清除猖狂的Sxs.exe病毒
清除猖狂的Sxs.exe病毒
发布时间:2016-12-26 来源:查字典编辑
摘要:针对症状,我先上网找了相关的资料,首先,要显示隐藏文件在这个:HKEY_LOCAL_MACHINESoftwareMicrosoftwind...

针对症状,我先上网找了相关的资料,首先,要显示隐藏文件

在这个:HKEY_LOCAL_MACHINESoftwareMicrosoftwindowsCurrentVersionexplorer

AdvancedFolderHiddenSHOWALL,将CheckedValue键值修改为1

还是没有用,隐藏文件还是没有显示,仔细观察发现病毒它有更狠的招数:它在修改注册表达到隐藏文件目的之后,为了稳妥起见,把本来有效的DWORD值CheckedValue删除掉,新建了一个无效的字符串值CheckedValue,并且把键值改为0(如图)!这样你以为把0改为1就会万事大吉,可是故障依旧如此!也就难怪出现以上的现象了。

正确的方法是:先检查CheckedValue的类型是否为REG_DWORD,如果不是则删掉“李鬼”CheckedValue(例如在本“案例”中,应该把类型为REG_SZ的CheckedValue删除)。然后单击右键“新建”--〉“Dword值”,并命名为CheckedValue,然后修改它的键值为1,这样就可以选择“显示所有隐藏文件”。

经过刚才一番操作,我的电脑里的隐藏文件可以看到了,假如上述方法无效,那么可能是HKEY_LOCAL_MACHINESoftwareMicrosoftwindowsCurrentVersionexplorerAdvancedFolderHidden的数据丢失或损坏,遇到这种情况,请在WindowsXP安装光盘中找到Hidden.reg,双击它,然后单击“确定”按钮,将该完整的注册表数据添加到当前系统的注册表中即可。(备注:可是我手头上的XP安装光盘找来找去都没有这个东西,假如你不幸遇到这种情况,可以尝试使用这种方法:找一部没有问题的电脑,把

HKEY_LOCAL_MACHINESoftwareMicrosoftwindowsCurrentVersionexplorerAdvancedFolderHidden这个分支导出(假如命名为1.reg);然后备份有问题的电脑的该注册表分支;最后把1.reg导入看能否解决问题。我没试过所以不知道会不会出现什么意外,祝各位好运!假如某人能够在XP安装光盘里找到这个东西,请把文件里面的内容复制到评论里面,并且注明该XP安装光盘有没有打过SP1或者是SP2,谢谢!)

我看到在我的D:E:F:这些盘中(除了c盘)都出现了autorun.inf和sxs.exe两个文件,删除又再生.而且U盘插进去也出现这两个文件。此时杀毒软件一直是无法启动,我把金山的换成江民的,还是没用,看来是病毒限制了杀毒软件的运行,所以首先要把病毒的自动运行关掉,我也找了网上的资料,不过我试了,没有用,找不到rous.exe,我提供给你们,自己去试一下看看!

你这是修改过的ROSE病毒

可以结束SXS的进程删除,记住,用鼠标右键进入硬盘

同时按下Ctrl+Shift+Esc三个键打开windows任务管理器

选择里面的“进程”标签

在“映像名称”下查找“sxs.exe”但击它再选择“结束进程”

一定要结束所有的“sxs.exe”进程

打开我的电脑单击工具菜单下的“文件夹选项”

单击“查看”标签把“高级设置”中的

“隐藏受保护的操作系统文件(推荐)”前面的勾取消

并选择下面的“显示所有文件和文件夹”选项

单击“确定”

用鼠标右键点C盘(不能双击!)选择“打开”

删除C盘下的“autorun.inf”文件和“sxs.exe”文件

用鼠标右键点D盘选择“打开”

删除D盘下的“autorun.inf”文件和“sxs.exe”文件(另外有个文件也是,是个.exe同样删了它)

……

以此类推删除所有盘上的AUTORUN.INF文件和“rose.exe”文件

单击开始选择“运行”输入"regedit"(没有引号),回车

依次展开注册表编辑器左边的我的电脑>HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Run

删除Run项中的ROSE(c:windowssystem32SXS.exe)这个项目

关闭注册表编辑器

然后重新启动计算机

删除硬盘上是ROSE:

按下shift键不放插入U盘直到电脑提示“新硬件可以使用”

打开我的电脑

这时在U盘的图标上点鼠标右键选择“打开”(不要点自动播放或者是双击!)

