清除猖狂的Sxs.exe病毒
針對癥狀,我先上網(wǎng)找了相關(guān)的資料,首先,要顯示隱藏文件
在這個(gè):HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\
Advanced\Folder\Hidden\SHOWALL,將CheckedValue鍵值修改為1
還是沒有用,隱藏文件還是沒有顯示,仔細(xì)觀察發(fā)現(xiàn)病毒它有更狠的招數(shù):它在修改注冊表達(dá)到隱藏文件目的之后,為了穩(wěn)妥起見,把本來有效的DWORD值CheckedValue刪除掉,新建了一個(gè)無效的字符串值CheckedValue,并且把鍵值改為0(如圖)!這樣你以為把0改為1就會(huì)萬事大吉,可是故障依舊如此!也就難怪出現(xiàn)以上的現(xiàn)象了。
正確的方法是:先檢查CheckedValue的類型是否為REG_DWORD,如果不是則刪掉“李鬼”CheckedValue(例如在本“案例”中,應(yīng)該把類型為REG_SZ的CheckedValue刪除)。然后單擊右鍵“新建”--〉“Dword值”,并命名為CheckedValue,然后修改它的鍵值為1,這樣就可以選擇“顯示所有隱藏文件”。
經(jīng)過剛才一番操作,我的電腦里的隱藏文件可以看到了,假如上述方法無效,那么可能是 HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden的數(shù)據(jù)丟失或損壞,遇到這種情況,請?jiān)赪indows XP安裝光盤中找到Hidden.reg,雙擊它,然后單擊“確定”按鈕,將該完整的注冊表數(shù)據(jù)添加到當(dāng)前系統(tǒng)的注冊表中即可。(備注:可是我手頭上的XP安裝光盤找來找去都沒有這個(gè)東西,假如你不幸遇到這種情況,可以嘗試使用這種方法:找一部沒有問題的電腦,把
HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden這個(gè)分支導(dǎo)出(假如命名為1.reg);然后備份有問題的電腦的該注冊表分支;最后把1.reg導(dǎo)入看能否解決問題。我沒試過所以不知道會(huì)不會(huì)出現(xiàn)什么意外,祝各位好運(yùn)!假如某人能夠在XP安裝光盤里找到這個(gè)東西,請把文件里面的內(nèi)容復(fù)制到評論里面,并且注明該XP安裝光盤有沒有打過SP1或者是SP2,謝謝!)
我看到在我的D:E:F:這些盤中(除了c盤)都出現(xiàn)了autorun.inf和sxs.exe兩個(gè)文件,刪除又再生.而且U盤接入也出現(xiàn)這兩個(gè)文件。此時(shí)殺毒軟件一直是無法啟動(dòng),我把金山的換成江民的,還是沒用,看來是病毒限制了殺毒軟件的運(yùn)行,所以首先要把病毒的自動(dòng)運(yùn)行關(guān)掉,我也找了網(wǎng)上的資料,不過我試了,沒有用,找不到rous.exe,我提供給你們,自己去試一下看看!
你這是修改過的ROSE病毒
可以結(jié)束SXS的進(jìn)程刪除,記住,用鼠標(biāo)右鍵進(jìn)入硬盤
同時(shí)按下Ctrl+Shift+Esc三個(gè)鍵 打開windows任務(wù)管理器
選擇里面的“進(jìn)程”標(biāo)簽
在“映像名稱”下查找“sxs.exe” 但擊它 再選擇“結(jié)束進(jìn)程”
一定要結(jié)束所有的“sxs.exe”進(jìn)程
打開我的電腦 單擊 工具菜單下的“文件夾選項(xiàng)”
單擊“查看”標(biāo)簽 把“高級設(shè)置”中的
“隱藏受保護(hù)的操作系統(tǒng)文件(推薦)”前面的勾取消
并選擇下面的“顯示所有文件和文件夾”選項(xiàng)
單擊“確定”
用鼠標(biāo)右鍵點(diǎn)C盤(不能雙擊!) 選擇 “打開”
刪除C盤下的 “autorun.inf”文件 和“sxs.exe”文件
用鼠標(biāo)右鍵點(diǎn)D盤 選擇 “打開”
刪除D盤下的 “autorun.inf”文件 和“sxs.exe”文件(另外有個(gè)文件也是,是個(gè).exe 同樣刪了它)
……
以此類推 刪除所有盤上的 AUTORUN.INF文件 和“rose.exe”文件
單擊開始 選擇“運(yùn)行” 輸入 "regedit"(沒有引號) ,回車
依次展開注冊表編輯器左邊的 我的電腦>HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Run
刪除Run項(xiàng)中的 ROSE (c:\windows\system32\SXS.exe)這個(gè)項(xiàng)目
關(guān)閉注冊表編輯器
然后重新啟動(dòng)計(jì)算機(jī)
刪除硬盤上是ROSE:
按下shift鍵不放 插入U(xiǎn)盤 直到電腦提示“新硬件可以使用”
打開我的電腦
這時(shí)在U盤的圖標(biāo)上點(diǎn)鼠標(biāo)右鍵 選擇“打開” (不要點(diǎn)自動(dòng)播放或者是雙擊!)
