论坛: 网吧专题 标题: AV终结者病毒预防 复制本贴地址    
作者: 流云 [laoguo007]    论坛用户   登录
前几天给朋友弄网吧
碰到的.和大家共享!!
其实目前的AV终结者很容易防护的,简单的方法:用一个REG或INF重建IFEO,修复安全模式,清理启动项,清理AUTORUN.INF,重启电脑就可以了!



  不过管理员应该提醒大家,记得中了AV终结者时最好拔掉网线,杀完毒后要记得清理流氓软件和查杀木马。   
  
  来说说怎么预防AV终结者吧,首先打系统补丁,特别注意:MS06-014和MS07-017这两个补丁。

  步骤1:限制IFEO的读写权,达到限制病毒通过IFEO劫持杀毒软件的目的。

  开始-运行-regedt32 (这个是系统的32位注册表,和注册表操作方法差不多)然后还是展开到:

  HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File
  Execution Options
  
  右键——选择权限,然后把Administrors用户组和Users用户组的权限全部取消。

  步骤2:限制SAFEBOOT的读写权,达到限制AV终结者修改或删除Drives,保护安全模式正常运行的目的。

  用限制IFEO的方法限制下面值的权限:

  HKEY_LOCAL_MACHINESYSTEMControlSet001
  ControlSafeBootNetwork{4D36E967-E325-11CE-BFC1-08002BE10318}

  和

  HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimal{4D36
  E967-E325-11CE-BFC1-08002BE10318}
  
  如果不经常装程序的朋友,其实启动项的权限都可以限制掉,没有必要留给病毒!

  步骤3:关闭WIndows U盘自动运行功能,打开记事本编辑如下:

  Windows Registry Editor Version 5.00

  [HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer]
  "NoDriveTypeAutoRun"=dword:000000B5
  [HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer]
  "NoDriveTypeAutoRun"=dword:000000B5
  
  将上另存为文件名:禁止U盘自动运行.reg 保存类型选“所有文件”,然后双击此文件将其导入注册表。

  步骤4:对U盘进行防毒处理,大家可以创建一个Autorun.inf文件夹来限制AV终结者在U盘上创建Autorun.inf文件。呵呵!不过现在的AV终结者好像能对付这个Autorun.inf文件夹。

  步骤5:改变操作习惯,提高安全意识。

本文转载自『异次元の世界』www.X-Force.cn
下面是我补的
中了AV后的现象(我碰到的)
1网络堵塞(就是说其他虮子不能访问主机)
2安全模式进不去
3主机能上网但是只要打开关于杀毒或是关于安全一类的软件或网站 是自动关闭
4所有安全软件全挂(卡巴没有试)
5有时候QQ也不能上

地主 发表时间: 07-07-03 12:47

回复: woshi120 [woshi120]   论坛用户   登录
可以是可以 但过程复杂 一般人是不会这么做的 最简直的方法 新建一个超级管理员的账户
然后用新用户进人 删除原来的账户然后用杀毒软件杀之,如果不能进入网络就用u盘下载AV终结者病毒的专杀工具,再用来杀之 ,一般都可以的。好处:简单适用。





[此贴被 woshi120(woshi120) 在 07月17日21时24分 编辑过]

B1层 发表时间: 07-07-17 21:23

回复: 嘶风 [yimarong]   版主   登录
呵呵~不知道是运气好还是运气不好的原因~

居然没让我遇上!

可惜了~

嘿嘿~下次是不是要下个样本改个小变种到某个网吧转一圈试试效果哦~

B2层 发表时间: 07-07-17 21:35

论坛: 网吧专题

20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon

粤ICP备05087286号