昨天金亮跑过来找我说他的电脑杀毒软件装不上，原因是打开安装包安装的时候会自动关闭，而且不仅是杀毒软件，其它一些软件也打不开。奇怪的是，他说他的系统就是因为打不开杀毒软件而刚还原的。

　　刚还原的系统怎么会出现那样的问题？我当时的第一个想法还不是病毒的破坏。我马上过去看了下，的确，安装杀毒软件时会自动关闭，打开一些安全软件也会自动关闭，不过我发现打开除安全软件之外的软件没有问题。所以我就想到的确有恶意程序，如果我没有猜错，它是根据软件的标题来杀死它的进程。还等什么，马上打开任务管理器查看恶意进程。不过同学的笔记本电脑装的是正版Windows，附加的系统软件特别多，进程达到了50多个以上。想知道每个进程的来源就必须查看进程的路径，可是我试了几个安全工具，一打开就自动关闭。不过这样更好，为什么？因为一打就关闭是典型的进程监控，肯定有个恶意进程在监控安全工具，一运行就将它的进程结束掉。实现这个功能很简单，我以前也写过类似的恶意程序，调用系统API函数里面的FINDWINDOW函数和SHOWMESSAGE函数就可以实现。旁边的另一个同学说这应该就是AV终结者病毒。AV终结者？嗯，网上闹得沸沸扬扬，不过我还没有接触过这个病毒。

　　下面讲讲我的清毒过程。重启，进安全模式，结果一个蓝屏闪过，进不去。是病毒阻止了进入安全模式。重启到正常模式，从我自己电脑的注册表上导出
HKLM\SYSTEM\ControSet001\Control\SafeBoot\
HKLM\SYSTEM\ControSet003\Control\SafeBoot\
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\
三个REG文件。将它们拷贝至U盘再插入到同学的中毒电脑里，不出我的意料，U盘也马上中毒，在根目录下生成一个以P字母开头的EXE文件（文件名我忘了）和一个autorun.inf文件。我不打开U盘，调出命令提示符，直接在命令提示符出将三个注册表文件导入。重启便可以进入安全模式了。查看进程，只有13个，这回病毒进程没有被加载了，安全软件也可以打开了。从正常机上下个AV终结者专杀，拷贝到中毒机，杀！结果杀出来的病毒文件很少，C盘不说，其它盘只有一个就是我刚才所说以P字母开头的那个文件，都在根目录下。而且后来我才发现为干什么同学新还原的系统又会马上中毒。原来一打开除系统盘以外的其它盘又会马上中毒。这招比较厉害，因为我发现其它盘根目录下根本没有AUTORUN.INF。不仅是双击打开还是右键打开盘符，都可以正常打开盘符，可居然也会同时运行根目录下隐藏的EXE病毒文件。专杀工具其实没做什么功劳，就在C盘删了几个EXE文件，在其它根本目录下各删一个EXE文件。由于其它盘文件比较多，要扫很长时间，知道原理后我就手工删了其它盘根目录下的EXE文件。删完之后，用超级巡警的IFEO修复功能修复一下，因为看网上所述病毒做了映象劫持。

　　重启到正常模式下，病毒不再出现，一切运行正常。六点多了，还约好跟几个学妹去溜冰的。在外面买了点小吃，就去溜冰场了。晚上溜冰回来同学又来找我说自动更新的选项变得灰色，我说这个容易解决。我以为是服务没打开，结果服务居然是开启的。网上搜了下，说组策略里可能被改了，也对哦。不过同学新装的系统怎么会这么无聊去改组策略呢？看来是AV留下的后遗症。结果我打不开组策略，后来才知道系统根目录下的GPEDIT.MSC不见了。正常机上拷个过来，双击打不开。后来我又发现GPEDIT.DLL也不见了。再拷个过来，用regsvr32注册一下，再打开组策略，这下终于可以了。不过“软件配置”、“Windows设置”等都为空了。唉… …又缺少系统文件了，又要去正常机上拷贝，干脆再还原一次系统吧~~后来同学说杀完AV后用瑞星又杀出30多个病毒。这很正常，AV终结者包括现在的其它病毒都具备下载者的功能。看来要清除AV留下的后遗很麻烦…

　　总结一下，这个AV终结者病毒技术含量一般，结束不掉它的进程是因为进程守护和关联，不过厉害之处我觉得应该是在正常打开除系统盘外的其它盘符居然会自动加载根目录下的EXE，没有痕迹也不用AUTORUN.INF，不知道这个功能是怎么实现的，知道的朋友请指点我一下，不甚感激。当然杀这个病毒我也学到了不少技巧，首先一个就是如何破坏安全模式，使其进入不了，网上查了下是删除
HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}
三个键值。

　　希望这篇杀毒日记能对大家有所帮助。

　　肚子好饿，吃饭去了~~