关于AV终结者
金山毒霸客户服务中心最近收到大量用户求助，用户反馈的现象大致差不多：杀毒软件不能用，想用搜索引擎去查找一些解决办法，输入杀毒，浏览器窗口就被关掉。在金山毒霸论坛，也有大量用户反应相同或类似的情况。而在珠海毒霸研发部，已经监测到此类病毒泛滥的情况。监测发现了一系列反击杀毒软件，破坏系统安全模式，植入木马下载器的病毒。并将这一类病毒命名为“AV终结者”，AV终结者指的是一批具备以下破坏性的病毒、木马和蠕虫。

病毒现象
1.生成很多8位数字或字母随机命名的病毒程序文件，并在电脑开机时自动运行。
2.绑架安全软件，中毒后会发现几乎所有杀毒软件，系统管理工具，反间谍软件不能正常启动。即使手动删除了病毒程序，下次启动这些软件时，还会报错。
比如，运行Sreng时，会出现这个错误

3.不能正常显示隐藏文件，其目的是更好的隐藏自身不被发现。
4.禁用windows自动更新和Windows防火墙，这样木马下载器工作时，就不会有任何提示窗口弹出来。

5.破坏系统安全模式，使得用户不能启动系统到安全模式来维护和修复
6.当前活动窗口中有杀毒、安全、社区相关的关键字时，病毒会关闭这些窗口。假如你想通过浏览器搜7.索有关病毒的关键字，浏览器窗口会自动关闭。
8.在本地硬盘、U盘或移动硬盘生成autorun.inf和相应的病毒程序文件，通过自动播放功能进行传播。这里要注意的是，很多用户格式化系统分区后重装，访问其它磁盘，立即再次中毒，用户会感觉这病毒格式化也不管用。
9.病毒程序的最终目的是下载更多木马、后门程序。用户最后受损失的情况取决于这些木马和后门程序。

传播方式
1.通过U盘、移动硬盘的自动播放功能传播
2.AV终结者最初的来源是通过大量劫持网络会话，利用网站漏洞下载传播。和前一段时间ARP攻击的病毒泛滥有关。

金山毒霸的解决方案
"AV终结者"病毒一旦入侵，清除过程相当复杂，可能不少用户就会选择重装。我们建议用户不要轻易重装系统，建议使用我们推荐的步骤完成清除，必要时拨打客服电话请求支持，金山毒霸的客户服务电话是010-82321816。

因为这个病毒同样会攻击金山毒霸，已经中毒的电脑会发同金山毒霸不能启动，双击没反应。利用手动解决相当困难，并且，AV终结者是一批病毒，不能简单的通过分析报告来人工删除。我们推荐的清除步骤如下：
1.在能正常上网的电脑上登录金山毒霸网站下载AV终结者病毒专杀工具
下载地址：http://down.www.kingsoft.com/db/download/othertools/DubaTool_AV_Killer.COM

2.在正常的电脑上禁止自动播放功能，以避免通过插入U盘或移动硬盘而被病毒感染。
禁止步骤参考这里：http://hi.baidu.com/litiejun/blog/item/15bf9d3e1bfad2fb838b135c.html

3.把AV终结者专杀工具从正常的电脑复制到U盘或移动硬盘上，然后再复制到中毒的电脑上。

4.执行AV终结者专杀工具，清除已知的病毒，修复被系统配置。
（注：AV终结者专杀工具的重要功能是修复被破坏的系统，包括修复映像劫持；修复被破坏的安全模式；修复隐藏文件夹的正常显示和删除各磁盘分区的自动播放配置。）

5.不要立即重启电脑，然后启动杀毒软件，升级病毒库，进行全盘扫描。以清除木马下载器下载的其它病毒。

防范措施
请采取以下措施防范AV终结者病毒：

1.使用金山网镖或Windows防火墙，可有效防止网络病毒通过黑客攻击手段入侵。
2.使用金山毒霸的漏洞修复功能或者windows update来修补系统漏洞，特别需要注意安装浏览器的最新补丁。
3.升级杀毒软件，开启实时监控
4.网管采取综合措施防范ARP攻击挂马事件，有关ARP欺骗的解决办法，请参考：http://hi.baidu.com/litiejun/blog/item/9e3ff0092e837a82d1581ba1.html
5.关闭windows的自动播放功能，参考我的另一篇文章中的介绍
http://hi.baidu.com/litiejun/blog/item/15bf9d3e1bfad2fb838b135c.html