c1腳本病毒

① 常見的網路攻擊類型有哪些

企業最容易遭受的5種網路攻擊類型：
1、惡意社交工程-軟體
經過社交工程設計的惡意軟體形成了第一大攻擊方法。最終用戶常常被誘騙去運行特洛伊木馬程序，通常是在他們經常訪問和信任的偽裝網站上。
惡意網站讓用戶安裝一些新軟體，以便訪問該網站，比如更新flash等常規操作，運行偽造的防病毒軟體或運行其他不必要且惡意的木馬軟體。通常會指示用戶單機瀏覽或操作系統發出的任何安全警告，並禁用可能的防禦措施。
有時，木馬程序偽裝成合法的程序，而有時它會消失在後台運行，開始執行其惡意行為。惡意社交工程軟體程序每年導致成千上萬的黑客入侵。相對於這些數字，所有其他黑客攻擊類型都是冰山一角。
2、網路釣魚攻擊
大約60%到70%的電子郵件都是垃圾郵件，其中大部分是網路釣魚攻擊郵件，旨在誘騙用戶脫離其正常登錄網站。幸運的是，反垃圾郵件供應商和服務取得了長足的進步，因此我們大多數人的收件箱都比較整潔。但是，很多人每天都會收到幾封垃圾郵件，而每周至少有幾十封垃圾郵件都是合法電子郵件的仿品。
網路釣魚電子郵件是一種被破壞的藝術品。它甚至會虛偽的警告讀者不要沉迷於欺詐性電子郵件。而它唯一的目的是流氓鏈接，下一步就是要用戶提供機密信息。
3、未及時更新打補丁的軟體
緊隨惡意社會工程軟體和網路釣魚的是漏洞的軟體。最常見的是未打補丁和最容易被黑客利用的程序是瀏覽器載入項程序，比如：Adobe
Reader，以及人們經常用來使網站沖浪更容易的其他程序。多年來很多黑客一直採用這種方式，但奇怪的是，我看過的無數家公司都沒有及時的打上補丁，也沒有應對的安全軟體。
4、社交媒體威脅
我們的世界是一個社交世界，由Facebook、微信、微博或在其國家/地區受歡迎的同行領袖。黑客喜歡利用公司社交媒體賬戶，這是通過來收集可能在社交媒體網站和公司網路之間共享的密碼因素。當今許多最嚴重的黑客攻擊都是從簡單的社交媒體攻擊開始的。不要小看其潛力，很多個人、企業以及明星，或者國家機構的賬號都曾被黑客惡意使用過。
5、高級持續威脅
高級持續威脅(APT)是由犯罪分子或民族國家實施的網路攻擊，目的是在很長一段時間內竊取數據或監視系統。攻擊者具有特定的目標和目的，並花費了時間和資源來確定他們可以利用哪些漏洞來獲取訪問許可權，並設計可能很長時間未發現的攻擊。該攻擊通常包括使用自定義惡意軟體。
APT的動機可能是經濟利益或政治間諜。APT最初主要與想要竊取政府或工業機密的民族國家行為者聯系在一起。網路犯罪分子現在使用APT竊取他們可以出售或以其他方式貨幣化的數據或知識產權。
APT黑客和惡意軟體比以往任何時候都更為普遍和復雜。對於一些為政府或相關行業服務的專業黑客，他們的全職工作是黑客攻擊特定的公司和目標。他們執行與自己的贊助者的利益相關的動作，包括訪問機密信息，植入破壞性代碼或放置隱藏的後門程序，使他們可以隨意潛入目標網路或計算機。

② 網頁被注入惡意代碼，在網頁源碼最後多出以下三行代碼： <script type="text/javascript">document.write

就是被添加了腳本
腳本意圖是輸出一個文檔流
這個文檔流也是一個腳本
惡意腳本指向打開某個115.238.147.102的網頁,採用自動登錄id的方式

那我估計,這個惡意代碼,是借用你的網頁被各個網友打開
等於每個網友幫他登錄那個網站 估計是刷分用的
但不確定會不會自動下載什麼

殺軟當然無法分析者是不是病毒還是你的本意

解決方法不在頁面代碼

而是在於伺服器安全策略
比如說 asp調用執行iis賬戶許可權
採用sql資料庫登錄的賬戶 可能是sa 賬戶的保密問題
也可能是系統賬戶問題
還有就是系統漏洞
很多方面啦,這個你另外網路 "網站伺服器安全"

