c1脚本病毒

① 常见的网络攻击类型有哪些

企业最容易遭受的5种网络攻击类型：
1、恶意社交工程-软件
经过社交工程设计的恶意软件形成了第一大攻击方法。最终用户常常被诱骗去运行特洛伊木马程序，通常是在他们经常访问和信任的伪装网站上。
恶意网站让用户安装一些新软件，以便访问该网站，比如更新flash等常规操作，运行伪造的防病毒软件或运行其他不必要且恶意的木马软件。通常会指示用户单机浏览或操作系统发出的任何安全警告，并禁用可能的防御措施。
有时，木马程序伪装成合法的程序，而有时它会消失在后台运行，开始执行其恶意行为。恶意社交工程软件程序每年导致成千上万的黑客入侵。相对于这些数字，所有其他黑客攻击类型都是冰山一角。
2、网络钓鱼攻击
大约60%到70%的电子邮件都是垃圾邮件，其中大部分是网络钓鱼攻击邮件，旨在诱骗用户脱离其正常登录网站。幸运的是，反垃圾邮件供应商和服务取得了长足的进步，因此我们大多数人的收件箱都比较整洁。但是，很多人每天都会收到几封垃圾邮件，而每周至少有几十封垃圾邮件都是合法电子邮件的仿品。
网络钓鱼电子邮件是一种被破坏的艺术品。它甚至会虚伪的警告读者不要沉迷于欺诈性电子邮件。而它唯一的目的是流氓链接，下一步就是要用户提供机密信息。
3、未及时更新打补丁的软件
紧随恶意社会工程软件和网络钓鱼的是漏洞的软件。最常见的是未打补丁和最容易被黑客利用的程序是浏览器加载项程序，比如：Adobe
Reader，以及人们经常用来使网站冲浪更容易的其他程序。多年来很多黑客一直采用这种方式，但奇怪的是，我看过的无数家公司都没有及时的打上补丁，也没有应对的安全软件。
4、社交媒体威胁
我们的世界是一个社交世界，由Facebook、微信、微博或在其国家/地区受欢迎的同行领袖。黑客喜欢利用公司社交媒体账户，这是通过来收集可能在社交媒体网站和公司网络之间共享的密码因素。当今许多最严重的黑客攻击都是从简单的社交媒体攻击开始的。不要小看其潜力，很多个人、企业以及明星，或者国家机构的账号都曾被黑客恶意使用过。
5、高级持续威胁
高级持续威胁(APT)是由犯罪分子或民族国家实施的网络攻击，目的是在很长一段时间内窃取数据或监视系统。攻击者具有特定的目标和目的，并花费了时间和资源来确定他们可以利用哪些漏洞来获取访问权限，并设计可能很长时间未发现的攻击。该攻击通常包括使用自定义恶意软件。
APT的动机可能是经济利益或政治间谍。APT最初主要与想要窃取政府或工业机密的民族国家行为者联系在一起。网络犯罪分子现在使用APT窃取他们可以出售或以其他方式货币化的数据或知识产权。
APT黑客和恶意软件比以往任何时候都更为普遍和复杂。对于一些为政府或相关行业服务的专业黑客，他们的全职工作是黑客攻击特定的公司和目标。他们执行与自己的赞助者的利益相关的动作，包括访问机密信息，植入破坏性代码或放置隐藏的后门程序，使他们可以随意潜入目标网络或计算机。

② 网页被注入恶意代码，在网页源码最后多出以下三行代码： <script type="text/javascript">document.write

就是被添加了脚本
脚本意图是输出一个文档流
这个文档流也是一个脚本
恶意脚本指向打开某个115.238.147.102的网页,采用自动登录id的方式

那我估计,这个恶意代码,是借用你的网页被各个网友打开
等于每个网友帮他登录那个网站 估计是刷分用的
但不确定会不会自动下载什么

杀软当然无法分析者是不是病毒还是你的本意

解决方法不在页面代码

而是在于服务器安全策略
比如说 asp调用执行iis账户权限
采用sql数据库登录的账户 可能是sa 账户的保密问题
也可能是系统账户问题
还有就是系统漏洞
很多方面啦,这个你另外网络 "网站服务器安全"

