sxs。exe病毒的查杀～

Mysoft

近日中了一个SXS病毒，很顽固的家伙，能将你所有的防护软件关闭，甚至重新安装系统也没有解决，几经周折，终于搞定，特将找到的有用之资料共享大家。

sxs.exe病毒手动删除方法

有史以来第一次遭遇如此顽固的病毒，网上找了找，没有统一的名字，瑞星称为 Trojan.PSW.QQPass.pqb 病毒，我就叫它 sxs.exe病毒吧
重装系统后，双击分区盘又中了，郁闷，瑞星自动关闭无法打开，决定手动将其删除
现象：系统文件隐藏无法显示，双击盘符无反映，任务管理器发现 sxs.exe 或者 svohost.exe （与系统进程 svchost.exe 一字之差），杀毒软件实时监控自动关闭并无法打开
找了网上许多方法，无法有效删除，并且没有专杀工具
手动删除“sxs.exe病毒”方法：
在以下整个过程中不得双击分区盘，需要打开时用鼠标右键——打开
一、关闭病毒进程
Ctrl + Alt + Del 任务管理器，在进程中查找 sxs 或 SVOHOST（不是SVCHOST，相差一个字母），有的话就将它结束掉
二、显示出被隐藏的系统文件
运行——regedit
HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL，将CheckedValue键值修改为1
这里要注意，病毒会把本来有效的DWORD值CheckedValue删除掉，新建了一个无效的字符串值CheckedValue，并且把键值改为0！我们将这个改为1是毫无作用的。（有部分病毒变种会直接把这个CheckedValue给删掉，只需和下面一样，自己再重新建一个就可以了）
方法：删除此CheckedValue键值，单击右键 新建——Dword值——命名为CheckedValue，然后修改它的键值为1，这样就可以选择“显示所有隐藏文件”和“显示系统文件”。
在文件夹——工具——文件夹选项中将系统文件和隐藏文件设置为显示
三、删除病毒
在分区盘上单击鼠标右键——打开，看到每个盘跟目录下有 autorun.inf 和 sxs.exe 两个文件，将其删除。
四、删除病毒的自动运行项
打开注册表 运行——regedit
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Run
下找到 SoundMam 键值，可能有两个，删除其中的键值为 C:\\WINDOWS\system32\SVOHOST.exe 的
最后到 C:\\WINDOWS\system32\ 目录下删除 SVOHOST.exe 或 sxs.exe
重启电脑后，发现杀毒软件可以打开，分区盘双击可以打开了。
五、后续
杀毒软件实时监控可以打开，但开机无法自动运行
最简单的办法，执行杀毒软件的添加删除组件——修复，即可
补充：发现许多朋友都碰到这个病毒，回头来将本文重新补充了下，希望对各位有用。
2006-8-19
2006-8-23 补充更新
瑞星已出了专杀工具，不幸中此病毒的朋友可以去下面地址，下载“橙色八月专用提取清除工具”
http://it.rising.com.cn/Channels/Service/2006-08/1154786729d36873.shtml
[QUOTE]
说明：
8月初出现了大量针对主流杀毒软件编写的恶性病毒。它们除了具有常见危害外，还会造成主流杀毒软件和个人防火墙无法打开，甚至导致杀毒时系统出现“蓝屏”、自动重启、死机等状况。
瑞星“橙色八月专用提取清除工具”专门针对此类病毒编写，可清除“QQ通行证（Trojan.PSW.QQPass）”、“传奇终结者（Trojan.PSW.Lmir）”、“密西木马（Trojan.psw.misc）”等病毒及其变种。没有安装瑞星杀毒软件的用户可免费下载使用。
注：建议您重新启动计算机，按住F8键，选择“安全模式”，进入后使用此工具杀毒。
附：病毒列表上的病毒主要针对以下安全软件
卡巴斯基
Symantec AntiVirus
瑞星
江民杀毒软件
天网防火墙个人版
噬菌体
木马克星
金山毒霸

[/QUOTE]

