.exe
C:\WINDOWS\TIMHost.exe
C:\WINDOWS\system32\dhapri.dll
C:\WINDOWS\system32\qhbpri.dll
C:\WINDOWS\system32\wdapri.dll
打开注册表到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options，删除掉下面所有数据项为路径的注册键(自己设置的除外)，从SREngPS.EXE的启动项中可以查看是否删除干净，也可以直接从SREngPS.EXE把这些注册键删除。
在注册表下搜索tubjsoe，找出匹配项目，全部删除；不少项目下同时存在bhpkndi项，一并删除。
打开“SREngPS.EXE”，从“Win32 服务应用程序”中把服务项“Remote Debug Service”删除，用冰刃把C:\WINDOWS\system32\RemoteDbg.dll删除。

附：打开C:\Program Files时，发现两个隐藏文件bhpkndi.inf和meex.exe，删除。打开C:\Program Files\Common Files\Microsoft Shared\MSInfo删除SysWFGQQ2.dll时，同时发现SysWFGwd2.dll，一并删除。
打开C:\Documents and Settings\Administrator\Local Settings\Temp，按时间排列，发现中病毒时产生两个文件0222.exe和8222.exe，删除。
打开C:\WINDOWS\system32，按时间排列，发现中病毒的时候产生了多个个文件，删除。
后来还发现“文件夹选项”里面的“显示所有的文件和文件夹”选项无效了，把注册表中HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL的CheckedValue改回为dword:00000001。
修复安全模式：添加HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318} @="DiskDrive"和HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318} @="DiskDrive"