如发现有乱码，请点击下面链接浏览原文
正文摘录:

手工来清除AV终结者变种病毒如果我们在网上搜索AV终结者的话，会发现这个病毒在网上的曝光率很高，我也是编写完了专杀工具后才在金山的网站上看到这个病毒的名字。金山对其的评论是该病毒的危害性不亚于熊猫烧香，它释故大量的木马程序，禁用杀毒软件和大量安全工具.导致安全模式无法进人甚至连安全类的网页都禁止打开。可见其危害眭真的很大，这个病毒有许多变种，下边我们就来讨论一下它的手工清除方法。不入虎穴焉得虎子，我拷贝了一份病毒样本，然后烈击运行(这个病毒很讨厌的哟，如果菜菜们也想分析一下这个病毒，最好是在虚拟机里进行)。病毒果然厉害，中了之后就出现了上述的一些症状，甚至连安全模式也无{击进人.出现了蓝屏。先来简单分析一下病毒的主要模块。1.病毒有两个进程.相互守护，因此我们无法手动单一结束它的进ZOrrO程，这个变种病毒的两个进程分别为nuygtvw.exe和terebmi.exe。2.修改注册表。病毒修改了“HKEYLOcALMACHINE＼SOFTWARE＼Microsoft＼WlndowsNT＼currentversion＼1mageFileExecution0ptlons”项进行了映像劫持.将大量的安全软件指向了病毒文件，导致安全软件无法运行，如图1。3在注册表“HKEYLOcALMAcHlNE＼s0FTWARE＼Microsoft＼windows＼currentverslon＼Run”创建了两个启动项vbcyhid和xywrebh，并实时监视这两个启动项.发现删除就立即重新注册。病毒还修改了注册表的其它项目，导致安全模式无法运行，并释放了大量的盗号木马.感染其它硬盘分区，导致重装系统后仍有可能感染。那么要如何才能手动清除该病毒呢?我们现在没有任何的工具可队使用，无法结束进程.无法删除注册表启动项。经过和病毒的一番斗智斗勇，我终干找到了它的破绽。既然无法删除它的启动项.那我们能否修改它的启动项呢，如图27我们将病毒的启动项随便修改了，病毒实时监视图2是否存在这个启动项，但却没有检查数据是否被修改.百密一疏呀。修改了病毒的启动项就算是完成了一半的修复工作，接下来只要将“HKEY—LOcALMACHINE＼SO丌wARE＼Micr。∞仕＼W_ndowsNT＼Cumntverslon＼1mageF】leExecutionOptions”改回来或直接删除就可以了。马上重启计算机，发现卡巴和360都可叭使用了，接下来的工作就是清理残留的病毒文件了。打开c：＼ProgramF儿es目录将memx.exe和xywrebh删除.并将c.＼ProgramFnes＼co删nonFnes＼System＼terebml.exe和C：＼ProgramF11es＼CommonⅣles＼Micmsoftshared＼nuygtvw.exe删除。最后我们还要修复一下被破坏的安全模式，病毒主要是通过破坏注册表里关于安全模式的设置来达到无{击让安全模式启动的目的。我在网匕找到了一个修复安全模式的注册表文件rebu.1d.reg，双击导人就可以轻松修复了。至此病毒总算|是被我清除干净了.该病毒变种很多，中的朋友也非常多，为了提高查杀的效率.我特编写r一个专杀工具KILL.ExE，大家可以使用一下!(本文所涉厦到的KILLE×E和re叽¨dreg已收录到光盘中)瞄