刪除 SXS.exe和autorun.inf文件 病毒就沒有了
上面我說了這個(gè)方法對我沒有用!sxs.exe沒有專殺,現(xiàn)在只能通過注冊表殺毒
打開注冊表“regedit”,找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
有些網(wǎng)友說刪除Run項(xiàng)中的 ROSE (c:\windows\system32\SXS.exe)這個(gè)項(xiàng)目
我找了一下沒找到這個(gè)Run項(xiàng)目,但是我看了一下在Run里面有兩個(gè)"SoundMam",而且后面給的數(shù)值不一樣,一個(gè)給的是“C:\\WINDOWS\\system32\\SVOHOST.exe”另一個(gè)是“SOUNDMAN.EXE”我想大家也發(fā)現(xiàn)了,肯定有問題,我看了一下,只有后面一個(gè)是正確的,前一個(gè)是豪杰超級解霸的“自動(dòng)播放伺服器”的程序,看來病毒是加到這個(gè)里面了,借助自動(dòng)播放到處傳播!(這是我認(rèn)為的,不知道對不對)于是就刪除了這個(gè)項(xiàng),退出注冊表,打開殺毒軟件,可以使用了,只是在一般殺毒時(shí),還是找不到sxs.exe的,我用的是江民的,他有未知病毒掃描,在那里里面可以發(fā)現(xiàn)的,他是一種“硬盤蠕蟲病毒”,刪掉就行了,本來我是想截屏給大家看看的,可惜我重啟了,沒復(fù)制下來,哪位朋友補(bǔ)充一下在下面!感謝!
那還剩下autorun.inf,直接到各個(gè)硬盤刪就可以了,再清空回收站就可以了,其他的都正常了,可能還有些網(wǎng)友系統(tǒng)可能出現(xiàn)些問題,如豪杰超級解霸的“自動(dòng)播放伺服器”不能使用了,我的建議是:不要用了,就是他壞的事!要是你非要用就重新裝吧!最后重新啟動(dòng),可以了!
木馬遠(yuǎn)程控制受害電腦 請留意密碼安全
中關(guān)村在線
作者:中關(guān)村在線 sheyin
CNET中國.ZOL 10月8日報(bào)道:北京信息安全測評中心、金山毒霸聯(lián)合發(fā)布2006年10月8日熱門病毒。
今日提醒用戶特別注意以下病毒:“灰鴿子變種ir”(Hack.Huigezi.ir)和“下載者變種cy”(Troj.Downloader.cy)。
“灰鴿子變種ir”(Hack.Huigezi.ir)黑客病毒,連接遠(yuǎn)程主機(jī) 8000端口等待黑客命令。
“下載者變種cy”(Troj.Downloader.cy)木馬病毒,定時(shí)彈出網(wǎng)頁并下載插件運(yùn)行。
另據(jù)瑞星全球反病毒監(jiān)測網(wǎng)介紹,今日有兩個(gè)病毒特別值得注意,它們是:“密西木馬變種KEV(Trojan.PSW.Misc.kev)”和“詭秘釋放器變種BQO(Dropper.Delf.bqo)”病毒。“密西木馬變種KEV”是盜號木馬,可盜取多種網(wǎng)絡(luò)游戲的帳號和密碼,給游戲玩家?guī)頁p失。“詭秘釋放器變種BQO”病毒會(huì)釋放出其他的病毒及惡意程序,它們會(huì)對用戶的信息安全造成威脅。
http://db.kingsoft.com/(金山毒霸)、http://www.rising.com.cn(瑞星)
金山本日熱門病毒:
“灰鴿子變種ir”(Hack.Huigezi.ir) 威脅級別:★★
