不能安装的软件有360.咔吧,瑞星,等杀毒软件,安装点下一步就退到桌面了,不能安装
机器里肯定有AUTO病毒,用金山AV终结者专杀提示有病毒,但是不能清除,
这就是最近困扰我的病毒,不知道大家有没有经历过,最好贴出来和大家分享一下
谢谢了

橙色（二级）安全警报

    [快讯]8月3日以来，瑞星全球反病毒监测网截获到数十个“反常的”恶性病毒，它们除了有正常的危害之外，还会造成主流杀毒软件和个人防火墙无法打开，甚至导致杀毒时系统出现“蓝屏”、自动重启、死机等状况。

    在最近48小时内，已经有数千名用户向瑞星客户服务中心求助。瑞星反病毒专家分析，可能有病毒编写者或者黑客组织，有计划地在各种流行病毒中加载了反杀毒软件的程序，掀起这场针对主流杀毒软件的“战争”。目前瑞星已经截获了近40个该类病毒，预计近段时间该类病毒数量还会继续增加。

    据瑞星反病毒专家介绍，这些病毒包括“传奇终结者（Trojan.PSW.LMir）”、“QQ游戏木马（Trojan.PSW.QQGame）”、“QQ盗贼（Trojan.PSW.QQRobber）”以及“密西木马（Trojan.PSW.Misc）等病毒的最新变种。这些病毒在电脑的后台运行，窃取用户的网络游戏和QQ的账号和密码，并发送给病毒制造者。

    这些新的变种病毒有一个共同的特征，即专门针对主流杀毒软件进行破坏。当病毒发现用户正在使用杀毒软件时，会自动将它们关闭，使用户无法杀毒。同时，某些病毒还会造成杀毒软件查毒时系统蓝屏或自动重启。专家介绍说，此前曾截获过类似的病毒，但大量针对杀毒软件的病毒同时出现还属首次。

    针对此类病毒，瑞星杀毒软件2006版已经升级至18.38.42版，请广大用户及时更新杀毒软件到最新版本，并打开“文件”、“注册表”、“内存”等全部八项实时监控进行防范。已感染此类病毒的用户可以登录http://help.rising.com.cn，通过“在线专家门诊”寻求远程救助，也可拨打反病毒急救电话：010-82678800寻求帮助。

    针对没有安装瑞星杀毒软件的用户，瑞星反病毒工程师已制作了免费的专杀工具，并已于8月5日下午发布，请用户尽早下载使用，以免使计算机遭到病毒攻击。





是不是这个???????????

Quote:

引用第2楼52038于2007-07-04 10:25发表的  :
双进程随机7位字母的新变种AV终结者
  最新的 过几天在杀吧

好象是你说的,难道没有针对它的杀软吗?

点下一步就退出来了,

Quote:

引用第9楼杰路于2007-07-04 19:19发表的  :
建议在线杀毒下，确认没有病毒的情况下再试，如果还有，那全部格式掉。重新安装

只要你打开带有杀毒字样的网站,网页就被关闭了,更别说在线杀毒了
有很多是重要资料和数据库,能不格式化就不格式了,

我想这个病毒有可能是今年夏天困扰大家的一个可恶的病毒

我在天地无忧看到的文章:


对专门破坏杀毒软件的病毒AV终结者的深层次分析

我最近中了AV终结者，苦不堪言，正一筹莫展之际，来到了金山毒霸铁军的blog，看到了这篇深层次的分析文章，真是及时雨啊，问题迅速解决了。在这里谢谢金山毒霸。最近破坏杀毒软件的AV终结者闹的厉害，我把这篇好文转给大家，我为人人，人人为我^_^。

今天刚得到的新消息，中国证券网挂马了。我们从那个站抓到个新病毒。
分析报告在这里http://vi.duba.net/index.php?COD ... mp;action=viewgraph

有关AV终结者病毒的相关参考信息，大家可以在这个地址仔细看，
http://hi.baidu.com/litiejun/blo ... 282eeb14cecb62.html
算了，为了方便大家，我还是把地址文章贴出来吧，在帖子的后面 我为人人，人人为我~

AV终结者分析报告：这个病毒就是有网友提到的8位随机文件名的病毒程序。该病毒利用了IFEO重定向劫持技术，使大量的杀毒软件和安全相关工具无法运行；会破坏安全模式，使中毒用户无法在安全模式下查杀病毒；会下载大量病毒到用户计算机来盗取用户有价值的信息和某些帐号；能通过可移动存储介质传播；病毒还会关闭windows安全中心和windows防火墙，以降低系统安全性。

以下是详细分析报告，金山毒霸已经推出了病毒专杀工具，该工具同时可以帮你修复被映像劫持的注册表，在遇到其它病毒有类似现象时，也可以使用。请访问这里下载。

1.生成文件
%programfiles%\Common Files\Microsoft Shared\MSInfo\{随机8位字母+数字名字}.dat
C:\Program Files\Common Files\Microsoft Shared\MSInfo\{随机8位字母+数字名字}.dll
%windir%\{随机8位字母+数字名字}.hlp
%windir%\Help\{随机8位字母+数字名字}.chm
也有可能生成如下文件
%sys32dir%\{随机字母}.exe
替换%sys32dir%\verclsid.exe文件

