解决方法和步骤

第1步：打上浏览器补丁，彻底远离和禁止“AV终结者”

下载Firefox，Firefox已经集成了“AV终结者”病DU的补丁，
下载火狐后安装并运行一次，自动安装此病DU补丁。以后用这上网将不会再感染该病DU。
同时因为此病DU破坏了IE浏览器，输入些关键字被屏蔽，请使用火狐浏览器下载专SHA工具，

点此免费下载: http://cn.91fox.cn/down.htm

第2步：下载“AV终结者”专杀的工具。

第3步：在正常的电脑上禁止自动播放功能，避免插入U盘或移动硬盘而被病du感染。

关闭Windows自动播放功能、防范ARP病毒攻击的解决办法：

1．使用组策略编辑器

点击开始→运行→输入gpedit.msc，打开组策略编辑器，浏览到计算机配置→管理模板→系统，在右边窗格中双击"关闭自动播放"，对话框中选择所有驱动器，确定即可。

把AV终结者专杀工具从正常的电脑复制到U盘或移动硬盘上，然后再复制到中du的电脑上。

第4步：执行AV终结者专杀工具，清除已知的病du，修复被破坏的系统配置。

第5步：不要立即重启电脑，然后启动杀du软件，升级病du库，进行全盘扫描。以清除木马下载器下载的其它病du。

-----------------------------------------------------

点击这里下载:“AV终结者”专杀工具。

点击这里下载:新型AV终结者专杀

点击这里下载:autorun清除和免疫完美工具

点击这里下载:修复安全模式

=====================================================

 8位随机文件名的病毒程序。

1.生成文件
%programfiles%\Common Files\Microsoft Shared\MSInfo\{随机8位字母+数字名字}.dat
C:\Program Files\Common Files\Microsoft Shared\MSInfo\{随机8位字母+数字名字}.dll
%windir%\{随机8位字母+数字名字}.hlp
%windir%\Help\{随机8位字母+数字名字}.chm
也有可能生成如下文件
%sys32dir%\{随机字母}.exe
替换%sys32dir%\verclsid.exe文件

2.生成以下注册表项来达到使病毒随系统启动而启动的目的
HKEY_CLASSES_ROOT\CLSID\"随机CLSID"\\InprocServer32 "病毒文件全路径" 
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\"随机CLSID" "病毒文件全路径" 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks "生成的随机CLSID" ""

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "随机字符串" "病毒文件全路径"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc Start dword:00000004

3.映像劫持
通过在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options下添加注册表项来进行文件映像劫持，可阻止大量安全软件及系统管理软件运行，并执行病毒体。

4.修改以下注册表，导致无法显示隐藏文件
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced Hidden dword:00000002
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL CheckedValue dword:00000000

5、修改以下服务的启动类型来禁止Windows的自更新和系统自带的防火墙。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess Start dword:00000004
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv Start dword:00000004

6.删除以下注册表项，使用户无法进入安全模式
HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKEY_CURRENT_USER\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}

7.连接网络下载病毒
hxxp://www.webxxx.com/xxx.exe

8.关闭杀毒软件实时监控窗口，如瑞星、卡巴，通过自动点击"跳过"按钮来逃过查杀

9.尝试关闭包含关键字窗口

10.注入Explorer.exe和TIMPlatform.exe反弹连接，以逃过防火墙的内墙的审核。

11.隐藏病毒进程，但是可以通过结束桌面进程显示出来

12.在硬盘分区生成文件：autorun.inf 和 随机字母+数字组成的病毒复制体，并修改“NoDriveTypeAutoRun”使病毒可以随可移动存储介质传播。

该病毒利用了IFEO重定向劫持技术，使大量的杀毒软件和安全相关工具无法运行；会破坏安全模式，使中毒用户无法在安全模式下查杀病毒；会下载大量病毒到用户计算机来盗取用户有价值的信息和某些帐号；能通过可移动存储介质传播；病毒还会关闭windows安全中心和windows防火墙，以降低系统安全性。AV终结者专杀工具下载：

http://duba-011.duba.net/duba/kavtools/DubaTool_AV_Killer.COM

近日，各大网络安全论坛关于“映像劫持”、“随机8位数字病毒”的求助帖异常火爆，大量用户莫名遭遇病毒攻击，电脑中的杀毒软件以及相关安排工具无法正常使用，安全模式也被破坏。一名为ERRIC的网友表示，“电脑不知道怎了，杀毒软件不好用了，而且连安全模式也进不去了，搞了半天，最后还是重装了…郁闷!”

金山毒霸反病毒专家戴光剑表示，用户在论坛中提到的“映像劫持”以及“随机8位数字病毒”其实是一个叫作“AV终结者”的电脑病毒，该病毒通过映像劫持技术，将大量杀毒软件“绑架”，使其无法正常应用，而用户在点击相关安全软件后，实际上已经运行了病毒文件，实现病毒的“先劫持后掉包”的计划。

此外，与以往针对杀毒软件的病毒不同，AV终结者会破坏安全模式，即使用户发现电脑感染了病毒，重新启动后也无法进入安全模式进行查毒，而且该病毒还可下载大量的木马病毒到用户电脑内，用户有价值的信息以及某些帐号将面临严重威胁。

据了解，“AV终结者”不但可以劫持大量杀毒软件以及安全工具，而且还可禁止Windows的自更新和系统自带的防火墙，大大降低了用户系统的安全性，这也是近几年来对用户的系统安全破坏程度最大的一个病毒之一。

金山毒霸反病毒专家表示，该病毒的破坏程度与熊猫烧香非常相似，只是比熊猫烧香更加隐蔽，病毒可随系统启动而启动，并通过修改注册表，隐藏进程的方式，让用户不易察觉。该病毒可在硬盘分区生成文件autorun.inf和随机字母+数字组成的病毒复制体，并修改“NoDriveTypeAutoRun”使病毒可以随可移动存储介质传播。

根据该病毒的传播特点，金山毒霸反病毒应急中心及时进行了病毒库更新，即可查杀。基于该病毒危害严重，金山毒霸反病毒中心第一时间推出了专杀工具，用户利用专杀工具进行查杀。

用反间谍或系统清理专家查并清除该隐蔽软件

=========================================

  新变种的AV终结者,QQ可以上,但网页打不开.打开任务管理器一看有一个可疑的进程 1986.EXE  用金山2008和360卫士查杀后,重启电脑此进程又出现了,还会有另一个进程跟他同时出现,是以随机字母命名,比如"ardgt.exe",这两个木马进程会在开始运行wow.exe时注入内存.在WOW关闭时也自动关闭.卡机的起因,就是因为这两个进程突然大量占用CPU造成的.实在是没办法了我只有重新装个系统了。