Terminador de cortafuegos de Drive

Tal vez te haya atacado "AV Terminator".

Compruébalo

La solución más completa para AV Terminator

Nombre del virus: AV Terminator

Método de propagación: memoria, vulnerabilidad de Windows

Método de destrucción: inserción de proceso

Nombre del archivo de virus generado: caracteres aleatorios de 8 bits

Autoprotección: Secuestro de aplicaciones

Finalidad del virus: descargar una gran cantidad de troyanos de Internet

Nivel de peligro: ★★★★★

Apareció recientemente en Internet. Se desarrolló un virus altamente destructivo llamado "AV Terminator". En menos de un mes, hubo cientos de variantes que afectaron a más de 100.000 personas. Este virus es muy anormal y difícil de detectar una vez infectado.

“AV Terminator” es un virus compuesto por números y letras aleatorios de 8 dígitos. Es un virus parásito de la memoria flash que se implementa a través de medios de almacenamiento como la memoria flash o se inyecta en servidores.

1. ¿Qué es "AV Terminator"?

Después de ejecutar el virus "AV Terminator", se generarán los siguientes archivos en el sistema: C:\program files\common files. \ microsoft compartido\msinfo\nombre de virus generado aleatoriamente.dat, C:\archivos de programa\archivos comunes\microsoft compartido\msinfo\nombre de virus generado aleatoriamente.dll, C:\windows\nombre de virus generado aleatoriamente.chm

El nombre del virus "AV Terminator" es una combinación aleatoria de letras mayúsculas y números, y su longitud es de 8 dígitos. Se puede decir que la probabilidad de generar un virus con el mismo nombre es muy baja. Entonces, incluso si sabemos que se trata de un archivo generado por un virus, no esperamos una forma clara de encontrar el virus en Internet por su nombre.

Después de ejecutar el virus "AV Terminator", copiará el archivo del virus y el archivo anuorun.inf en el disco local y en el disco extraíble. Cuando el usuario haga doble clic en la letra de la unidad, el virus se ejecutará. activarse. Incluso si se reinstala el sistema, no podrá eliminar completamente el virus. Este es un método de propagación popular para muchos virus en la actualidad. Muchos usuarios también saben cómo eliminar el archivo anuorun.inf generado por el virus. Sin embargo, cuando ingresamos a "Opciones de carpeta" y queremos mostrar archivos ocultos, podemos encontrarlo. ha sido desactivado por el virus.

Los ataques contra el software antivirus son las características de "AV Terminator". Los virus finalizarán los procesos de la mayoría de los programas antivirus y herramientas de seguridad. La gran mayoría del software antivirus y las herramientas de seguridad nacionales han sido incluidos en la lista negra. Cuando el software antivirus pierde temporalmente su efecto, el virus buscará la victoria y pondrá completamente al software antivirus en el corredor de la muerte mediante una tecnología de "secuestro de imágenes".

El "secuestro de imágenes" creará un nuevo archivo con el nombre del software antivirus y la herramienta de seguridad en el archivo "HKEY-LOCAL-MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image". Ubicación de Opciones de ejecución" en el registro. item. Una vez completada la creación, el virus también creará una clave de depuración en su interior, con el valor de clave "c:\progra~1\common~1\micros~1\msinfo\05cc73b2.dat". De esta forma, cuando ejecutamos el programa principal del software antivirus en ambos equipos, lo que realmente se está ejecutando es un programa antivirus.

Para evitar exponer fallas en el "Administrador de tareas", el virus inyectará su propio proceso en el proceso del administrador de recursos del sistema explorer.exe, de modo que no pueda detectar el virus a través del "Administrador de tareas". proceso. La función principal del proceso del virus es monitorear las operaciones del usuario en el sistema. Por ejemplo, si desea eliminar manualmente el virus y modificar el registro, el virus volverá a cambiar el registro después de un tiempo, causándole muchos problemas. Otra función es monitorear la ventana de IE y cerrar inmediatamente la página web cuando un usuario busca información sobre virus.

Además, el virus también destruirá el firewall y el modo de seguridad de Windows, bloqueando la ruta de escape del usuario. Lo más importante es que el virus descargará una gran cantidad de troyanos de Internet para robar la información de la cuenta del juego de los usuarios, que es su verdadero propósito.

2. Comprenda completamente "AV Terminator"

1. Ejecute el "Administrador de tareas", finalice el proceso "explorer.exe", haga clic en el menú de archivos "Administrador de tareas" y seleccione "Nueva tarea", ingrese "regedit", busque HEKEY-LOCAL-MACHINE\software\microsoft\windows\currentversion\explorer\advanced\folder\hidden\showall y cambie el valor clave de Checkedvalue a "1".

2. Busque las opciones de ejecución del archivo HEKEY-LOCAL-MACHINE\software\microsoft\windows NT\currentversion\image en "regedit" y elimine los elementos con nombres de software antivirus y herramientas de seguridad.

3. Haga clic en "Herramientas" - "Opciones de carpeta" en "Explorador", cambie a "Ver", desmarque "Ocultar archivos protegidos del sistema operativo" y luego marque "Mostrar todos los archivos y carpetas". Elimine todos los archivos de virus según la ruta proporcionada anteriormente. Elimine virus en otras particiones. Tenga cuidado de no hacer doble clic para ingresar la letra de la unidad, sino hacer clic derecho para ingresar.

3. Prevenir "especies de terminal AV"

En primer lugar, es necesario desactivar la función de reproducción automática y actualizar los parches del sistema de manera oportuna, especialmente los dos parches MS06-. 014 y MS07-017.

En segundo lugar, los derechos de lectura y escritura de IFEO deben restringirse para limitar el acceso de virus al software antivirus a través de IFEO. El método de operación es el siguiente: Inicio - Ejecutar, ingrese regedit32, busque las opciones de ejecución del archivo HEKEY-LOCAL-MACHINE\software\microsoft\windows NT\currentversion\image, haga clic derecho en esta opción, seleccione "Permisos" en la ventana emergente menú, y luego Simplemente cancele todos los permisos del grupo de usuarios administradores y del grupo de usuarios usuarios. Finalmente, es necesario restringir los derechos de lectura y escritura de SAFEBOOT para impedir que "AV Ultimate" modifique o elimine unidades y proteger el funcionamiento normal del modo seguro. El método de operación es el siguiente: busque también HKEY-LOCAL-MACHINE\SYSTEM\contorlset001\control\safeboot\network\{4d36e967-e325-11ce-bfc1-08002be10318} y HKEY-LOCAL-MACHINE\SYSTEM\currentcontrolset en el archivo 32- registro de bits \control\safeboot\minimal\{4d36e967-e325-11ce-bfc1-08002be10318}, simplemente cancele todos los permisos del grupo de usuarios administradores y del grupo de usuarios usuarios.

También hay herramientas especiales para matar

Vaya a /av.html