刚手动杀了个病毒SXS.EXE autorun.inf[转载]
今天刚清除了sms.exe病毒(瑞星称为 Trojan.PSW.QQPass.pqb 病毒),现在将方法汇总一下,供大家参考:
特征:在每个盘根目录下自动生成sxs.exe,autorun.inf文件,有的还在windows\system32下生成SVOHOST.exe 或 sxs.exe ,文件属性为隐含属性。自动禁用杀毒软件。
传染途径:主要通过U盘,移动硬盘
迷惑性:1、按ctrl+del+alt查看进程,可能多出svohost进程,他与系统自带的svchost只差一字,大家要看清楚!
2、注册表修改项隐蔽更强,如何修改我将在下面详细说明。
3、自动修改注册表,使系统“显示所有隐藏文件”功能失效,从而达到隐藏自己病毒体文件的目的。
清除办法:
建议到安全模式下,网上有许多网友说直接搜索sms.exe文件删除是不可以的,因为一删除后,只要你刷新就立刻出现。
1、关闭病毒进程
Ctrl + Alt + Del 任务管理器,在进程中查找 sxs 或 SVOHOST(不是SVCHOST,相差一个字母),有的话就将它结束掉(并不是所有的系统都显示有这个进程,没有的就略过此步)。
2、恢复注册表(有的系统可能病毒没有修改注册表,检验办法是,如果您的系统能看到隐藏文件那么这步可以省略,建议大家都看一下)
(删除病毒自启动项)打开注册表 运行——regedit
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Run
SVOHOST.exe 或 sxs.exe
下找到 SoundMam(注意不是soundman,只差一个字母) 键值,可能有两个,删除其中的键值为 C:\\WINDOWS\system32\SVOHOST.exe 的
(显示出被隐藏的系统文件)
HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL,将CheckedValue键值修改为1
这里要注意,病毒会把本来有效的DWORD值CheckedValue删除掉,新建了一个无效的字符串值CheckedValue,类型为REG_SZ,并且把键值改为0!我们将这个改为1是毫无作用的。大家要看清楚CheckedValue后面的类型,正确的是“RED_DWORD”而不是“REG_SZ”(有部分病毒变种会直接把这个CheckedValue给删掉,只需和下面一样,自己再重新建一个就可以了)
方法:删除此CheckedValue键值,单击右键 新建——Dword值——命名为CheckedValue,然后修改它的键值为1,这样就可以选择“显示所有隐藏文件”和“显示系统文件”。
在文件夹——工具——文件夹选项中将系统文件和隐藏文件设置为显示
3、删除病毒体文件
在分区盘上单击鼠标右键——打开,看到每个盘跟目录下有 autorun.inf 和 sxs.exe 两个文件,将其删除。
最彻底的删除办法是:单击开始--运行--cmd 确定后在dos状态下写如下命令
(一般系统盘跟目录下可能没有病毒体文件,但是其他盘应该都存在)
attrib -h -r -s c:\sxs.exe
del c:\sxs.exe
attrib -h -s -r c:\autorun.inf
del c:\autorun.inf
attrib -h -r -s d:\sxs.exe
del d:\sxs.exe
attrib -h -s -r d:\autorun.inf
del d:\autorun.inf
如果大家还有其他的盘符可以参考我上面的写一下就可以,如果有E盘,那就是
attrib -h -r -s e:\sxs.exe
del e:\sxs.exe
attrib -h -s -r e:\autorun.inf
del e:\autorun.inf
=============建议大家可以写成一的批处理,然后运行一下就ok了
最后到 C:\\WINDOWS\system32\ 目录下删除 SVOHOST.exe 或 sxs.exe
为了方便大家我写了一个批处理删除病毒体文件,运行的时候如果提示“没有发现该文件”说明找不到病毒体文件,没有关系的。因为有些目录病毒可能没有复制到里面去。
大家把这个复制后用文本文件保存,然后改名为delsxs.bat,最后双击运行就ok了,我只写到G盘的,估计就够用的,另外加了个h(u)盘的
attrib -h -r -s c:\sxs.exe