删除SXS.exe和autorun.inf文件病毒就没有了

上面我说了这个方法对我没有用!sxs.exe没有专杀,现在只能通过注册表杀毒

打开注册表“regedit”,找到HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

有些网友说删除Run项中的ROSE(c:windowssystem32SXS.exe)这个项目

我找了一下没找到这个Run项目,但是我看了一下在Run里面有两个"SoundMam",而且后面给的数值不一样,一个给的是“C:WINDOWSsystem32SVOHOST.exe”另一个是“SOUNDMAN.EXE”我想大家也发现了,肯定有问题,我看了一下,只有后面一个是正确的,前一个是豪杰超级解霸的“自动播放伺服器”的程序,看来病毒是加到这个里面了,借助自动播放到处传播!(这是我认为的,不知道对不对)于是就删除了这个项,退出注册表,打开杀毒软件,可以使用了,只是在一般杀毒时,还是找不到sxs.exe的,我用的是江民的,他有未知病毒扫描,在那里里面可以发现的,他是一种“硬盘蠕虫病毒”,删掉就行了,本来我是想截屏给大家看看的,可惜我重启了,没复制下来,哪位朋友补充一下在下面!感谢!

那还剩下autorun.inf,直接到各个硬盘删就可以了,再清空回收站就可以了,其他的都正常了,可能还有些网友系统可能出现些问题,如豪杰超级解霸的“自动播放伺服器”不能使用了,我的建议是:不要用了,就是他坏的事!要是你非要用就重新装吧!最后重新启动,可以了!

木马远程控制受害电脑请留意密码安全

中关村在线

作者:中关村在线sheyin

CNET中国.ZOL10月8日报道:北京信息安全测评中心、金山毒霸联合发布2006年10月8日热门病毒。

今日提醒用户特别注意以下病毒:“灰鸽子变种ir”(Hack.Huigezi.ir)和“下载者变种cy”(Troj.Downloader.cy)。

“灰鸽子变种ir”(Hack.Huigezi.ir)黑客病毒,连接远程主机8000端口等待黑客命令。

“下载者变种cy”(Troj.Downloader.cy)木马病毒,定时弹出网页并下载插件运行。

另据瑞星全球反病毒监测网介绍,今日有两个病毒特别值得注意,它们是:“密西木马变种KEV(Trojan.PSW.Misc.kev)”和“诡秘释放器变种BQO(Dropper.Delf.bqo)”病毒。“密西木马变种KEV”是盗号木马,可盗取多种网络游戏的帐号和密码,给游戏玩家带来损失。“诡秘释放器变种BQO”病毒会释放出其他的病毒及恶意程序,它们会对用户的信息安全造成威胁。

http://db.kingsoft.com/(金山毒霸)、http://www.rising.com.cn(瑞星)

金山本日热门病毒:

“灰鸽子变种ir”(Hack.Huigezi.ir)威胁级别:★★

据金山毒霸反病毒工程师介绍,该病毒是一个黑客病毒。该病毒将复制自身到%systemroot%Hacker.com.cn.ini并运行,删除原病毒文件;修改注册表使其添加命名为windowsupdate系统服务,并设置为开机自启动。受感染主机可连接远程主机的8000端口等待黑客命令,使用户主机完全受控于黑客。