據(jù)金山毒霸反病毒工程師介紹,該病毒是一個(gè)黑客病毒。該病毒將復(fù)制自身到%systemroot%Hacker.com.cn.ini并運(yùn)行,刪除原病毒文件;修改注冊表使其添加命名為windows update系統(tǒng)服務(wù),并設(shè)置為開機(jī)自啟動(dòng)。受感染主機(jī)可連接遠(yuǎn)程主機(jī)的8000端口等待黑客命令,使用戶主機(jī)完全受控于黑客。
“下載者變種cy”(Troj.Downloader.cy) 威脅級別:★
據(jù)金山毒霸反病毒工程師介紹,該病毒是一個(gè)木馬病毒。病毒運(yùn)行后會(huì)釋放iexp1ore.exe到%system%目錄,以此來偽裝自己。該病毒通過修改注冊表,添加ServiceRemote的系統(tǒng)服務(wù)來實(shí)現(xiàn)開機(jī)自啟動(dòng)。病毒運(yùn)行后會(huì)從網(wǎng)絡(luò)上下載一配置文件,并定時(shí)彈出網(wǎng)頁和下載插件。
金山反病毒工程師建議:
1. 請您不要輕易運(yùn)行從Internet下載后未經(jīng)殺毒軟件處理的文件,強(qiáng)烈建議您先用最新病毒庫的毒霸進(jìn)行掃描,然后決定是否運(yùn)行。
2. 當(dāng)操縱者控制用戶電腦時(shí),就可直接導(dǎo)致用戶的信息被泄露, 為了您系統(tǒng)和個(gè)人信息的安全,專家建議用戶在打開一個(gè)陌生文件時(shí),請用最新病毒庫的殺軟進(jìn)行掃描。
瑞星本日熱門病毒:
“密西木馬變種KEV(Trojan.PSW.Misc.kev)”病毒:警惕程度★★★,盜號木馬,通過網(wǎng)絡(luò)傳播,依賴系統(tǒng):WIN 9X/NT/2000/XP。
這是一個(gè)盜號木馬,運(yùn)行后它會(huì)將自身復(fù)制到系統(tǒng)目錄中,同時(shí)修改注冊表啟動(dòng)項(xiàng)目以實(shí)現(xiàn)隨系統(tǒng)啟動(dòng)自動(dòng)運(yùn)行。該盜號木馬會(huì)在后臺(tái)運(yùn)行,并試圖盜取網(wǎng)絡(luò)游戲《傳奇》、《傳奇世界》、《魔獸》等的帳號和密碼,給游戲玩家?guī)頁p失。
“詭秘釋放器變種BQO(Dropper.Delf.bqo)”病毒:警惕程度★★★,病毒釋放器,通過網(wǎng)絡(luò)傳播,依賴系統(tǒng):WIN9X/NT/2000/XP。
病毒啟動(dòng)后會(huì)從體內(nèi)釋放出病毒文件。該病毒釋放的其他病毒可能會(huì)竊取用戶的銀行賬號、密碼等信息。染毒的計(jì)算機(jī)還可能被黑客遠(yuǎn)程控制,如添加刪除文件、重新啟動(dòng)計(jì)算機(jī)等。
瑞星反病毒專家建議:
1、建立良好的安全習(xí)慣,不打開可疑郵件和可疑網(wǎng)站;
2、很多病毒利用漏洞傳播,一定要及時(shí)給系統(tǒng)打補(bǔ)丁;
3、安裝專業(yè)的防毒軟件升級到最新版本,并打開實(shí)時(shí)監(jiān)控程序;
4、安裝帶有“木馬墻”功能的個(gè)人防火墻軟件,防止密碼丟失。
遠(yuǎn)離危險(xiǎn) 教你使用局域網(wǎng)“隱身術(shù)”
俗話說“家賊難防”,在局域網(wǎng)中真正對自己的信息安全構(gòu)成威脅的不是遙遠(yuǎn)的駭客,而是自己身邊的“人”。由于網(wǎng)上鄰居共享文件在局域網(wǎng)中的應(yīng)用非常廣泛,為了更好地保護(hù)自己,在共享文件時(shí)我們需要隱身術(shù)的幫助來防止內(nèi)部的惡意攻擊。
初級隱藏 隱藏共享文件夾