这是一个盗取QQ帐号密码的木马病毒，特点是可以通过可移动磁盘传播。该病毒的主要危害是盗取QQ帐户和密码；该病毒还会结束大量反病毒软件，降低系统的安全等级。
1，生成文件
%system%SVOHOST.exe
%system%winscok.dll
2，添加启动项
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
"SoundMam" = "%system%SVOHOST.exe"
3，盗取方式
键盘记录，包括软件盘；将盗取的号码和密码通过邮件发送到指定邮箱。
4，传播方式
检测系统是否有可移动磁盘，是则拷贝病毒到可移动磁盘根目录。
sxs.exe
autorun.inf
5，autorun.inf添加下列内容，达到自运行的目的。
[AutoRun]
open=sxs.exe
shellexecute=sxs.exe
6，关闭窗口名为下列的应用程序
QQKav
雅虎助手
防火墙
网镖
杀毒
病毒
木马
恶意
QQAV
噬菌体
7，结束下列进程
sc.exe
net.exe
sc1.exe
net1.exe
PFW.exe
Kav.exe
KVOL.exe
KVFW.exe
TBMon.exe
kav32.exe
kvwsc.exe
CCAPP.exe
EGHOST.exe
KRegEx.exe
kavsvc.exe
VPTray.exe
RAVMON.exe
KavPFW.exe
SHSTAT.exe
RavTask.exe
TrojDie.kxp
Iparmor.exe
MAILMON.exe
MCAGENT.exe
KAVPLUS.exe
RavMonD.exe
Rtvscan.exe
Nvsvc32.exe
KVMonXP.exe
Kvsrvxp.exe
CCenter.exe
KpopMon.exe
RfwMain.exe
KWATCHUI.exe
MCVSESCN.exe
MSKAGENT.exe
kvolself.exe
KVCenter.kxp
kavstart.exe
RAVTIMER.exe
RRfwMain.exe
FireTray.exe
UpdaterUI.exe
KVSrvXp_1.exe
RavService.exe
8，删启动项
HKLMSoftwareMicrosoftWindowsCurrentVersionRun
RavTask
KvMonXP
YLive.exe
yassistse
KAVPersonal50
NTdhcp
WinHoxt
查杀方法：
首先，要显示隐藏文件
在这个：HKEY_LOCAL_MACHINESoftwareMicrosoftwindowsCurrentVersionexplorer
AdvancedFolderHiddenSHOWALL，将CheckedValue键值修改为1
还是没有用，隐藏文件还是没有显示，仔细观察发现病毒它有更狠的招数：它在修改注册表达到隐藏文件目的之后，为了稳妥起见，把本来有效的DWORD值CheckedValue删除掉，新建了一个无效的字符串值CheckedValue，并且把键值改为0（如图）！这样你以为把0改为1就会万事大吉，可是故障依旧如此！也就难怪出现以上的现象了。
正确的方法是：先检查CheckedValue的类型是否为REG_DWORD，如果不是则删掉“李鬼”CheckedValue（例如在本“案例”中，应该把类型为REG_SZ的CheckedValue删除）。然后单击右键“新建”--〉“Dword值”，并命名为CheckedValue，然后修改它的键值为1，这样就可以选择“显示所有隐藏文件”。
经过刚才一番操作，我的电脑里的隐藏文件可以看到了，假如上述方法无效，那么可能是 HKEY_LOCAL_MACHINESoftwareMicrosoftwindowsCurrentVersionexplorerAdvancedFolderHidden的数据丢失或损坏，遇到这种情况，请在Windows XP安装光盘中找到Hidden.reg，双击它，然后单击“确定”按钮，将该完整的注册表数据添加到当前系统的注册表中即可。（备注：可是我手头上的XP安装光盘找来找去都没有这个东西，假如你不幸遇到这种情况，可以尝试使用这种方法：找一部没有问题的电脑，把