“下载者变种cy”(Troj.Downloader.cy)威胁级别:★

据金山毒霸反病毒工程师介绍,该病毒是一个木马病毒。病毒运行后会释放iexp1ore.exe到%system%目录,以此来伪装自己。该病毒通过修改注册表,添加ServiceRemote的系统服务来实现开机自启动。病毒运行后会从网络上下载一配置文件,并定时弹出网页和下载插件。

金山反病毒工程师建议:

1.请您不要轻易运行从Internet下载后未经杀毒软件处理的文件,强烈建议您先用最新病毒库的毒霸进行扫描,然后决定是否运行。

2.当操纵者控制用户电脑时,就可直接导致用户的信息被泄露,为了您系统和个人信息的安全,专家建议用户在打开一个陌生文件时,请用最新病毒库的杀软进行扫描。

瑞星本日热门病毒:

“密西木马变种KEV(Trojan.PSW.Misc.kev)”病毒:警惕程度★★★,盗号木马,通过网络传播,依赖系统:WIN9X/NT/2000/XP。

这是一个盗号木马,运行后它会将自身复制到系统目录中,同时修改注册表启动项目以实现随系统启动自动运行。该盗号木马会在后台运行,并试图盗取网络游戏《传奇》、《传奇世界》、《魔兽》等的帐号和密码,给游戏玩家带来损失。

“诡秘释放器变种BQO(Dropper.Delf.bqo)”病毒:警惕程度★★★,病毒释放器,通过网络传播,依赖系统:WIN9X/NT/2000/XP。

病毒启动后会从体内释放出病毒文件。该病毒释放的其他病毒可能会窃取用户的银行卡账号、密码等信息。染毒的计算机还可能被黑客远程控制,如添加删除文件、重新启动计算机等。

瑞星反病毒专家建议:

1、建立良好的安全习惯,不打开可疑邮件和可疑网站;

2、很多病毒利用漏洞传播,一定要及时给系统打补丁;

3、安装专业的防毒软件升级到最新版本,并打开实时监控程序;

4、安装带有“木马墙”功能的个人防火墙软件,防止密码丢失。

远离危险教你使用局域网“隐身术”

俗话说“家贼难防”,在局域网中真正对自己的信息安全构成威胁的不是遥远的骇客,而是自己身边的“人”。由于网上邻居共享文件在局域网中的应用非常广泛,为了更好地保护自己,在共享文件时我们需要隐身术的帮助来防止内部的恶意攻击。

初级隐藏隐藏共享文件夹

不要认为为共享文件夹加上密码就能保证安全,Windows的漏洞多着呢,Internet上很容易下载到“密码破解器”。如果别人从网上邻居中看不到你的共享文件夹那就会安全多了。要实现这种效果一点都不难:用鼠标右击要隐藏共享的文件夹,点击“共享”选项,在共享名中填入共享文件夹的名称,然后在后面加上美元符“$”,例如“共享文件$”,再填入密码。如果别人要访问你的共享的文件,必须在地址栏中输入“计算机名称(或者是IP地址)共享文件$,回车,填入密码确认,才能访问你的文件夹。

高级隐藏无共享标志共享

用上面介绍的方法,别人通过网上邻居是不能看到你共享的文件夹了,不过如果有一天让他发现在你的电脑上还有共享文件夹存在(被共享文件夹有被共享的特殊标志,下面有个小手托着,与一般文件夹有明显的区别),而从网上邻居上却看不到你共享的文件夹,那么他很可能会发挥出自己的钻研精神,想尽办法把你共享的文件夹打开。如果能将共享文件夹的小手标志去掉,让共享文件夹和普通文件夹一样,让别人看不出它是共享的,那安全就更有了保障。下面以无共享标志共享D盘为例谈谈具体的做法:首先利用本文一开始介绍的初级隐身术——隐藏共享文件夹的方法设置D盘为隐藏共享,然后打开注册表编辑器,依次打开“HKEY_LOCAL_MACHINESoftWareMicrosoftWindowsCurrentVersionNetworkLanMand$”(也可以利用注册表的查找功能直接查找主键“d$”)。将DWORD值“Flags”的键值由“192”改为“302”,重新启动Windows就能生效。如果要访问,只要在地址栏中输入“计算机名d$”,就可以看到D盘共享的内容了。这时你会发现,即使本机的资源浏览器里也看不出D盘被共享,是不是很神奇?除了自己,还有谁知道你的D盘是共享的呢?