③ AV終結者是誰研發的，那個人被抓住沒有

「AV終結者」即」帕蟲」是一系列反擊殺毒軟體，破壞系統安全模式、植入木馬下載器的病毒，它指的是一批具備如下破壞性的病毒、木馬和蠕蟲。「AV終結者」名稱中的「AV」即為英文「反病毒」(Anti-Virus)的縮寫。它能破壞大量的殺毒軟體和個人防火牆的正常監控和保護功能,導致用戶電腦的安全性能下降,容易受到病毒的侵襲。同時它會下載並運行其他盜號病毒和惡意程序,嚴重威脅到用戶的網路個人財產。此外,它還會造成電腦無法進入安全模式,並可通過可移動磁碟傳播。目前該病毒已經衍生多個新變種,有可能在互聯網上大范圍傳播。「AV終結者」設計中最惡毒的一點是，用戶即使重裝操作系統也無法解決問題：格式化系統盤重裝後很容易被再次感染。用戶格式化後，只要雙擊其他盤符，病毒將再次運行。「AV終結者」會使用戶電腦的安全防禦體系被徹底摧毀，安全性幾乎為零。它還自動連接到某網站，下載數百種木馬病毒及各類盜號木馬、廣告木馬、風險程序，在用戶電腦毫無抵抗力的情況下，魚貫而來，用戶的網銀、網游、QQ賬號密碼以及機密文件都處於極度危險之中。
AV終結者最徹底解決方案
病毒名稱：AV終結者
傳播方式：內存，2個windows漏洞 （變種 未知）
破壞方式：進程插入
生成病毒文件名：隨機8位字元
自我保護：應用程序劫持技術 破壞隱藏文件顯示 強行關閉知名殺毒/馬軟體 無法進入安全模式
病毒目的：從網路上下載大量木馬
危害等級：★★★★★
近日網路上出現了一種破壞力及強的病毒「AV終結者」，不到一個月時間，變種就已達到數百個之多，波及人群超過十幾萬人，這個病毒非常變態，一旦感染就很難清除。
「AV終結者」是由隨機8位數字和字母組合而成的病毒,是快閃記憶體寄生病毒，它是通過快閃記憶體等存儲介質或者注入伺服器來實現的。
一、什麼是「AV終結者」
「AV終結者」病毒運行後會在系統中生成如下幾個文件：C:\program files\common files\microsoft shared\msinfo\隨機生成病毒名.dat、C:\program files\common files\microsoft shared\msinfo\隨機生成病毒名.dll、C:\windows\隨機生成病毒名.chm
「AV終結者」會在其他磁碟上中生成文件：#:\\隨機生成病毒名.dat
「AV終結者」的病毒名是由大寫字母+數字隨機組合而成，其長度為8位，可以說生成同名病毒的概率是很低的。因此即使我們知道了這是病毒生成的文件，也別指望通過病毒名在網路上找到病毒的清楚方法。
「AV終結者」病毒運行後會在本地磁碟和移動磁碟中復制病毒文件和anuorun.inf文件，當用戶雙擊盤符時就會激活病毒，即使是重裝系統也是無法將病毒徹底清楚的。這是目前很多病毒熱衷的傳播方法，不少用戶也懂得刪除病毒生成的anuorun.inf文件，但是當我們進入「文件夾選項里」，想顯示隱藏文件時，可以發現這里已經被病毒給禁用了。
針對殺毒軟體的攻擊，是「AV終結者」的特點。病毒會終止大部分的殺毒軟體和安全工具的進程。國內絕大多數的殺毒軟體和安全工具都被列入了黑名單。當殺毒軟體暫時失去作用時，病毒就會乘勝追擊，通過一種「映象劫持」技術將殺毒軟體徹底打入死牢。
「映象劫持」會在注冊表的「HKEY-LOCAL-MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Exeution Options」位置新建一個以殺毒軟體和安全工具程序名稱命名的項。建立完畢後，病毒還會在裡面建立一個Debugger鍵，鍵值為「c:\ progra~1\common~1\micros~1\msinfo\05cc73b2.dat」。這樣當我們雙機運行殺毒軟體的主程序時，運行的其實是病毒程序。
為了避免在「任務管理器」中露出破綻，病毒會將自己的進程注入到系統的資源管理器進程explorer.exe中，這樣我就無法通過「任務管理器」發現病毒的進程了。病毒進程的主要作用是監視系統中的用戶操作，例如你想手動清楚病毒，修改注冊表，病毒沒隔一段時間就會把注冊表改回去，讓你白費勁。另一個作用是監視IE窗口，發現用戶搜索病毒資料時，立即關閉網頁。
此外，病毒還會破壞windows防火牆和安全模式，封堵用戶的後路。最重要的是，病毒會從網路上下載大量盜號木馬，盜取用戶的游戲帳戶信息，這也是它的真正目的。
二、徹底清除「AV終結者」
1、運行「任務管理器」，結束「explorer.exe」進程，單擊「任務管理器的」文件菜單，選擇「新建任務」，輸入「regedit」，找到HEKEY-LOCAL-MACHINE\software\microsoft\windows\currentversion\explorer\advanced \folder\hidden\showall,將Checkedvalue的的鍵值改為「1」。