③ AV终结者是谁研发的，那个人被抓住没有

“AV终结者”即”帕虫”是一系列反击杀毒软件，破坏系统安全模式、植入木马下载器的病毒，它指的是一批具备如下破坏性的病毒、木马和蠕虫。“AV终结者”名称中的“AV”即为英文“反病毒”(Anti-Virus)的缩写。它能破坏大量的杀毒软件和个人防火墙的正常监控和保护功能,导致用户电脑的安全性能下降,容易受到病毒的侵袭。同时它会下载并运行其他盗号病毒和恶意程序,严重威胁到用户的网络个人财产。此外,它还会造成电脑无法进入安全模式,并可通过可移动磁盘传播。目前该病毒已经衍生多个新变种,有可能在互联网上大范围传播。“AV终结者”设计中最恶毒的一点是，用户即使重装操作系统也无法解决问题：格式化系统盘重装后很容易被再次感染。用户格式化后，只要双击其他盘符，病毒将再次运行。“AV终结者”会使用户电脑的安全防御体系被彻底摧毁，安全性几乎为零。它还自动连接到某网站，下载数百种木马病毒及各类盗号木马、广告木马、风险程序，在用户电脑毫无抵抗力的情况下，鱼贯而来，用户的网银、网游、QQ账号密码以及机密文件都处于极度危险之中。
AV终结者最彻底解决方案
病毒名称：AV终结者
传播方式：内存，2个windows漏洞 （变种 未知）
破坏方式：进程插入
生成病毒文件名：随机8位字符
自我保护：应用程序劫持技术 破坏隐藏文件显示 强行关闭知名杀毒/马软件 无法进入安全模式
病毒目的：从网络上下载大量木马
危害等级：★★★★★
近日网络上出现了一种破坏力及强的病毒“AV终结者”，不到一个月时间，变种就已达到数百个之多，波及人群超过十几万人，这个病毒非常变态，一旦感染就很难清除。
“AV终结者”是由随机8位数字和字母组合而成的病毒,是闪存寄生病毒，它是通过闪存等存储介质或者注入服务器来实现的。
一、什么是“AV终结者”
“AV终结者”病毒运行后会在系统中生成如下几个文件：C:\program files\common files\microsoft shared\msinfo\随机生成病毒名.dat、C:\program files\common files\microsoft shared\msinfo\随机生成病毒名.dll、C:\windows\随机生成病毒名.chm
“AV终结者”会在其他磁盘上中生成文件：#:\\随机生成病毒名.dat
“AV终结者”的病毒名是由大写字母+数字随机组合而成，其长度为8位，可以说生成同名病毒的概率是很低的。因此即使我们知道了这是病毒生成的文件，也别指望通过病毒名在网络上找到病毒的清楚方法。
“AV终结者”病毒运行后会在本地磁盘和移动磁盘中复制病毒文件和anuorun.inf文件，当用户双击盘符时就会激活病毒，即使是重装系统也是无法将病毒彻底清楚的。这是目前很多病毒热衷的传播方法，不少用户也懂得删除病毒生成的anuorun.inf文件，但是当我们进入“文件夹选项里”，想显示隐藏文件时，可以发现这里已经被病毒给禁用了。
针对杀毒软件的攻击，是“AV终结者”的特点。病毒会终止大部分的杀毒软件和安全工具的进程。国内绝大多数的杀毒软件和安全工具都被列入了黑名单。当杀毒软件暂时失去作用时，病毒就会乘胜追击，通过一种“映象劫持”技术将杀毒软件彻底打入死牢。
“映象劫持”会在注册表的“HKEY-LOCAL-MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Exeution Options”位置新建一个以杀毒软件和安全工具程序名称命名的项。建立完毕后，病毒还会在里面建立一个Debugger键，键值为“c:\ progra~1\common~1\micros~1\msinfo\05cc73b2.dat”。这样当我们双机运行杀毒软件的主程序时，运行的其实是病毒程序。
为了避免在“任务管理器”中露出破绽，病毒会将自己的进程注入到系统的资源管理器进程explorer.exe中，这样我就无法通过“任务管理器”发现病毒的进程了。病毒进程的主要作用是监视系统中的用户操作，例如你想手动清楚病毒，修改注册表，病毒没隔一段时间就会把注册表改回去，让你白费劲。另一个作用是监视IE窗口，发现用户搜索病毒资料时，立即关闭网页。
此外，病毒还会破坏windows防火墙和安全模式，封堵用户的后路。最重要的是，病毒会从网络上下载大量盗号木马，盗取用户的游戏帐户信息，这也是它的真正目的。
二、彻底清除“AV终结者”
1、运行“任务管理器”，结束“explorer.exe”进程，单击“任务管理器的”文件菜单，选择“新建任务”，输入“regedit”，找到HEKEY-LOCAL-MACHINE\software\microsoft\windows\currentversion\explorer\advanced \folder\hidden\showall,将Checkedvalue的的键值改为“1”。