360安全卫士调高百狗查杀等级39/40周

360安全中心(http://www.360safe.com)发布:在国庆长假前后,国内恶意软件市场比较平稳,在9月26到10月8号之间的两周时间内没有发现重大“疫情”,360安全卫士方面除了截获了3721.*.dll变种、LinkMedia两款新型恶意软件并针对性处理外,还就目前舆论关注的百狗软件进行了查杀级别的调整,从之前的插件级查杀提高至恶意软件级查杀;雅虎系软件以周卸载140万次位居榜首。

来自360安全中心运营维护小组的数据表明,目前360安全卫士的累计安装量超过580万,受国庆期间的影响网民安装速度稍有放缓,预计会在节后随着360安全卫士2.0正式版的发布,有新的一轮快速增长。

在此我们建议广大网民建立良好的软件安装习惯,安装下载软件时尽量到官方网站和正规下载站下载;及时给系统打安全补丁;定期使用360安全为您的电脑做检查。

【重点恶意软件播报】

百狗

恶意软件名称:百狗

危险等级:★★★★

恶意软件类型:浏览器劫持

所属公司:www.baigoo.com

恶意行为:强制安装

传播途径:捆绑安装

3721.*.dll变种

恶意软件名称:3721.*.dll变种

危险等级:★★★★★★

恶意软件类型:木马

所属公司:未知

恶意行为:强制安装、无法彻底删除、添加收藏夹、自动变形

传播途径:捆绑安装

LinkMedia

恶意软件名称:LinkMedia

危险等级:★★★★★★

恶意软件类型:广告软件

所属公司:未知

恶意行为:强制安装、弹出广告、无法彻底删除

传播途径:捆绑安装

【用户查杀恶意软件TOP10播报】

雅虎助手

恶意软件名称:雅虎助手

危险等级:★★★★★★

所属公司:雅虎中国

用户自主周卸载量:707423

网络实名

恶意软件名称:网络实名

危险等级:★★★★★★

所属公司:雅虎中国

用户自主周卸载量:699885

Cnnic中文上网

恶意软件名称:Cnnic中文上网

危险等级:★★★★★★

所属公司:中国互联网络信息中心

用户自主周卸载量:608226

Cnnic无忧上网工具条

恶意软件名称:Cnnic无忧上网工具条

危险等级:★★★★★★

所属公司:中国互联网络信息中心

用户自主周卸载量:555081

百度超级搜霸

恶意软件名称:百度超级搜霸

危险等级:★★★★★★

所属公司:百度

用户自主周卸载量:439444

u1.sky99.cn

恶意软件名称:u1.sky99.cn

危险等级:★★★★★★

所属公司:未知

用户自主周卸载量:291021

易趣购物按钮

恶意软件名称:易趣购物按钮

危险等级:★★★★

所属公司:易趣

用户自主周卸载量:271056

百度搜索伴侣

恶意软件名称:百度搜索伴侣

危险等级:★★★★★★

所属公司:百度

用户自主周卸载量:256091

中搜地址栏搜索

恶意软件名称:中搜地址栏搜索

危险等级:★★★★★★

所属公司:中搜

用户自主周卸载量:247445

DMCast桌面传媒/IE-BAR

恶意软件名称:DMCast桌面传媒/IE-BAR

危险等级:★★★★★★

所属公司:千橡

用户自主周卸载量:242774

推荐文章
猜你喜欢
附近的人在看
推荐阅读
拓展阅读
相关阅读
网友关注
最新病毒查杀学习
热门病毒查杀学习
实用技巧子分类