2、在「regedit」中找到HEKEY-LOCAL-MACHINE\software\microsoft\windows NT\currentversion\image file execution options，將以殺毒軟體和安全工具命名的項刪除。
3、在「資源管理器」中單擊「工具」——「文件夾選項」，切換到「查看」，取消「隱藏受保護的操作系統文件」前面的勾，然後選中「顯示所有文件和文件夾」。根據上文中提供的路徑刪除所有的病毒文件。刪除其他分區中的病毒，注意不要雙擊進入盤符，而要用右鍵點擊進入。
三、預防「AV終結者」
首先，要禁止自動播放功能，並能及時更新系統補丁，尤其是MS06-014和MS07-017這兩個補丁。
其次，要限制IFEO的讀寫權，達到限制病毒通過IFEO劫持殺毒軟體的目的。操作方法如下：開始——運行，輸入regedit，找到 HEKEY-LOCAL-MACHINE\software\microsoft\windows NT\currentversion\image file execution options，右擊此選項，在彈出的菜單中選擇「許可權」，然後把administrors用戶組和users用戶組的許可權全部取消即可。最後，要限制 SAFEBOOT的讀寫權，達到限制「AV終極者」修改或刪除Drives，保護安全模式正常運行的目的。操作方法如下：同樣是在32位注冊表裡找到 HKEY-LOCAL-MACHINE\SYSTEM\contorlset002\control\safeboot\network\{4d36e967 -e325-11ce-bfc1-08002be10318}和HKEY-LOCAL-MACHINE\SYSTEM\ currentcontrolset\control\safeboot\minimal\，將administors用戶組和users用戶組的許可權全部取消即可。
[編輯本段]傳播途徑
1.「AV終結者」的重要傳播途徑是U盤等移動存儲介質。它通過U盤、移動硬碟的自動播放功能傳播，建議用戶暫時關閉電腦的這一功能。用戶近期一定要注意U盤使用安全，不要在可疑電腦上使用U盤，以免自己的電腦受到傳染。
2. AV終結者最初的來源是通過大量劫持網路會話，利用網站漏洞下載傳播。和前一段時間ARP攻擊的病毒泛濫有關。
[編輯本段]病毒特徵
這種病毒主要特徵有：禁用所有殺毒軟體以及相關安全工具，讓用戶電腦失去安全保障；致使用戶根本無法進入安全模式清除病毒；強行關閉帶有病毒字樣的網頁，只要在網頁中輸入『病毒』相關字樣，網頁遂被強行關閉，即使是一些安全論壇也無法登陸，用戶無法通過網路尋求解決辦法。
[編輯本段]病毒現象
·1. 生成很多8位數字或字母隨機命名的病毒程序文件，並在電腦開機時自動運行。
·2. 綁架安全軟體，中毒後會發現幾乎所有殺毒軟體，系統管理工具，反間諜軟體不能正常啟動。即使手動刪除了病毒程序，下次啟動這些軟體時，還會報錯。
·3. 不能正常顯示隱藏文件，其目的是更好的隱藏自身不被發現。
·4. 禁用windows自動更新和Windows防火牆，這樣木馬下載器工作時，就不會有任何提示窗口彈出來。為該病毒的下一步破壞打開方便之門。
·5. 破壞系統安全模式，使得用戶不能啟動系統到安全模式來維護和修復。
·6. 當前活動窗口中有殺毒、安全、社區相關的關鍵字時，病毒會關閉這些窗口。假如你想通過瀏覽器搜索有關病毒的關鍵字，瀏覽器窗口會自動關閉。
·7. 在本地硬碟、U盤或移動硬碟生成autorun.inf和相應的病毒程序文件，通過自動播放功能進行傳播。這里要注意的是，很多用戶格式化系統分區後重裝，訪問其它磁碟，立即再次中毒，用戶會感覺這病毒格式化也不管用。
·8. 病毒程序的最終目的是下載更多木馬、後門程序。用戶最後受損失的情況取決於這些木馬和後門程序。
·9.病毒運行後，滑鼠右擊菜單以及下拉菜單選項，會在1到兩秒鍾時間後，自動選擇最後一個選項，不過可以使用快捷方式組合。
[編輯本段]防範措施
對於病毒而言，良好的防範措施，好過中毒之後再絞盡腦汁去尋找查殺方法，而且一旦感染該病毒，清除過程相當復雜，因此，在采訪中，金山、江民、瑞星等幾家公司的反病毒專家們向記者提供了針對該病毒防範措施：
1.保管好自己的U盤，MP3、移動硬碟等移動儲存的使用，當外來U盤接入電腦時，請先不要急於雙擊打開，一定要先經過殺毒處理，建議採用具有U盤病毒免疫功能的殺毒軟體，如KV2007 獨有的U盤盾技術，可以免疫所有U盤病毒通過雙擊U盤時運行。