HKEY_LOCAL_MACHINESoftwareMicrosoftwindowsCurrentVersionexplorerAdvancedFolderHidden这个分支导出（假如命名为1.reg）；然后备份有问题的电脑的该注册表分支；最后把1.reg导入看能否解决问题。我没试过所以不知道会不会出现什么意外，祝各位好运！假如某人能够在XP安装光盘里找到这个东西，请把文件里面的内容复制到评论里面，并且注明该XP安装光盘有没有打过SP1或者是SP2，谢谢！）
我看到在我的D：E：F：这些盘中（除了c盘）都出现了autorun.inf和sxs.exe两个文件，删除又再生.而且U盘插进去也出现这两个文件。此时杀毒软件一直是无法启动，我把金山的换成江民的，还是没用，看来是病毒限制了杀毒软件的运行，所以首先要把病毒的自动运行关掉，我也找了网上的资料，不过我试了，没有用，找不到rous.exe,我提供给你们，自己去试一下看看！
你这是修改过的ROSE病毒
可以结束SXS的进程删除，记住，用鼠标右键进入硬盘
同时按下Ctrl+Shift+Esc三个键 打开windows任务管理器
选择里面的“进程”标签
在“映像名称”下查找“sxs.exe” 但击它 再选择“结束进程”
一定要结束所有的“sxs.exe”进程
打开我的电脑 单击 工具菜单下的“文件夹选项”
单击“查看”标签 把“高级设置”中的
“隐藏受保护的操作系统文件（推荐）”前面的勾取消
并选择下面的“显示所有文件和文件夹”选项
单击“确定”
用鼠标右键点C盘（不能双击！） 选择 “打开”
删除C盘下的 “autorun.inf”文件 和“sxs.exe”文件
用鼠标右键点D盘 选择 “打开”
删除D盘下的 “autorun.inf”文件 和“sxs.exe”文件（另外有个文件也是，是个.exe 同样删了它）
……
以此类推 删除所有盘上的 AUTORUN.INF文件 和“rose.exe”文件
单击开始 选择“运行” 输入 "regedit"(没有引号) ，回车
依次展开注册表编辑器左边的 我的电脑>HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Run
删除Run项中的 ROSE （c:windowssystem32SXS.exe)这个项目
关闭注册表编辑器
然后重新启动计算机
删除硬盘上是ROSE：
按下shift键不放 插入U盘 直到电脑提示“新硬件可以使用”
打开我的电脑
这时在U盘的图标上点鼠标右键 选择“打开” （不要点自动播放或者是双击！）
删除 SXS.exe和autorun.inf文件 病毒就没有了
上面我说了这个方法对我没有用！sxs.exe没有专杀,现在只能通过注册表杀毒
打开注册表“regedit”,找到HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
有些网友说删除Run项中的 ROSE （c:windowssystem32SXS.exe)这个项目
我找了一下没找到这个Run项目，但是我看了一下在Run里面有两个"SoundMam"，而且后面给的数值不一样，一个给的是“C:\WINDOWS\system32\SVOHOST.exe”另一个是“SOUNDMAN.EXE”我想大家也发现了，肯定有问题，我看了一下，只有后面一个是正确的，前一个是豪杰超级解霸的“自动播放伺服器”的程序，看来病毒是加到这个里面了，借助自动播放到处传播！（这是我认为的，不知道对不对）于是就删除了这个项，退出注册表，打开杀毒软件，可以使用了，只是在一般杀毒时，还是找不到sxs.exe的，我用的是江民的，他有未知病毒扫描，在那里里面可以发现的，他是一种“硬盘蠕虫病毒”，删掉就行了，本来我是想截屏给大家看看的，可惜我重启了，没复制下来，哪位朋友补充一下在下面！感谢！
那还剩下autorun.inf，直接到各个硬盘删就可以了，再清空回收站就可以了，其他的都正常了，可能还有些网友系统可能出现些问题，如豪杰超级解霸的“自动播放伺服器”不能使用了，我的建议是：不要用了，就是他坏的事！要是你非要用就重新装吧！最后重新启动，可以了！

