關於sxs.exe 與 autorun.inf病毒的清除方法:
 今天發現個原本沒有忽然多出來的檔案,上網一查居然是木馬,照他內容一看果然我原本可檢視影藏資料夾,居然都看不到了照他手續好不容易把他砍完。
以下是我找到砍毒的文章:
sms.exe病毒(瑞星稱為Trojan.PSW.QQPass.pqb病毒),現在將方法匯總一下,供大家參考:
特徵:在每個碟根目錄下自動生成sxs.exe,autorun.inf檔案,有的還在windowssystem32下生成SVOHOST.exe或sxs.exe,檔案屬性為隱含屬性。
自動禁用掃毒軟體。

傳染途徑:主要通過USB磁碟機,搬移硬碟。
迷惑性:
1、按ctrl+del+alt檢視程式,可能多出svohost程式,他與系統自帶的svchost只差一字,大家要看清楚!
2、註冊表修改項隱蔽更強,如何修改我將在下面詳細說明。
3、自動修改註冊表,使系統「顯示所有隱藏檔案」功能失效,從而達到隱藏自己病毒體檔案的目的。

清除辦法:
建議到安全模式下,網上有許多網友說直接搜尋sms.exe檔案移除是不可以的,因為一移除後,只要你更新就立刻出現。

1、關閉病毒程式:

Ctrl+Alt+Del任務管理器,在程式中尋找sxs或SVOHOST(不是SVCHOST,相差一個字母),有的話就將它結束掉(並不是所有的系統都顯示有這個程式,沒有的就略過此步)。

2、還原註冊表(有的系統可能病毒沒有修改註冊表,檢驗辦法是,若果您的系統能看到隱藏檔案那麼這步可以省略,建議大家都看一下)

(移除病毒自啟動項)開啟註冊表運行——regedit

HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Run
SVOHOST.exe或sxs.exe
下找到SoundMam(注意不是soundman,只差一個字母)鍵值,可能有兩個,移除其中的鍵值為C:WINDOWSsystem32SVOHOST.exe的

(顯示出被隱藏的系統檔案)

HKEY_LOCAL_MACHINESoftwareMicrosoftwindowsCurrentVersionexplorerAdvancedFolderHiddenSHOWALL,將CheckedValue鍵值修改為1

這裡要注意,病毒會把本來有效的DWORD值CheckedValue移除掉,新增了一個無效的字串值CheckedValue,類型為REG_SZ,並且把鍵值改為0!我們將這個改為1是毫無作用的。
大家要看清楚CheckedValue後面的類型,正確的是「RED_DWORD」而不是「REG_SZ」(有部分病毒變種會直接把這個CheckedValue給刪掉,只需和下面一樣,自己再重新增一個就可以了)

方法:移除此CheckedValue鍵值,點選右鍵新增——Dword值——命名為CheckedValue,然後修改它的鍵值為1,這樣就可以選取「顯示所有隱藏檔案」和「顯示系統檔案」。
在資料夾——工具——資料夾選項中將系統檔案和隱藏檔案設定為顯示

3、移除病毒體檔案:
在分區碟上點選滑鼠右鍵——開啟,看到每個碟跟目錄下有autorun.inf和sxs.exe兩個檔案,將其移除。
最徹底的移除辦法是:點選開始--運行--cmd確定後在dos狀態下寫如下指令
(一般系統碟跟目錄下可能沒有病毒體檔案,但是其他碟應該都存在)
attrib-h-r-sc:sxs.exe
delc:sxs.exe
attrib-h-s-rc:autorun.inf
delc:autorun.inf
attrib-h-r-sd:sxs.exe
deld:sxs.exe
attrib-h-s-rd:autorun.inf
deld:autorun.inf