2. 給系統打好補丁程序，尤其是MS06-014和MS07-17這兩個補丁，目前絕大部分的網頁木馬都是通過這兩個漏洞入侵到計算機裡面的。
3. 即時更新殺毒軟體病毒庫，做到定時升級，定時殺毒。
4.安裝軟體要到正規網站下載，避免軟體安裝包被捆綁進木馬病毒。
5.關閉windows的自動播放功能。
[編輯本段]病毒解決方案
方法一：
因為這個病毒會攻擊殺毒軟體，已經中毒的電腦殺毒軟體沒法正常啟動，雙擊沒反應，因而這時無法用殺毒軟體來清除;利用手動解決也相當困難，並且，AV終結者是一批病毒，不能簡單的通過分析報告來人工刪除。推薦的清除步驟如下：
1. 在能正常上網的電腦上到http://zhuansha.ba.net/259.shtml 下載AV終結者病毒專殺工具。
2. 在正常的電腦上禁止自動播放功能，以避免通過插入U盤或移動硬碟而被病毒感染。禁止方法參考方案附件：
把AV終結者專殺工具從正常的電腦復制到U盤或移動硬碟上，然後再復制到中毒的電腦上。
3. 執行AV終結者專殺工具，清除已知的病毒，修復被破壞的系統配置。
（註：AV終結者專殺工具的重要功能是修復被破壞的系統，包括修復映像劫持；修復被破壞的安全模式；修復隱藏文件夾的正常顯示和刪除各磁碟分區的自動播放配置。）
4. 不要立即重啟電腦，然後啟動殺毒軟體，升級病毒庫，進行全盤掃描。以清除木馬下載器下載的其它病毒。
方法二：
去黑聯盟或黑客動畫吧，下載一個AV生成器，運行後（注意別單擊生成），選「卸載本地服務端」。
方法三:
1.在感染"AV終結者"病毒的電腦上,直接下載殺毒軟體:avira antivir personal-free antivirus免費版(英文).
2.立即運行avira antivir personal-free antivirus,將掃描過程中提示的可疑文件移至隔離區(quarantine).單擊"全部修復",將可修復的文件修復.
3.此時,可以鍵入"殺毒"等詞語. 病毒不會終止大部分的殺毒軟體和安全工具的進程.
下載:360安全衛士 V5.2 Beta3
立即運行360安全衛士 V5.2 Beta3,直至電腦體檢為100分.
4.重新進入avira antivir personal-free antivirus——administration——quarantine,將木馬病毒等扔進垃圾桶,將不能確定的可疑文件發送給avira.
5.為了安全起見,再運行一次360安全衛士 V5.2 Beta3,結果為:電腦體檢100分; 或再運行一次avira antivir personal-free antivirus,結果為: 事件報告正常.
（強力推薦）方法四：
1.有下載symantec antivirus的人啟動自動保護，AV終結者不會危害到這個軟體（如果不見了就重啟）。
2.symantec antivirus會自動殺毒，就是AV終結者的根源殺不了，但是你有騰訊qq和360保險箱的話，可以打開騰訊qq，會殺到木馬，點一下紅色的字（要快,不行就重來一遍），再點全盤木馬查殺，再殺木馬就可以了。
3.重啟電腦（會有點卡，耐心一點）就完成了。
[編輯本段]AV終結者變種病毒介紹及安全建議
一、病毒英文名：js.downloader.cf.2210
病毒中文名：腳本下載器CF
日均感染電腦量：1634320
威脅級別：★★
入侵方式：網馬下載 觸發漏洞下載
「腳本下載器CF」(js.downloader.cf.2210)這個新誕生的腳本木馬，只用了短短幾天，就以單日120萬台次的感染量位居感染排行的榜首。
此毒含有多款系統安全漏洞的利用代碼，只要遇到電腦，就可立即自動攻擊。它進行傳播的方法則是網頁掛馬。
二、病毒英文名：win32.troj.agent.pe.114688
病毒中文名：AV終結者變種PE
日均感染電腦量：445430
威脅級別：★★
入侵方式：網馬下載 U盤傳播
win32.troj.agent.pe.114688這個對抗型下載器的感染量上升速度十分驚人，以單日44萬台次的感染量，位居感染量排行榜的第二名。
此毒的中文名之所以取為「AV終結者變種PE」，是由於它的行為非常類似AV終結者，它會嘗試搜索並關閉常見殺軟的運行，然後下載大量的惡意程序，比如盜號木馬和遠程式控制制木馬。
此毒的突然爆發，與網頁掛馬的推廣有很大的關系，打齊系統補丁是防禦此毒的最好辦法。如果你的電腦已經打齊補丁，卻還頻繁報告發現此毒，那麼可以嘗試清除IE緩存。
如果這樣依然無法消除此毒，則說明您的電腦存在未知漏洞，或是有未知的某種下載器在作怪。