不要認(rèn)為為共享文件夾加上密碼就能保證安全,Windows的漏洞多著呢,Internet上很容易下載到“密碼破解器”。如果別人從網(wǎng)上鄰居中看不到你的共享文件夾那就會(huì)安全多了。要實(shí)現(xiàn)這種效果一點(diǎn)都不難:用鼠標(biāo)右擊要隱藏共享的文件夾,點(diǎn)擊“共享”選項(xiàng),在共享名中填入共享文件夾的名稱,然后在后面加上美元符“$”,例如“共享文件$”,再填入密碼。如果別人要訪問你的共享的文件,必須在地址欄中輸入“\\計(jì)算機(jī)名稱(或者是IP地址)\共享文件$,回車,填入密碼確認(rèn),才能訪問你的文件夾。
高級隱藏 無共享標(biāo)志共享
用上面介紹的方法,別人通過網(wǎng)上鄰居是不能看到你共享的文件夾了,不過如果有一天讓他發(fā)現(xiàn)在你的電腦上還有共享文件夾存在(被共享文件夾有被共享的特殊標(biāo)志,下面有個(gè)小手托著,與一般文件夾有明顯的區(qū)別),而從網(wǎng)上鄰居上卻看不到你共享的文件夾,那么他很可能會(huì)發(fā)揮出自己的鉆研精神,想盡辦法把你共享的文件夾打開。如果能將共享文件夾的小手標(biāo)志去掉,讓共享文件夾和普通文件夾一樣,讓別人看不出它是共享的,那安全就更有了保障。下面以無共享標(biāo)志共享D盤為例談?wù)劸唧w的做法:首先利用本文一開始介紹的初級隱身術(shù)——隱藏共享文件夾的方法設(shè)置D盤為隱藏共享,然后打開注冊表編輯器,依次打開“HKEY_LOCAL_MACHINE\SoftWare\Microsoft\Windows\CurrentVersion\Network\LanMan\d$” (也可以利用注冊表的查找功能直接查找主鍵“d$”)。將DWORD值“Flags”的鍵值由“192”改為“302”,重新啟動(dòng)Windows就能生效。如果要訪問,只要在地址欄中輸入“\\計(jì)算機(jī)名\d$”,就可以看到D盤共享的內(nèi)容了。這時(shí)你會(huì)發(fā)現(xiàn),即使本機(jī)的資源瀏覽器里也看不出D盤被共享,是不是很神奇?除了自己,還有誰知道你的D盤是共享的呢?
360安全衛(wèi)士調(diào)高百狗查殺等級 39/40周
360安全中心(http://www.360safe.com )發(fā)布:在國慶長假前后,國內(nèi)惡意軟件市場比較平穩(wěn),在9月26到10月8號之間的兩周時(shí)間內(nèi)沒有發(fā)現(xiàn)重大“疫情”,360安全衛(wèi)士方面除了截獲了3721.*.dll變種、LinkMedia兩款新型惡意軟件并針對性處理外,還就目前輿論關(guān)注的百狗軟件進(jìn)行了查殺級別的調(diào)整,從之前的插件級查殺提高至惡意軟件級查殺;雅虎系軟件以周卸載140萬次位居榜首。
來自360安全中心運(yùn)營維護(hù)小組的數(shù)據(jù)表明,目前360安全衛(wèi)士的累計(jì)安裝量超過580萬,受國慶期間的影響網(wǎng)民安裝速度稍有放緩,預(yù)計(jì)會(huì)在節(jié)后隨著360安全衛(wèi)士2.0正式版的發(fā)布,有新的一輪快速增長。
在此我們建議廣大網(wǎng)民建立良好的軟件安裝習(xí)慣,安裝下載軟件時(shí)盡量到官方網(wǎng)站和正規(guī)下載站下載;及時(shí)給系統(tǒng)打安全補(bǔ)?。欢ㄆ谑褂?60安全為您的電腦做檢查。
【重點(diǎn)惡意軟件播報(bào)】
百狗
惡意軟件名稱: 百狗
危險(xiǎn)等級:★★★★
惡意軟件類型: 瀏覽器劫持
所屬公司: www.baigoo.com
惡意行為: 強(qiáng)制安裝
傳播途徑: 捆綁安裝
3721.*.dll變種
惡意軟件名稱:3721.*.dll變種