del c:\sxs.exe
attrib -h -s -r c:\autorun.inf
del c:\autorun.inf
attrib -h -r -s d:\sxs.exe
del d:\sxs.exe
attrib -h -s -r d:\autorun.inf
del d:\autorun.inf
attrib -h -r -s e:\sxs.exe
del e:\sxs.exe
attrib -h -s -r e:\autorun.inf
del e:\autorun.inf
attrib -h -r -s f:\sxs.exe
del f:\sxs.exe
attrib -h -s -r f:\autorun.inf
del f:\autorun.inf
attrib -h -r -s g:\sxs.exe
del g:\sxs.exe
attrib -h -s -r g:\autorun.inf
del g:\autorun.inf
attrib -h -r -s h:\sxs.exe
del h:\sxs.exe
attrib -h -s -r h:\autorun.inf
del h:\autorun.inf
最后提醒大家的是:使用u盘或者是移动硬盘的时候要在插入后,立刻按住shift键,防止自动运行程序启动,打开的时候要点右键--打开,这样病毒就不会运行(如果存在病毒文件sxs.exe和autorun.inf直接删除就ok了),否则如果你的u盘上有此病毒,你双击后,非但打不开u盘,还运行了病毒程序,呵呵上面做的一切都要重做了哦。
至于杀毒软件不能自动启动的问题,那可以重新安装或者参考各杀毒软件的处理办法了,这里就不一一列举了。
===========其他的相关说明-仅供参考网上复制部分====
[金山毒霸关于本病毒的描述Win32.Troj.QQRobber.cj]sxs.exe这是一个盗取QQ帐号密码的木马病毒,特点是可以通过可移动磁盘传播。该病毒的主要危害是盗取QQ帐户和密码;该病毒还会结束大量反病毒软件,降低系统的安全等级。
1,生成文件
%system%\SVOHOST.exe
%system%\winscok.dll
2,添加启动项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"SoundMam" = "%system%\SVOHOST.exe"
3,盗取方式
键盘记录,包括软件盘;将盗取的号码和密码通过邮件发送到指定邮箱。
4,传播方式
检测系统是否有可移动磁盘,是则拷贝病毒到可移动磁盘根目录。
sxs.exe
autorun.inf
5,autorun.inf添加下列内容,达到自运行的目的。
[AutoRun]
open=sxs.exe
shellexecute=sxs.exe
6,关闭窗口名为下列的应用程序
QQKav
雅虎助手
防火墙
网镖
杀毒
病毒
木马
恶意
QQAV
噬菌体
7,结束下列进程
sc.exe
net.exe
sc1.exe
net1.exe
PFW.exe
Kav.exe
KVOL.exe
KVFW.exe
TBMon.exe
kav32.exe
kvwsc.exe
CCAPP.exe
EGHOST.exe
KRegEx.exe
kavsvc.exe
VPTray.exe
RAVMON.exe
KavPFW.exe
SHSTAT.exe
RavTask.exe
TrojDie.kxp
Iparmor.exe
MAILMON.exe
MCAGENT.exe
KAVPLUS.exe
RavMonD.exe
Rtvscan.exe
Nvsvc32.exe
KVMonXP.exe
Kvsrvxp.exe
CCenter.exe
KpopMon.exe
RfwMain.exe
KWATCHUI.exe
MCVSESCN.exe
MSKAGENT.exe
kvolself.exe
KVCenter.kxp
kavstart.exe
RAVTIMER.exe
RRfwMain.exe
FireTray.exe
UpdaterUI.exe
KVSrvXp_1.exe
RavService.exe
8,删启动项
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
RavTask
KvMonXP
YLive.exe
yassistse
KAVPersonal50
NTdhcp
WinHoxt