警惕AV終結者變種病毒的安全建議

1.安裝專業的正版殺毒軟體進行全面監控，防範日益增多的病毒。用戶在安裝反病毒軟體之後，應將一些主要監控經常打開，並一定要開啟自動升級功能，遇到殺毒軟體異常的問題，要盡快與其生產廠商聯系求助。
2.操作系統和第三方軟體的安全補丁永遠是電腦中最重要的安全環節。不論你安裝的殺毒軟體多麼強大，只要你的系統中存在安全漏洞，病毒就可以找到突破防禦的縫隙。因此，請盡可能使用正版軟體，以獲得及時的升級服務。
3.良好的上網習慣不可忽視。目前大部分病毒是通過網頁掛馬的形式來感染用戶，因此建議用戶一定要養成良好的網路使用習慣，如不要登錄不良網站、不要進行非法下載等，這樣才能切斷病毒感染的途徑，不給病毒以可乘之機。
4.警惕網路詐騙，切記「天上不可能掉餡餅」。殺毒軟體可以為您攔截惡意程序的攻擊，而至於基於社會工程學的詐騙，很多時候仍依賴於您自己的意志是否堅定。絕大多數網路詐騙都是利用受害者的貪便宜心理，比如QQ中大獎、網站抽大獎等。
[編輯本段]手動清除辦法
1.到網上下載IceSword工具，並將該工具改名，如改成abc.exe 名稱，這樣就可以突破病毒進程對該工具的屏蔽。然後雙擊打開IceSword工具，結束一個8位數字的EXE文件的進程，有時可能無該進程。
2.利用IceSword的文件管理功能，展開到C:\Program Files\Common Files\Microsoft Shared\MSINFO\下，刪除2個8位隨機數字的文件，其擴展名分別為：dat 和dll 。再到%windir%\help\目錄下，刪除同名的.hlp或者同名的.chm文件，該文件為系統幫助文件圖標。
3. 然後到各個硬碟根目錄下面刪除Autorun.inf 文件和可疑的8位數字文件，注意，不要直接雙擊打開各個硬碟分區，而應該利用Windows資源管理器左邊的樹狀目錄來瀏覽。有時電腦中毒後可能無法查看隱藏文件，這時可以利用WinRar軟體的文件管理功能來瀏覽文件和進行刪除操作。
4.利用IceSword的注冊表管理功能，展開注冊表項到：
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]，刪除裡面的IFEO劫持項。
當完成以上操作之後，就可以安裝或打開殺毒軟體了，然後升級殺毒軟體到最新的病毒庫，對電腦進行全盤殺毒。（手動清除辦法由江民反病毒專家提供
[編輯本段]病毒分析
1.生成文件
%programfiles%\Common Files\Microsoft Shared\MSInfo\{隨機8位字母+數字名字}.dat
%programfiles%\Common Files\Microsoft Shared\MSInfo\{隨機8位字母+數字名字}.dll
%windir%\{隨機8位字母+數字名字}.hlp
%windir%\Help\{隨機8位字母+數字名字}.chm
也有可能生成如下文件
%sys32dir%\{隨機字母}.exe
替換%sys32dir%\verclsid.exe文件
2.生成以下注冊表項來達到使病毒隨系統啟動而啟動的目的
HKEY_CLASSES_ROOT\CLSID\"隨機CLSID"\InprocServer32 "病毒文件全路徑"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\"隨機CLSID" "病毒文件全路徑"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
ShellExecuteHooks "生成的隨機CLSID" ""
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"隨機字元串" "病毒文件全路徑"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc Start
dword:00000004
3.映像劫持