2、在“regedit”中找到HEKEY-LOCAL-MACHINE\software\microsoft\windows NT\currentversion\image file execution options，将以杀毒软件和安全工具命名的项删除。
3、在“资源管理器”中单击“工具”——“文件夹选项”，切换到“查看”，取消“隐藏受保护的操作系统文件”前面的勾，然后选中“显示所有文件和文件夹”。根据上文中提供的路径删除所有的病毒文件。删除其他分区中的病毒，注意不要双击进入盘符，而要用右键点击进入。
三、预防“AV终结者”
首先，要禁止自动播放功能，并能及时更新系统补丁，尤其是MS06-014和MS07-017这两个补丁。
其次，要限制IFEO的读写权，达到限制病毒通过IFEO劫持杀毒软件的目的。操作方法如下：开始——运行，输入regedit，找到 HEKEY-LOCAL-MACHINE\software\microsoft\windows NT\currentversion\image file execution options，右击此选项，在弹出的菜单中选择“权限”，然后把administrors用户组和users用户组的权限全部取消即可。最后，要限制 SAFEBOOT的读写权，达到限制“AV终极者”修改或删除Drives，保护安全模式正常运行的目的。操作方法如下：同样是在32位注册表里找到 HKEY-LOCAL-MACHINE\SYSTEM\contorlset002\control\safeboot\network\{4d36e967 -e325-11ce-bfc1-08002be10318}和HKEY-LOCAL-MACHINE\SYSTEM\ currentcontrolset\control\safeboot\minimal\，将administors用户组和users用户组的权限全部取消即可。
[编辑本段]传播途径
1.“AV终结者”的重要传播途径是U盘等移动存储介质。它通过U盘、移动硬盘的自动播放功能传播，建议用户暂时关闭电脑的这一功能。用户近期一定要注意U盘使用安全，不要在可疑电脑上使用U盘，以免自己的电脑受到传染。
2. AV终结者最初的来源是通过大量劫持网络会话，利用网站漏洞下载传播。和前一段时间ARP攻击的病毒泛滥有关。
[编辑本段]病毒特征
这种病毒主要特征有：禁用所有杀毒软件以及相关安全工具，让用户电脑失去安全保障；致使用户根本无法进入安全模式清除病毒；强行关闭带有病毒字样的网页，只要在网页中输入‘病毒’相关字样，网页遂被强行关闭，即使是一些安全论坛也无法登陆，用户无法通过网络寻求解决办法。
[编辑本段]病毒现象
·1. 生成很多8位数字或字母随机命名的病毒程序文件，并在电脑开机时自动运行。
·2. 绑架安全软件，中毒后会发现几乎所有杀毒软件，系统管理工具，反间谍软件不能正常启动。即使手动删除了病毒程序，下次启动这些软件时，还会报错。
·3. 不能正常显示隐藏文件，其目的是更好的隐藏自身不被发现。
·4. 禁用windows自动更新和Windows防火墙，这样木马下载器工作时，就不会有任何提示窗口弹出来。为该病毒的下一步破坏打开方便之门。
·5. 破坏系统安全模式，使得用户不能启动系统到安全模式来维护和修复。
·6. 当前活动窗口中有杀毒、安全、社区相关的关键字时，病毒会关闭这些窗口。假如你想通过浏览器搜索有关病毒的关键字，浏览器窗口会自动关闭。
·7. 在本地硬盘、U盘或移动硬盘生成autorun.inf和相应的病毒程序文件，通过自动播放功能进行传播。这里要注意的是，很多用户格式化系统分区后重装，访问其它磁盘，立即再次中毒，用户会感觉这病毒格式化也不管用。
·8. 病毒程序的最终目的是下载更多木马、后门程序。用户最后受损失的情况取决于这些木马和后门程序。
·9.病毒运行后，鼠标右击菜单以及下拉菜单选项，会在1到两秒钟时间后，自动选择最后一个选项，不过可以使用快捷方式组合。
[编辑本段]防范措施
对于病毒而言，良好的防范措施，好过中毒之后再绞尽脑汁去寻找查杀方法，而且一旦感染该病毒，清除过程相当复杂，因此，在采访中，金山、江民、瑞星等几家公司的反病毒专家们向记者提供了针对该病毒防范措施：
1.保管好自己的U盘，MP3、移动硬盘等移动储存的使用，当外来U盘接入电脑时，请先不要急于双击打开，一定要先经过杀毒处理，建议采用具有U盘病毒免疫功能的杀毒软件，如KV2007 独有的U盘盾技术，可以免疫所有U盘病毒通过双击U盘时运行。
