|
“系统盘外其他盘符双击无法打开”是一种叫sxs.exe病毒所致(瑞星和江民都定义为Trojan/PSW.QQPass病毒 ),现在网上查找一些资料后一起整理如下,希望可以成为有效的整理方案:
症状:
一、在d、e、f等非系统盘右键菜单生成AUTO选项,并在个盘下面生成autorun.inf和sxs.exe两个隐藏文件。
当寒冰第一次遇上这个病毒时,由于有了u盘auto 病毒的查杀经验,通过把“文件夹选项”中的
“隐藏受保护的操作系统文件(推荐)”前面的勾取消,并选择下面的“显示所有文件和文件夹”,明显看到autorun.inf,打开autorun.inf,里面写着
[AutoRun]
open=sxs.exe
shellexecute=sxs.exe
由此判定另一个文件sxs.exe为同谋,且为真正元凶。意思就是当你双击硬盘盘符,或者你选择“AUTO”打开时,程序自动执行sxs.exe文件,也就是运行病毒了,所以,就算你把c盘格式化,只要你双击其他盘符,马上病毒就重新运作,走遍全盘了,也摆脱了不少网友一味重装就天下大吉的“谎言”。
二、杀毒程序无法运行
发现中毒后,马上启动朋友的瑞星查杀,可是,当界面一闪而过后,什么都没有了(后来连安装和卸载都无法正常进行),后来查资料才知道该病毒可以关闭窗口名为下列的应用程序:“QQKav 、雅虎助手、 防火墙、网镖、杀毒、病毒、木马、恶意、QQAV、噬菌体”,同时也可以结束下列进程:
sc.exe 、net.exe 、sc1.exe、net1.exe 、PFW.exe 、Kav.exe 、KVOL.exe 、KVFW.exe 、
TBMon.exe 、kav32.exe 、kvwsc.exe、 CCAPP.exe、EGHOST.exe 、KRegEx.exe 、kavsvc.exe 、VPTray.exe 、RAVMON.exe、 KavPFW.exe、SHSTAT.exe、RavTask.exe 、
TrojDie.kxp 、Iparmor.exe、 MAILMON.exe、 MCAGENT.exe、 KAVPLUS.exe 、RavMonD.exe 、Rtvscan.exe 、Nvsvc32.exe 、KVMonXP.exe 、Kvsrvxp.exe 、CCenter.exe 、KpopMon.exe、 RfwMain.exe 、KWATCHUI.exe、MCVSESCN.exe、
MSKAGENT.exe 、kvolself.exe 、KVCenter.kxp 、kavstart.exe 、RAVTIMER.exe 、
RRfwMain.exe 、FireTray.exe 、UpdaterUI.exe 、KVSrvXp_1.exe 、RavService.exe
换句话说,当前的主流杀软和防火墙都是其查杀对象,包括金山,卡吧,瑞星,江民,天网等等都无法正常启动的。
三、添加启动项
查看系统启动项,看到一个叫Soundmam的启动项,可是文件却是指向c:windows/system32,诈一看好像是声卡的驱动哦,不过朋友的机没有这个声卡驱动的啊,而且仔细一看,原来指向的文件是“SVOHOST.exe”,这下一看更加肯定了,又是一个假冒“svchost.exe”的骗子。 病毒报告
通俗名称:SXS.EXE
官方名称:Trojan/PSW.QQPass
作恶目的:一个盗取QQ帐号密码的木马病毒,特点是可以通过可移动磁盘传播。该病毒的主要危害是盗取QQ帐户和密码;该病毒还会结束大量反病毒软件,降低系统的安全等级。(不过很奇怪,在中毒的机子里,5个机主的QQ全部一切平安,只有2部机会自动发送一个正规的网页链接,相信是为了该网站增加流量而做的病毒营销,其中一个发送以下内容:“如果你能看到圆图说明你运气一直不错,如果是方图,说明你今天运气很好,如果什么也没有,那就别怪我啊。。。。hxxp://down.pjon.com/index.html ”)
极端作恶:侵入还原系统,更有甚者会侵入硬盘的GHO文件(网上传闻,寒冰也无法证实),也就是说,你的ghost系统已经不干净了,建议中毒者ghost还原前再检验一次MD5值,如果证实被感染,请使用另一版本安装!!!