若果大家還有其他的碟符可以參考我上面的寫一下就可以,若果有E碟,那就是

attrib-h-r-se:sxs.exe
dele:sxs.exe
attrib-h-s-re:autorun.inf
dele:autorun.inf

====建議大家可以寫成一的批處理,然後運行一下就ok了

最後到C:WINDOWSsystem32目錄下移除SVOHOST.exe或sxs.exe

為了方便大家我寫了一個批處理移除病毒體檔案,運行的時候若果提示「沒有發現該檔案」說明找不到病毒體檔案,沒有關係的。
因為有些目錄病毒可能沒有複製到裡面去。
大家把這個複製後用文字檔案儲存,然後改名為delsxs.bat,最後按兩下運行就ok了,我只寫到G碟的,估計就夠用的,另外加了個h(u)磁碟的

attrib-h-r-sc:sxs.exe

delc:sxs.exe

attrib-h-s-rc:autorun.inf

delc:autorun.inf

attrib-h-r-sd:sxs.exe

deld:sxs.exe

attrib-h-s-rd:autorun.inf

deld:autorun.inf

attrib-h-r-se:sxs.exe

dele:sxs.exe

attrib-h-s-re:autorun.inf

dele:autorun.inf

attrib-h-r-sf:sxs.exe

delf:sxs.exe

attrib-h-s-rf:autorun.inf

delf:autorun.inf

attrib-h-r-sg:sxs.exe

delg:sxs.exe

attrib-h-s-rg:autorun.inf

delg:autorun.inf

attrib-h-r-sh:sxs.exe

delh:sxs.exe

attrib-h-s-rh:autorun.inf

delh:autorun.inf

最後提醒大家的是:使用USB磁碟機或是是搬移硬碟的時候要在插入後,立刻按住shift鍵,防止自動運行程式啟動,開啟的時候要點右鍵--開啟,這樣病毒就不會運行(若果存在病毒檔案sxs.exe和autorun.inf直接移除就ok了),否則若果你的USB磁碟機上有此病毒,你按兩下後,非但打不開USB磁碟機,還運行了病毒程式,呵呵上面做的一切都要重做了哦。

至於掃毒軟體不能自動啟動的問題,那可以重新安裝或是參考各掃毒軟體的處理辦法了,這裡就不一一列舉了。

=====其他的關聯說明-僅供參考網上複製部分====

[金山毒霸關於本病毒的描述Win32.Troj.QQRobber.cj]sxs.exe這是一個盜取QQ帳號密碼的木馬病毒,特點是可以通過抽取式磁碟傳播。
該病毒的主要危害是盜取QQ帳戶和密碼;該病毒還會結束大量反病毒軟體,降低系統的安全等級。

1、生成檔案:
%system%SVOHOST.exe
%system%winscok.dll

2、加入啟動項:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
"SoundMam"="%system%SVOHOST.exe"

3、盜取模式:
鍵碟記錄,內含軟體碟;將盜取的號碼和密碼通過信件傳送到指定信箱。

4、傳播模式:
檢驗系統是否有抽取式磁碟,是則複製病毒到抽取式磁碟根目錄。
sxs.exe
autorun.inf

5、autorun.inf加入下列內容,達到自運行的目的。
[AutoRun]
open=sxs.exe
shellexecute=sxs.exe

6、關閉視窗名為下列的套用程式:
QQKav
雅虎助手
防火牆
網鏢
掃毒
病毒
木馬
惡意
QQAV
噬菌體

7、結束下列程式:
sc.exe
net.exe
sc1.exe
net1.exe
PFW.exe
Kav.exe
KVOL.exe
KVFW.exe
TBMon.exe
kav32.exe
kvwsc.exe
CCAPP.exe
EGHOST.exe
KRegEx.exe
kavsvc.exe
VPTray.exe
RAVMON.exe
KavPFW.exe
SHSTAT.exe
RavTask.exe
TrojDie.kxp
Iparmor.exe
MAILMON.exe
MCAGENT.exe
KAVPLUS.exe
RavMonD.exe
Rtvscan.exe
Nvsvc32.exe
KVMonXP.exe
Kvsrvxp.exe
CCenter.exe
KpopMon.exe
RfwMain.exe
KWATCHUI.exe
MCVSESCN.exe
MSKAGENT.exe
kvolself.exe
KVCenter.kxp
kavstart.exe
RAVTIMER.exe
RRfwMain.exe
FireTray.exe
UpdaterUI.exe
KVSrvXp_1.exe
RavService.exe

8、刪啟動項:
HKLMSoftwareMicrosoftWindowsCurrentVersionRun
RavTask
KvMonXP
YLive.exe
yassistse
KAVPersonal50
NTdhcp
WinHoxt

arrow
arrow
    全站熱搜

    湖劭 發表在 痞客邦 留言(0) 人氣()