通過在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
Image File Execution Options下添加註冊表項來進行文件映像劫持，可阻止大量安全軟體及系統管理軟體運行，並執行病毒體。
被劫持的軟體包括：
360rpt.exe;
360Safe.exe;
360tray.exe;
adam.exe;
AgentSvr.exe;
AppSvc32.exe;
autoruns.exe;
avgrssvc.exe;
AvMonitor.exe;
avp.com;
avp.exe;
CCenter.exe;
ccSvcHst.exe;
FileDsty.exe;
FTCleanerShell.exe;
HijackThis.exe;
IceSword.exe;
iparmo.exe;
Iparmor.exe;
isPwdSvc.exe;
kabaload.exe;
KaScrScn.SCR;
KASMain.exe;
KASTask.exe;
KAV32.exe;
KAVDX.exe;
KAVPFW.exe;
KAVSetup.exe;
KAVStart.exe;
KISLnchr.exe;
KMailMon.exe;
KMFilter.exe;
KPFW32.exe;
KPFW32X.exe;
KPFWSvc.exe;
KRegEx.exe;
KRepair.COM;
KsLoader.exe;
KVCenter.kxp;
KvDetect.exe;
KvfwMcl.exe;
KVMonXP.kxp;
KVMonXP_1.kxp;
kvol.exe;
kvolself.exe;
KvReport.kxp;
KVScan.kxp;
KVSrvXP.exe;
…………
4.修改以下注冊表，導致無法顯示隱藏文件
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\
Advanced Hidden dword:00000002
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Advanced\Folder\Hidden\SHOWALL CheckedValue dword:00000000
5、修改以下服務的啟動類型來禁止Windows的自更新和系統自帶的防火牆
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
SharedAccess Start dword:00000004
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
wuauserv Start dword:00000004
6.刪除以下注冊表項，使用戶無法進入安全模式
HKEY_LOCAL_MACHINESYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\
7.連接網路下載病毒
hxxp://www.webxxx.com/xxx.exe
8.關閉殺毒軟體實時監控窗口，如瑞星、卡巴，通過自動點擊"跳過"按鈕來逃過查殺
9.嘗試關閉包含以下關鍵字窗口
Anti
AgentSvr
CCenter
Rsaupd
SmartUp
FileDsty
RegClean
360tray
…………
ikaka
ba
kingsoft
木馬
社區
aswBoot
…………
10.注入Explorer.exe和TIMPlatform.exe反彈連接，以逃過防火牆的內牆的審核。
11.隱藏病毒進程，但是可以通過結束桌面進程顯示出來。
12.在硬碟分區生成文件：autorun.inf 和 隨機字母+數字組成的病毒復制體，並修改「NoDriveTypeAutoRun」使病毒可以隨可移動存儲介質傳播。
[編輯本段]專殺工具
金山AV終結者專殺工具
http://down.www.kingsoft.com/db/download/othertools/DubaTool_AV_Killer2.COM