而且最近一部机删除后竟然一进登录界面(也就是看到“欢迎使用”时)音箱发出开机音乐,但过了一两秒,音箱发出关机音乐。然后出现选择用户界面,无论选择那一个用户都是同样的状态,在“安全模式”下也是一样,最后也只好重装了,不过,在那部机寒冰也了解了最多东西了。
作恶手段:
1,生成文件
%system%\SVOHOST.exe
%system%\winscok.dll
2,添加启动项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"SoundMam" = "%system%\SVOHOST.exe"
3,盗取方式
键盘记录,包括软件盘;将盗取的号码和密码通过邮件发送到指定邮箱。
4,传播方式
检测系统是否有可移动磁盘,是则拷贝病毒到可移动磁盘根目录。
sxs.exe
autorun.inf
5,autorun.inf添加下列内容,达到自运行的目的。
[AutoRun]
open=sxs.exe
shellexecute=sxs.exe
6,关闭窗口名为下列的应用程序 (如上)
7,结束下列进程(如上)
8,删启动项
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
RavTask
KvMonXP
YLive.exe
yassistse
KAVPersonal50
NTdhcp
WinHoxt
解决方案:
方法一:针对以上症状,寒冰先上网找了相关的资料
1.显示隐藏病毒文件
开始-运行-输入regedit,打开注册表编辑器,找到以下键值HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL,将CheckedValue键值修改为1
如果有些机子没效果,隐藏文件还是没有显示的话,应该就是病毒它用了更狠的招数:它在修改注册表达到隐藏文件目的之后,为了稳妥起见,把本来有效的DWORD值CheckedValue删除掉,新建了一个无效的字符串值CheckedValue,并且把键值改为0!这样你以为把0改为1就会万事大吉,可是故障依旧如此!也就难怪出现以上的现象了。
正确的方法是:先检查CheckedValue的类型是否为REG_DWORD,如果不是则删掉“李鬼”CheckedValue(例如在本“案例”中,应该把类型为REG_SZ的CheckedValue删除)。然后单击右键“新建”--〉“Dword值”,并命名为CheckedValue,然后修改它的键值为1,这样就可以选择“显示所有隐藏文件”。
2.清楚病毒文件
现在可以看到在我的D:E:F:G:这些盘中(除了c盘)都出现了autorun.inf和sxs.exe两个文件,删除又再生.而且杀毒软件一直是无法启动,看来是病毒限制了杀毒软件的运行,所以首先要把病毒的自动运行关掉了。
据说这是修改过的ROSE病毒,可以先结束SXS和SVOHOST(记住不是系统的svchost哦)的进程删除
打开我的电脑,单击工具菜单下的“文件夹选项”,单击“查看”标签 把“高级设置”中的“隐藏受保护的操作系统文件(推荐)”前面的勾取消掉,并选择下面的“显示所有文件和文件夹”选项,单击确定
用鼠标右键点C盘(不能双击!) 选择 “打开”,删除C盘下的 “autorun.inf”文件 和“sxs.exe”文件,该病毒在c盘留下的文件为%SystemRoot%\System32\WINSCOK.DLL和%SystemRoot%\System32\SVOHOST.EXE,至于是否有其他病毒文件,寒冰技术有限也无法获知,如果以后有进一步变种或者新发现,一定会及时发布新的批处理文件。
至于其他盘,以d盘为例,用鼠标右键点D盘 选择 “打开”,删除D盘下的 “autorun.inf”文件 和“sxs.exe”文件
……
以此类推 删除所有盘上的 AUTORUN.INF文件 和“rose.exe”文件
3.清理启动项
单击开始-“运行” 输入 "regedit"(没有引号) ,回车
依次展开注册表编辑器左边的HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Run
删除Run项中的 ROSE (c:\windows\system32\SXS.exe)和soundmam这个项目(不一定有的)
然后重新启动计算机
上面我说的这个方法不一定奏效!sxs.exe没有专杀,一来建议各位使用瑞星和江民查杀,而在此重复提醒,正常模式是无法启动杀软的,只能在安全模式下进行;二来建议处理完其他盘的病毒文件后重新安装系统,寒冰所整理的批处理文件基本能清除c盘以外的所有病毒及在c盘发现的病毒文件,但是对于c盘的残留文件,恐怕病毒变种会进一步生成新文件,所以,建议各位保持杀软更新,及时查杀!!! 声明:本人没中过,所以也就没试过,如有问题,本人不负责! | 
沪公网安备 31011702000001号 沪ICP备11019229号-2
发表于 2007-10-18 19:45
楼主