Created: 2009-12-03 12:56:55
反病毒行業是隨著病毒的出現而產生並發展起來的,而病毒也隨著反病毒技術的不斷進步,進行著技術革新,來逃避防毒軟體的追殺。
此病毒名字可以看出這是一個假冒防毒軟體安裝程序的木馬下載者病毒,企圖迷惑用戶達到種植木馬的目的。
此病毒運行後模擬防毒軟體安裝介面(如下圖),被植入到電腦上後,主要有以下幾種危害,一,修改host檔案將部分資安類型的網站映射到74.125.45.100這個IP,導致網站被劫持。
二,連接遠程非法伺服器IP:213.163.89.248:80下載惡意程序。
三,造成很多防護軟體無法運行或被關閉。
安裝ESET NOD32防毒軟體並升級到最新病毒資料庫,即可清除此病毒。
手動清除參考方法:
1,首先要手動刪除temp資料夾下的avp2009.exe和Quarantine Items、VSSSys兩個資料夾,以及all user 下appdata資料夾下的VSLKDTXXALS資料夾,和個人用戶名下appdata下的Volcano Security Suite資料夾。
2,清理所有的
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options 下的映像劫持項目及相關參數。
3,修復host檔案。
4,查找刪除關閉病毒遠程下載的惡意程序。
5,重啟系統即可。