[編輯本段]遠程大戰「超級AV終結者」
記得12月6日，筆者寫了一篇預防「超級AV終結者」的博文，但有少部分朋友沒有引起重視，沒有採取有效預防措施。
這不，昨天上午有朋友請求支援，說自己的系統無法正常運行，殺毒軟體無法正常打開監控，搜索有關殺毒軟體的關鍵詞時網頁自動關閉，進入安全模式無效，任務管理器無法正常工作，顯示磁碟隱藏文件的選項失效.....
幫助朋友是一種樂趣，查殺病毒也是一種樂趣！
但昨天上午，無法自己動手把病毒一個一個揪出來再一個一個幹掉，因為朋友遠在河北。沒有辦法，只好遠程協助藉助軟體來幹掉「超級AV終結者」，尋找遠程殺毒的樂趣!
1、下載金山系統急救箱（超級av終結者專殺增強版）。此軟體已更名為IE7 0day漏洞的免疫特別版，能夠完美處理「超級av終結者」、掃盪波等病毒，清除未知木馬群，據有掃盪波攻擊免疫功能，能夠幫您修復因為病毒破壞而出現的系統異常。
2、把此軟體下載到非系統盤之外的任一硬碟下，右鍵打開（建議不要雙擊打開），軟體自動解壓後得到一個「金山系統急救箱」。
3、右鍵打開金山系統急救箱，軟體即自動檢測、修復系統，修復完畢後按照提示重啟系統。如圖：
4、重啟系統以後，再次使用急救箱掃描，確認系統內所有病毒清除干凈。
5、下載安裝Bitdefender Internet Security 2008 簡體中文版。軟體簡介、下載、安裝及免費試用方法請參考《世界排名第一的Bitdefender(2008版)全系列下載及試用方法》。安裝後重啟，升級病毒庫存，全盤查殺病毒。
特別說明：為什麼要推薦這款殺毒軟體？因為超級AV終結者主要針攻擊卡巴斯基、瑞星、江民、金山等常用殺毒軟體。另外，殺毒軟體全球排名金獎得主Bitdefender的殺毒性能也是一流的，可以幫助你完全清除系統殘存的各類病毒！
6、查殺完病毒後，下載一個超級兔子魔法設置。下載安裝後，清理下系統注冊表項。有另據一遭遇相似的朋友講，用軟體清除 「超級AV終結者」後，無法上網頁了。這是因為，「超級AV終結者」 修改了瀏覽器的注冊表項，因此也可以用超級兔子的IE修復功能進行修復。
下載地址：http://xiazai.zol.com.cn/detail/13/120398.shtml
至此，我們已經完全把「超級AV終結者」幹掉，並消滅了它的余黨。現在，我們可以卸載Bitdefender 軟體，再安裝其它軟體。不過，筆者建議測試檢驗下這一款軟體，畢竟金獎產品不是徒有虛名
善意提醒：聖誕節、元旦節將至，正是病毒高發時節，提醒各位好友一定要注意系統的安全防範，如果在沒有防備的時候中了病毒，那可是會影響心情的喲！預防要點如下：
1、安裝正版或者原版系統，不要用各大論壇發布的「XX版」，並且開啟自動更新打上微軟官方的所有補丁。
2、選擇幾款安全防範軟體，組成「安全金盾」。推薦方案：①卡巴斯基KIS8。0+AVG2008個人免費版+超級兔子魔法設置； ②金山毒霸2009殺毒軟體套裝+AVG7。5綠色版+360；③卡巴斯基KIS8。0+AVG7。5綠色版+超級兔子魔法設置。
3、養成良好的電腦使用習慣，關閉移動盤自動運行，定期查殺病毒，定期進行系統備份。

④ windows script host 的問題

該木馬運行後會劫持lnk關聯，在打開任何快捷方式前先打開其推廣的惡意網站，如果該關聯對應的病毒腳本文件未創建成功或被殺毒軟體刪除，則會出現該提示。

解決方法很簡單。

先准備一個軟體——金山網盾，網路一下，第一個就是。

下載回來可能打不開，別急，先把軟體的擴展名的exe改成com再運行（如果不顯示擴展名更改方法：打開我的電腦，選擇工具——文件夾選項，裡面的隱藏已知文件擴展名的勾去掉，即可顯示擴展名）。

而且打開金山網盾,點擊免費殺毒,就會得到免費一年的金山毒霸2011雲安全殺毒軟體，我正在使用這個，資源佔用少，而且查殺效果也很好的。

注意，360會攔截金山網盾安裝，如果你有360，請先打開360木馬防火牆，點擊進程防火牆的已開啟按鈕暫時關閉

（如發現網盾不能掃描，請在任務欄右鍵退出360的托盤）