2.生成以下注册表项来达到使病毒随系统启动而启动的目的
HKEY_CLASSES_ROOT\CLSID\"随机CLSID"\\InprocServer32 "病毒文件全路径" 
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\"随机CLSID" "病毒文件全路径" 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks "生成的随机CLSID" ""

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "随机字符串" "病毒文件全路径"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc Start dword:00000004

3.映像劫持
通过在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options下添加注册表项来进行文件映像劫持，可阻止大量安全软件及系统管理软件运行，并执行病毒体。

被劫持的软件包括：
360rpt.exe;
360Safe.exe;
360tray.exe;
adam.exe;
AgentSvr.exe;
AppSvc32.exe;
autoruns.exe;
avgrssvc.exe;
AvMonitor.exe;
avp.com;
avp.exe;
CCenter.exe;
ccSvcHst.exe;
FileDsty.exe;
FTCleanerShell.exe;
HijackThis.exe;
IceSword.exe;
iparmo.exe;
Iparmor.exe;
isPwdSvc.exe;
kabaload.exe;
KaScrScn.SCR;
KASMain.exe;
KASTask.exe;
KAV32.exe;
KAVDX.exe;
KAVPFW.exe;
KAVSetup.exe;
KAVStart.exe;
KISLnchr.exe;
KMailMon.exe;
KMFilter.exe;
KPFW32.exe;
KPFW32X.exe;
KPFWSvc.exe;
KRegEx.exe;
KRepair.COM;
KsLoader.exe;
KVCenter.kxp;
KvDetect.exe;
KvfwMcl.exe;
KVMonXP.kxp;
KVMonXP_1.kxp;
kvol.exe;
kvolself.exe;
KvReport.kxp;
KVScan.kxp;
KVSrvXP.exe;
KVStub.kxp;
kvupload.exe;
kvwsc.exe;
KvXP.kxp;
KvXP_1.kxp;
KWatch.exe;
KWatch9x.exe;
KWatchX.exe;
loaddll.exe;
MagicSet.exe;
mcconsol.exe;
mmqczj.exe;
mmsk.exe;
NAVSetup.exe;
nod32krn.exe;
nod32kui.exe;
PFW.exe;
PFWLiveUpdate.exe;
QHSET.exe;
Ras.exe;
Rav.exe;
RavMon.exe;
RavMonD.exe;
RavStub.exe;
RavTask.exe;
RegClean.exe;
rfwcfg.exe;
RfwMain.exe;
rfwProxy.exe;
rfwsrv.exe;
RsAgent.exe;
Rsaupd.exe;
runiep.exe;
safelive.exe;
scan32.exe;
shcfg32.exe;
SmartUp.exe;
SREng.exe;
symlcsvc.exe;
SysSafe.exe;
TrojanDetector.exe;
Trojanwall.exe;
TrojDie.kxp;
UIHost.exe;
UmxAgent.exe;
UmxAttachment.exe;
UmxCfg.exe;
UmxFwHlp.exe;
UmxPol.exe;
UpLive.EXE.exe;
WoptiClean.exe;
zxsweep.exe;

4.修改以下注册表，导致无法显示隐藏文件
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced Hidden dword:00000002
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL CheckedValue dword:00000000

5、修改以下服务的启动类型来禁止Windows的自更新和系统自带的防火墙。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess Start dword:00000004
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv Start dword:00000004

6.删除以下注册表项，使用户无法进入安全模式
HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKEY_CURRENT_USER\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}

7.连接网络下载病毒
hxxp://www.webxxx.com/xxx.exe

8.关闭杀毒软件实时监控窗口，如瑞星、卡巴，通过自动点击"跳过"按钮来逃过查杀

9.尝试关闭包含以下关键字窗口
Anti
AgentSvr
CCenter
Rsaupd
SmartUp
FileDsty
RegClean
360tray
360safe
kabaload
safelive
KASTask
KPFW32
KPFW32X
KvXP_1
KVMonXP_1
KvReport
KvXP
KVMonXP
nter
TrojDie
avp.com
KRepair.COM
Trojan
KvNative
Virus
Filewall
Kaspersky
JiangMin
RavMonD
RavStub
RavTask
adam
cSet
PFWliveUpdate
mmqczj
Trojanwall
Ras.exe
runiep.exe
avp.exe
PFW.exe
rising
ikaka
.duba
kingsoft
木马
社区
aswBoot
...

10.注入Explorer.exe和TIMPlatform.exe反弹连接，以逃过防火墙的内墙的审核。

11.隐藏病毒进程，但是可以通过结束桌面进程显示出来

12.在硬盘分区生成文件：autorun.inf 和 随机字母+数字组成的病毒***体，并修改“NoDriveTypeAutoRun”使病毒可以随可移动存储介质传播。

看完分析之后，大家可以来“这里”来下载专杀工具：
http://zhuansha.duba.net/259.shtml
这个专杀工具最大的好处是帮助修复映像、修复被破坏的安全模式，以及隐藏文件不能正常显示的问题（这三个问题是今年病毒最喜欢玩儿的手法）

对于不会自己动手来修改注册表，用AV终结者专杀就搞定了。补充说明一下，因为类似AV终结者的病毒较多，所以一方面要用这个专杀修复映像劫持、修复被破坏的安全模式，以及隐藏文件不能正常显示的故障，另一方面，我们要注意使用杀毒软件进行实时监控和防范，金山毒霸最新的更新程序就可以很好的防范