2. 给系统打好补丁程序，尤其是MS06-014和MS07-17这两个补丁，目前绝大部分的网页木马都是通过这两个漏洞入侵到计算机里面的。
3. 即时更新杀毒软件病毒库，做到定时升级，定时杀毒。
4.安装软件要到正规网站下载，避免软件安装包被捆绑进木马病毒。
5.关闭windows的自动播放功能。
[编辑本段]病毒解决方案
方法一：
因为这个病毒会攻击杀毒软件，已经中毒的电脑杀毒软件没法正常启动，双击没反应，因而这时无法用杀毒软件来清除;利用手动解决也相当困难，并且，AV终结者是一批病毒，不能简单的通过分析报告来人工删除。推荐的清除步骤如下：
1. 在能正常上网的电脑上到http://zhuansha.ba.net/259.shtml 下载AV终结者病毒专杀工具。
2. 在正常的电脑上禁止自动播放功能，以避免通过插入U盘或移动硬盘而被病毒感染。禁止方法参考方案附件：
把AV终结者专杀工具从正常的电脑复制到U盘或移动硬盘上，然后再复制到中毒的电脑上。
3. 执行AV终结者专杀工具，清除已知的病毒，修复被破坏的系统配置。
（注：AV终结者专杀工具的重要功能是修复被破坏的系统，包括修复映像劫持；修复被破坏的安全模式；修复隐藏文件夹的正常显示和删除各磁盘分区的自动播放配置。）
4. 不要立即重启电脑，然后启动杀毒软件，升级病毒库，进行全盘扫描。以清除木马下载器下载的其它病毒。
方法二：
去黑联盟或黑客动画吧，下载一个AV生成器，运行后（注意别单击生成），选“卸载本地服务端”。
方法三:
1.在感染"AV终结者"病毒的电脑上,直接下载杀毒软件:avira antivir personal-free antivirus免费版(英文).
2.立即运行avira antivir personal-free antivirus,将扫描过程中提示的可疑文件移至隔离区(quarantine).单击"全部修复",将可修复的文件修复.
3.此时,可以键入"杀毒"等词语. 病毒不会终止大部分的杀毒软件和安全工具的进程.
下载:360安全卫士 V5.2 Beta3
立即运行360安全卫士 V5.2 Beta3,直至电脑体检为100分.
4.重新进入avira antivir personal-free antivirus——administration——quarantine,将木马病毒等扔进垃圾桶,将不能确定的可疑文件发送给avira.
5.为了安全起见,再运行一次360安全卫士 V5.2 Beta3,结果为:电脑体检100分; 或再运行一次avira antivir personal-free antivirus,结果为: 事件报告正常.
（强力推荐）方法四：
1.有下载symantec antivirus的人启动自动保护，AV终结者不会危害到这个软件（如果不见了就重启）。
2.symantec antivirus会自动杀毒，就是AV终结者的根源杀不了，但是你有腾讯qq和360保险箱的话，可以打开腾讯qq，会杀到木马，点一下红色的字（要快,不行就重来一遍），再点全盘木马查杀，再杀木马就可以了。
3.重启电脑（会有点卡，耐心一点）就完成了。
[编辑本段]AV终结者变种病毒介绍及安全建议
一、病毒英文名：js.downloader.cf.2210
病毒中文名：脚本下载器CF
日均感染电脑量：1634320
威胁级别：★★
入侵方式：网马下载 触发漏洞下载
“脚本下载器CF”(js.downloader.cf.2210)这个新诞生的脚本木马，只用了短短几天，就以单日120万台次的感染量位居感染排行的榜首。
此毒含有多款系统安全漏洞的利用代码，只要遇到电脑，就可立即自动攻击。它进行传播的方法则是网页挂马。
二、病毒英文名：win32.troj.agent.pe.114688
病毒中文名：AV终结者变种PE
日均感染电脑量：445430
威胁级别：★★
入侵方式：网马下载 U盘传播
win32.troj.agent.pe.114688这个对抗型下载器的感染量上升速度十分惊人，以单日44万台次的感染量，位居感染量排行榜的第二名。
此毒的中文名之所以取为“AV终结者变种PE”，是由于它的行为非常类似AV终结者，它会尝试搜索并关闭常见杀软的运行，然后下载大量的恶意程序，比如盗号木马和远程控制木马。
此毒的突然爆发，与网页挂马的推广有很大的关系，打齐系统补丁是防御此毒的最好办法。如果你的电脑已经打齐补丁，却还频繁报告发现此毒，那么可以尝试清除IE缓存。
如果这样依然无法消除此毒，则说明您的电脑存在未知漏洞，或是有未知的某种下载器在作怪。

