急！ 服务器中了AV终结者

这个病毒具有“帕虫”或称“AV终结者”的某些特征，试图终止正在运行的杀毒软件进程，映像劫持大多数的杀毒软件、防火墙及手工杀毒的安全工具，在系统盘外的其它盘生成autotun.inf及安装文件。
同时，闭游该病毒下载如下木马和广告软件——
Trojan.Win32.Agent.pow
Adware.Win32.CPush.g
Adware.Win32.CPush.e
Adware.Win32.Dodolook.b
Adware.Win32.Agent.num

该木马群成功感染后所有杀毒软件被禁止或劫持，桌面（或称Window Shell）explorer.exe被注入和劫持，某些情下安全模式被破坏。所以，完全清除对具有一定的难度，需要一点耐心、信心和电脑操作熟练度。

解决办法：
1、准备工具IceSword和SREng，下载地址：
System Repaire Engineer(SRE)
下载：http://www.kztechs.com/sreng/download.html
使用方法：http://www.kztechs.com/sreng/help2/
冰刃(IceSword)1.20
http://www.ttian.net/website/2005/0829/391.html

2、由于这两个工具被映像劫持了，将它们解压后，运行时先将可执行文件IceSword.exe和SREngPS.exe改为随便一个其它的名字，比如“1234.exe”运行。由于各盘被释放了autorun.inf，清理过程中注意不要双击或点右键打开任何盘。运行工具软件从开始菜单运做搜行。

3、运行IceSword，在“文件”菜单点“设置”，勾“禁止进线程创建”，点“确认”，然后在进程列表中删除“eqrdrnr.exe”和“websrdu.exe”。然后再允许进线程创建。
在文件列表中，找到下列文件，并强制删除：
C:\Program Files\Common Files\Microsoft Shared\websrdu.exe
C:\Program Files\Common Files\System\eqrdrnr.exe
d:\autorun.inf
e:\autorun.inf
f:\autorun.inf
d:\txwslhg.exe
e:\txwslhg.exe
f:\txwslhg.exe

3、运行SREng，在“系统修复/高级”中，修复安全模式；在“启动项目/注册表”中，删除所有红色的IFEO项目，删除“eqrdrnr.exe”和“websrdu.exe”的启动项目。

4、参照Trojan.Win32.Agent.pow的处理办法删除对explorer.exe的注入（结束explore.exe进程，删除那些注入的文件，然后重启explore.exe）：
http://hi.baidu.com/sanluxia/blog/item/977959f7e7f93720730eec6d.html

5、现在杀毒软件应该可以运行了，启动运行并升级。然后重新启动，到安全模式，用你的杀毒软件扫描全部硬盘。

补充说明:
由于木马群的相互作用，以及杀毒软件可能在其中做了纯态历部分清除工作，各中毒机器的具体情况可能与上述情况并不完全一样。网友们可以将上述解决办法作为一个解决问题的思路参考。

关于“AV终结者”或“帕虫”的详细资料，参见如下：

http://forum.ikaka.com/topic.asp?board=28&artid=8322881
http://hi.baidu.com/newcenturysun/blog/item/2ad3d7cedcea3c0292457e2c.html
http://forum.ikaka.com/topic.asp?board=28&artid=8315857

Author: Sanluxia
Aug. 10, 2007
Blog: http://hi.baidu.com/sanluxia/blog
This document is written by Sanluxia, all rights reserved. You may copy it to other place, but you must reserve this copyright information.

参考资料：转载http://zhidao.baidu.com/question/34280413.html

1：杀软、防火墙被强制关闭
2：无法显示隐藏文件
3：无法进安全模式
4：搜索有关杀毒、病毒字眼立即自动关闭。
5：在每个盘敏祥下生成随机8位数字文件
如果你都符合，恭喜你不幸的中了当下最流行的av终结者
解决方法：http://zhuansha.duba.net/259.shtml（下面第4步必看）
（注：据网友反映，须多扫描几次，一次肯定不够）-非常重要
如果无法自己从上面下载专杀，请按下面方法做:
第1步：用朋友电脑登陆上桥纯搏面网址下载专杀工具
第2步：在朋友电脑上开启安全卫士（www.360safe.com）保护下u盘免疫，避免朋友电脑被感染，再用u盘或移动硬盘拷到你电脑上。
第3步：执行AV终结者专杀裤圆工具，清除已知的病毒，修复被破坏的系统配置。
第4步：不要立即重启电脑，请先启动杀毒软件，升级最新病毒库，进行全盘扫描。以清除木马下载器下载的其它病毒。

先用金山的一个AV专杀工具。打开时他会提示你要重起。你重起后在打开AV专杀工具，开始清理，同时下载一个WINDOWS清理助手，不要解压，直接樱芹在解缩文件中使用这个脊友毕软件（AV专杀也是不解压在包里使用）解压后病毒会感染你的这个告扒文件。

安全模式下也不能杀毒吗?
1在信清纳安全的计算机上用U盘考个AV专杀.
2中毒机器开始F8进安全模式,插上U盘,在不碰其滑没他盘的情况下,直接进入正昌U盘,用U盘内专杀杀毒.
试试看行不行.

没法去机房,怎么修电脑?远程控制?心灵传输?

带网络连接的安全模式下个安全卫槐竖衫士360+病铅腔毒木马专杀大全。嘿嘿好了吧！（以前的全部删掉）记得加分纤银啊！