危險(xiǎn)等級:★★★★★★
惡意軟件類型: 木馬
所屬公司: 未知
惡意行為: 強(qiáng)制安裝、無法徹底刪除、添加收藏夾、自動(dòng)變形
傳播途徑: 捆綁安裝
LinkMedia
惡意軟件名稱:LinkMedia
危險(xiǎn)等級:★★★★★★
惡意軟件類型:廣告軟件
所屬公司: 未知
惡意行為: 強(qiáng)制安裝、彈出廣告、無法徹底刪除
傳播途徑: 捆綁安裝
【用戶查殺惡意軟件TOP10播報(bào)】
雅虎助手
惡意軟件名稱:雅虎助手
危險(xiǎn)等級:★★★★★★
所屬公司:雅虎中國
用戶自主周卸載量:707423
網(wǎng)絡(luò)實(shí)名
惡意軟件名稱:網(wǎng)絡(luò)實(shí)名
危險(xiǎn)等級: ★★★★★★
所屬公司: 雅虎中國
用戶自主周卸載量:699885
Cnnic中文上網(wǎng)
惡意軟件名稱: Cnnic中文上網(wǎng)
危險(xiǎn)等級:★★★★★★
所屬公司:中國互聯(lián)網(wǎng)絡(luò)信息中心
用戶自主周卸載量:608226
Cnnic無憂上網(wǎng)工具條
惡意軟件名稱:Cnnic無憂上網(wǎng)工具條
危險(xiǎn)等級:★★★★★★
所屬公司:中國互聯(lián)網(wǎng)絡(luò)信息中心
用戶自主周卸載量:555081
百度超級搜霸
惡意軟件名稱:百度超級搜霸
危險(xiǎn)等級: ★★★★★★
所屬公司:百度
用戶自主周卸載量:439444
u1.sky99.cn
惡意軟件名稱: u1.sky99.cn
危險(xiǎn)等級:★★★★★★
所屬公司: 未知
用戶自主周卸載量: 291021
易趣購物按鈕
惡意軟件名稱:易趣購物按鈕
危險(xiǎn)等級: ★★★★
所屬公司:易趣
用戶自主周卸載量:271056
百度搜索伴侶
惡意軟件名稱:百度搜索伴侶
危險(xiǎn)等級: ★★★★★★
所屬公司:百度
用戶自主周卸載量:256091
中搜地址欄搜索
惡意軟件名稱:中搜地址欄搜索
危險(xiǎn)等級: ★★★★★★
所屬公司:中搜
用戶自主周卸載量:247445
DMCast桌面?zhèn)髅?IE-BAR
惡意軟件名稱:DMCast桌面?zhèn)髅?IE-BAR
危險(xiǎn)等級: ★★★★★★
所屬公司: 千橡
用戶自主周卸載量:242774
相關(guān)文章
SREng用法簡要說明圖文教程(如何獲得日志/刪啟動(dòng)項(xiàng)目/服務(wù)/驅(qū)動(dòng)/BHO等)
SREng用法簡要說明圖文教程(如何獲得日志/刪啟動(dòng)項(xiàng)目/服務(wù)/驅(qū)動(dòng)/BHO等)...2007-04-04發(fā)現(xiàn)SoundMan.exe病毒附刪除方法
發(fā)現(xiàn)SoundMan.exe病毒附刪除方法...2007-10-10提供一個(gè)可以將DocX轉(zhuǎn)為doc的文檔轉(zhuǎn)換器 地址
在微軟最新辦公軟件MS office 2007中啟用了一種新的文檔格式,名為Microsoft Open Office XML格式,也就是.docx。這種格式無法與低版本的MS Word互相兼容,或者是其他的一些字處理軟件如Openoffice、Lotus123及NeoOffice等等。2007-05-05關(guān)于木馬群cmdbcs.exe,wsttrs.exe,msccrt.exe,winform.exe,upxdnd.exe
關(guān)于木馬群cmdbcs.exe,wsttrs.exe,msccrt.exe,winform.exe,upxdnd.exe等的清除方法...2007-04-04