警惕AV终结者变种病毒的安全建议

1.安装专业的正版杀毒软件进行全面监控，防范日益增多的病毒。用户在安装反病毒软件之后，应将一些主要监控经常打开，并一定要开启自动升级功能，遇到杀毒软件异常的问题，要尽快与其生产厂商联系求助。
2.操作系统和第三方软件的安全补丁永远是电脑中最重要的安全环节。不论你安装的杀毒软件多么强大，只要你的系统中存在安全漏洞，病毒就可以找到突破防御的缝隙。因此，请尽可能使用正版软件，以获得及时的升级服务。
3.良好的上网习惯不可忽视。目前大部分病毒是通过网页挂马的形式来感染用户，因此建议用户一定要养成良好的网络使用习惯，如不要登录不良网站、不要进行非法下载等，这样才能切断病毒感染的途径，不给病毒以可乘之机。
4.警惕网络诈骗，切记“天上不可能掉馅饼”。杀毒软件可以为您拦截恶意程序的攻击，而至于基于社会工程学的诈骗，很多时候仍依赖于您自己的意志是否坚定。绝大多数网络诈骗都是利用受害者的贪便宜心理，比如QQ中大奖、网站抽大奖等。
[编辑本段]手动清除办法
1.到网上下载IceSword工具，并将该工具改名，如改成abc.exe 名称，这样就可以突破病毒进程对该工具的屏蔽。然后双击打开IceSword工具，结束一个8位数字的EXE文件的进程，有时可能无该进程。
2.利用IceSword的文件管理功能，展开到C:\Program Files\Common Files\Microsoft Shared\MSINFO\下，删除2个8位随机数字的文件，其扩展名分别为：dat 和dll 。再到%windir%\help\目录下，删除同名的.hlp或者同名的.chm文件，该文件为系统帮助文件图标。
3. 然后到各个硬盘根目录下面删除Autorun.inf 文件和可疑的8位数字文件，注意，不要直接双击打开各个硬盘分区，而应该利用Windows资源管理器左边的树状目录来浏览。有时电脑中毒后可能无法查看隐藏文件，这时可以利用WinRar软件的文件管理功能来浏览文件和进行删除操作。
4.利用IceSword的注册表管理功能，展开注册表项到：
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]，删除里面的IFEO劫持项。
当完成以上操作之后，就可以安装或打开杀毒软件了，然后升级杀毒软件到最新的病毒库，对电脑进行全盘杀毒。（手动清除办法由江民反病毒专家提供
[编辑本段]病毒分析
1.生成文件
%programfiles%\Common Files\Microsoft Shared\MSInfo\{随机8位字母+数字名字}.dat
%programfiles%\Common Files\Microsoft Shared\MSInfo\{随机8位字母+数字名字}.dll
%windir%\{随机8位字母+数字名字}.hlp
%windir%\Help\{随机8位字母+数字名字}.chm
也有可能生成如下文件
%sys32dir%\{随机字母}.exe
替换%sys32dir%\verclsid.exe文件
2.生成以下注册表项来达到使病毒随系统启动而启动的目的
HKEY_CLASSES_ROOT\CLSID\"随机CLSID"\InprocServer32 "病毒文件全路径"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\"随机CLSID" "病毒文件全路径"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
ShellExecuteHooks "生成的随机CLSID" ""
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"随机字符串" "病毒文件全路径"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc Start
dword:00000004
3.映像劫持