描述:这两天电脑出了问题，老是跳出啥www*。677977。coml]和www*.cd321。com的网页，同时将我的隐藏文件的显示选项锁掉，害我不能看到隐藏文件，而且监视我的邮件系统，向趋势公司发出邮件不能，用雅虎助手也不行，根本打不开，反间谍软件也是这样，而且一旦上网想找这方面的资料，开出的网页就会死掉， 真不知道该咋办了！
病毒名称 Trojan.QQMSG.WHboy.mn
　　别 名 武汉男生变种MN
　　依赖系统 WIN9X/NT/2000/XP
　　传播途径 网络传播
　　行为类型 WINDOWS下的木马程序
遍历窗体，关闭包含以下字符串的窗体：主要特征
　　“注册表”“系统配置实用程序”“QQKav”“天网”“密码防盗”“绿鹰PC”“防火墙”“进程”“网镖”“任务管理器”“杀毒”“超级兔子”“优化大师”“木马克星”“QQAV”“毒霸”“黄山IE”“腾讯公司QQ”“QQ病毒”“xleo”“whboy”“Windows 任务管理器”“ThunderRT6formDC”
　　病毒运行后将自身复制到Windows系统目录下，文件名为“svohost.exe”，同时修改注册表项目实现开机自动运行。病毒将IE的首页修改为“http://www. ***iex.com”，使用户每次打开IE都会浏览该病毒网站。该病毒会造成多种杀毒软件和常用软件无法使用，还会从“http://mp3.***o.com/228.exe”网站下载病毒文件并运行。
　　病毒一旦运行，释放自己的副本到 %windir% 目录，文件名为svohost.exe，同时修改注册表 HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun 修改键值ctfnom.exe为%windir%svohost.exe；
　　修改IE主页的默认地址
　　HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain子建下的Start Page项为http://www.joyiex.com
　　病毒的删除
　1.打开CMD.输入命令tasklist回车查看一下..果然发现了这个进程:svohost.exe(虽然他禁用了任务管理器,但在CMD下用tasklist命令还是可以查看到进程信息的)
2.关了他.输入命令taskkill /f /im svohost.exe
提示成功.
3.搜索svohost.exe这个文件(把搜索隐藏文件也勾上)搜索到后删除!似乎有两个.一个是完全大写的.一个是完全小写的.事实上还有一个程序叫lsasa.exe的也得删除.他模仿的是WINDOWS的正常进程lsass.exe.操作到这里大家应该可以打开注册表 任务管理器了
删除D：E：F：这些盘中（除了c盘）中的autorun.inf和sxs.exe两个文件
这个地址下载这2个工具:
http://free.ys168.com/?caiqcjd
txt.reg 3.9KB 恢复TXT文件关联
exefiles.rar 1.4KB 恢复EXE文件关联
备注 部分会员出现结束进程后病毒 暂时失效 但是重起后死灰复燃 请注意在造作成功后 马上利用自己的杀毒工具 或者 QQ专杀进行杀毒 因为这个时候病毒的壳被去掉了 我们可以抓住这个时机做下杀毒
4.本以为没问题了.后来还发现一个问题.他还修改了注册表的一处,使文件夹选项中对隐藏文件的设置始终为不显示隐藏文件，这么做的主要目的在于让你在WINDOWS环境下找不到被设定隐藏属性的病毒源文件.但这里还有几种手段可以找到他.1.用WINDOWS的搜索.只要在高级选项里把搜索隐藏的文件和文件夹勾上就可以找到了.2.在命令提示符里用dir /a命令也可以查看到.麻烦一点罢了.由于WINDOWS和SYSTEM32目录下文件太多.用dir命令的时候.最好再加一个参数.dir /a /p这样会更好.
我们到注册表里去把他改回正常状态.
打开注册表.找到HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL这个键.看右边.找到一个CheckedValue的值.我注意到这个该死的病毒居然把他改成了字符串值.如果你不小心的话.也许会认为改了也没用.把这个值删除.重建一个DWORD的值为CheckedValue.把他的值设为1.

[ 本帖最后由 Mysoft 于 2006-10-3 09:04 编辑 ]

f19740044

沙发
好贴
虽然不用,但也顶一下