通过在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
Image File Execution Options下添加注册表项来进行文件映像劫持，可阻止大量安全软件及系统管理软件运行，并执行病毒体。
被劫持的软件包括：
360rpt.exe;
360Safe.exe;
360tray.exe;
adam.exe;
AgentSvr.exe;
AppSvc32.exe;
autoruns.exe;
avgrssvc.exe;
AvMonitor.exe;
avp.com;
avp.exe;
CCenter.exe;
ccSvcHst.exe;
FileDsty.exe;
FTCleanerShell.exe;
HijackThis.exe;
IceSword.exe;
iparmo.exe;
Iparmor.exe;
isPwdSvc.exe;
kabaload.exe;
KaScrScn.SCR;
KASMain.exe;
KASTask.exe;
KAV32.exe;
KAVDX.exe;
KAVPFW.exe;
KAVSetup.exe;
KAVStart.exe;
KISLnchr.exe;
KMailMon.exe;
KMFilter.exe;
KPFW32.exe;
KPFW32X.exe;
KPFWSvc.exe;
KRegEx.exe;
KRepair.COM;
KsLoader.exe;
KVCenter.kxp;
KvDetect.exe;
KvfwMcl.exe;
KVMonXP.kxp;
KVMonXP_1.kxp;
kvol.exe;
kvolself.exe;
KvReport.kxp;
KVScan.kxp;
KVSrvXP.exe;
…………
4.修改以下注册表，导致无法显示隐藏文件
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\
Advanced Hidden dword:00000002
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Advanced\Folder\Hidden\SHOWALL CheckedValue dword:00000000
5、修改以下服务的启动类型来禁止Windows的自更新和系统自带的防火墙
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
SharedAccess Start dword:00000004
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
wuauserv Start dword:00000004
6.删除以下注册表项，使用户无法进入安全模式
HKEY_LOCAL_MACHINESYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\
7.连接网络下载病毒
hxxp://www.webxxx.com/xxx.exe
8.关闭杀毒软件实时监控窗口，如瑞星、卡巴，通过自动点击"跳过"按钮来逃过查杀
9.尝试关闭包含以下关键字窗口
Anti
AgentSvr
CCenter
Rsaupd
SmartUp
FileDsty
RegClean
360tray
…………
ikaka
ba
kingsoft
木马
社区
aswBoot
…………
10.注入Explorer.exe和TIMPlatform.exe反弹连接，以逃过防火墙的内墙的审核。
11.隐藏病毒进程，但是可以通过结束桌面进程显示出来。
12.在硬盘分区生成文件：autorun.inf 和 随机字母+数字组成的病毒复制体，并修改“NoDriveTypeAutoRun”使病毒可以随可移动存储介质传播。
[编辑本段]专杀工具
金山AV终结者专杀工具
http://down.www.kingsoft.com/db/download/othertools/DubaTool_AV_Killer2.COM
[编辑本段]远程大战“超级AV终结者”
记得12月6日，笔者写了一篇预防“超级AV终结者”的博文，但有少部分朋友没有引起重视，没有采取有效预防措施。
这不，昨天上午有朋友请求支援，说自己的系统无法正常运行，杀毒软件无法正常打开监控，搜索有关杀毒软件的关键词时网页自动关闭，进入安全模式无效，任务管理器无法正常工作，显示磁盘隐藏文件的选项失效.....
帮助朋友是一种乐趣，查杀病毒也是一种乐趣！
但昨天上午，无法自己动手把病毒一个一个揪出来再一个一个干掉，因为朋友远在河北。没有办法，只好远程协助借助软件来干掉“超级AV终结者”，寻找远程杀毒的乐趣!
1、下载金山系统急救箱（超级av终结者专杀增强版）。此软件已更名为IE7 0day漏洞的免疫特别版，能够完美处理“超级av终结者”、扫荡波等病毒，清除未知木马群，据有扫荡波攻击免疫功能，能够帮您修复因为病毒破坏而出现的系统异常。
2、把此软件下载到非系统盘之外的任一硬盘下，右键打开（建议不要双击打开），软件自动解压后得到一个“金山系统急救箱”。
3、右键打开金山系统急救箱，软件即自动检测、修复系统，修复完毕后按照提示重启系统。如图：
4、重启系统以后，再次使用急救箱扫描，确认系统内所有病毒清除干净。
5、下载安装Bitdefender Internet Security 2008 简体中文版。软件简介、下载、安装及免费试用方法请参考《世界排名第一的Bitdefender(2008版)全系列下载及试用方法》。安装后重启，升级病毒库存，全盘查杀病毒。
特别说明：为什么要推荐这款杀毒软件？因为超级AV终结者主要针攻击卡巴斯基、瑞星、江民、金山等常用杀毒软件。另外，杀毒软件全球排名金奖得主Bitdefender的杀毒性能也是一流的，可以帮助你完全清除系统残存的各类病毒！
6、查杀完病毒后，下载一个超级兔子魔法设置。下载安装后，清理下系统注册表项。有另据一遭遇相似的朋友讲，用软件清除 “超级AV终结者”后，无法上网页了。这是因为，“超级AV终结者” 修改了浏览器的注册表项，因此也可以用超级兔子的IE修复功能进行修复。
下载地址：http://xiazai.zol.com.cn/detail/13/120398.shtml
至此，我们已经完全把“超级AV终结者”干掉，并消灭了它的余党。现在，我们可以卸载Bitdefender 软件，再安装其它软件。不过，笔者建议测试检验下这一款软件，毕竟金奖产品不是徒有虚名
善意提醒：圣诞节、元旦节将至，正是病毒高发时节，提醒各位好友一定要注意系统的安全防范，如果在没有防备的时候中了病毒，那可是会影响心情的哟！预防要点如下：
1、安装正版或者原版系统，不要用各大论坛发布的“XX版”，并且开启自动更新打上微软官方的所有补丁。
2、选择几款安全防范软件，组成“安全金盾”。推荐方案：①卡巴斯基KIS8。0+AVG2008个人免费版+超级兔子魔法设置； ②金山毒霸2009杀毒软件套装+AVG7。5绿色版+360；③卡巴斯基KIS8。0+AVG7。5绿色版+超级兔子魔法设置。
3、养成良好的电脑使用习惯，关闭移动盘自动运行，定期查杀病毒，定期进行系统备份。

④ windows script host 的问题

该木马运行后会劫持lnk关联，在打开任何快捷方式前先打开其推广的恶意网站，如果该关联对应的病毒脚本文件未创建成功或被杀毒软件删除，则会出现该提示。

解决方法很简单。

先准备一个软件——金山网盾，网络一下，第一个就是。

下载回来可能打不开，别急，先把软件的扩展名的exe改成com再运行（如果不显示扩展名更改方法：打开我的电脑，选择工具——文件夹选项，里面的隐藏已知文件扩展名的勾去掉，即可显示扩展名）。

而且打开金山网盾,点击免费杀毒,就会得到免费一年的金山毒霸2011云安全杀毒软件，我正在使用这个，资源占用少，而且查杀效果也很好的。

注意，360会拦截金山网盾安装，如果你有360，请先打开360木马防火墙，点击进程防火墙的已开启按钮暂时关闭

（如发现网盾不能扫描，请在任务栏右键退出360的托盘）