Board logo

标题: [病毒查杀] SVOHOST sxs.exe 病毒的解决 [打印本页]

作者: shillan    时间: 2006-8-26 01:29     标题: SVOHOST sxs.exe 病毒的解决

中毒现象:
      svohost.exe是trojan-proxy.win32.agent.if木马相关程序,病毒运行后会将自身复制到系统目录下,文件名为“svohost.exe”和“hsoft.exe”。同时在注册表中添加run/soundmam信息,实现开机自动运行或打开文本文件时自动运行。该病毒会自动向qq好友发送内容为“让我成功申请x位qq号和q币动画,朋友推荐我的,你看看http: //www.***iex.com/abc.exe”等的消息,用户点击消息中的网址就有可能被病毒感染。同时有以下症状:
1、卡巴斯基、瑞星等杀毒软件实时监控自动关闭并且无法打开(后来知道是系统服务被禁用了);
2、双击中毒盘的盘符无反应;
3、任务管理器中可能会有sxs.exe 或者 svohost.exe (与系统进程 svchost.exe 一字之差)进程,有时没有;
4、无法查看隐藏文件(注册表被修改);
5、病毒文件在system32文件夹找不到(被隐藏);
6、在启动项里面有个svohost.exe,改启动项去掉它之后发现还是会被自动添加。

手动删除svohost.exe、sxs.exe的方法:
1、显示出被隐藏的系统文件:
运行:regedit
hkey_local_machine\software\microsoft\windows\currentversion\explorer\advanced\folder\hidden\showall,将checkedvalue键值删除(删除原因:病毒在修改注册表达到隐藏文件目的之后,把本来有效的dword值checkedvalue删除掉,新建了一个无效的字符串值checkedvalue,并且把键值改为了0),单击右键 新建——dword值——命名为checkedvalue,然后修改它的键值为1,这样就可以选择“显示所有文件和文件夹”了。
2、删除autorun.inf 和 sxs.exe:
在盘符上单击鼠标右键——打开,如果看到盘根目录下有 autorun.inf 和 sxs.exe 两个文件,将其删除。(可能删除后它又会自动生成,所以你必须先在任务管理器中结束 sxs.exe 或者 svohost.exe 的进程)。
3、去开机自动启动项:
hkey_local_machine\software\microsoft\windows\currentversion\run下找到 soundmam 键值,可能有两个,删除其中的值为 c:\windows\system32\svohost.exe 的。
4、删除svohost.exe:
到 c:\windows\system32\ 目录下删除 svohost.exe。

这样,重启电脑后,发现杀毒软件可以打开,分区盘双击可以打开了。如果杀毒软件实时监控仍无法打开,可卸载并重新安装一下杀毒软件。
作者: 测试    时间: 2006-8-28 23:31

这是一个盗取qq帐号密码的木马病毒,特点是可以通过可移动磁盘传播。该病毒的主要危害是盗取qq帐户和密码;该病毒还会结束大量反病毒软件,降低系统的安全等级。

1、生成文件
%system%\svohost.exe
%system%\winscok.dll

2、添加启动项
hkey_local_machine\software\microsoft\windows\currentversion\run
"soundmam" = "%system%\svohost.exe"

3、盗取方式
键盘记录,包括软件盘;将盗取的号码和密码通过邮件发送到指定邮箱。

4、传播方式
检测系统是否有可移动磁盘,是则拷贝病毒到可移动磁盘根目录。
sxs.exe
autorun.inf

5、autorun.inf添加下列内容,达到自运行的目的。
[autorun]
open=sxs.exe
shellexecute=sxs.exe

6、关闭窗口名为下列的应用程序
qqkav
雅虎助手
防火墙
网镖
杀毒
病毒
木马
恶意
qqav
噬菌体

7、结束下列进程
sc.exe
net.exe
sc1.exe
net1.exe
pfw.exe
kav.exe
kvol.exe
kvfw.exe
tbmon.exe
kav32.exe
kvwsc.exe
ccapp.exe
eghost.exe
kregex.exe
kavsvc.exe
vptray.exe
ravmon.exe
kavpfw.exe
shstat.exe
ravtask.exe
trojdie.kxp
iparmor.exe
mailmon.exe
mcagent.exe
kavplus.exe
ravmond.exe
rtvscan.exe
nvsvc32.exe
kvmonxp.exe
kvsrvxp.exe
ccenter.exe
kpopmon.exe
rfwmain.exe
kwatchui.exe
mcvsescn.exe
mskagent.exe
kvolself.exe
kvcenter.kxp
kavstart.exe
ravtimer.exe
rrfwmain.exe
firetray.exe
updaterui.exe
kvsrvxp_1.exe
ravservice.exe

8、删启动项
hklm\software\microsoft\windows\currentversion\run
ravtask
kvmonxp
ylive.exe
yassistse
kavpersonal50
ntdhcp
winhoxt

查杀方法:

首先,要显示隐藏文件
hkey_local_machine\software\microsoft\windows\currentversion\explorer\advanced\folder\hidden\showall,将checkedvalue键值修改为1,还是没有用,隐藏文件还是没有显示,仔细观察发现病毒它有更狠的招数:它在修改注册表达到隐藏文件目的之后,为了稳妥起见,把本来有效的dword值checkedvalue删除掉,新建了一个无效的字符串值checkedvalue,并且把键值改为0!这样你以为把0改为1就会万事大吉,可是故障依旧如此!也就难怪出现以上的现象了。

正确的方法是:先检查checkedvalue的类型是否为reg_dword,如果不是则删掉“李鬼”checkedvalue(例如在本“案例”中,应该把类型为reg_sz的checkedvalue删除)。然后单击右键“新建”--〉“dword值”,并命名为checkedvalue,然后修改它的键值为1,这样就可以选择“显示所有隐藏文件”。

经过刚才一番操作,电脑里的隐藏文件可以看到了,假如上述方法无效,那么可能是 hkey_local_machine\software\microsoft\windows\currentversion\explorer\advanced\folder\hidden的数据丢失或损坏,遇到这种情况,请在windows xp安装光盘中找到hidden.reg,双击它,然后单击“确定”按钮,将该完整的注册表数据添加到当前系统的注册表中即可。(备注:可是我手头上的xp安装光盘找来找去都没有这个东西,假如你不幸遇到这种情况,可以尝试使用这种方法:找一部没有问题的电脑,把hkey_local_machine\software\microsoft\windows\currentversion\explorer\advanced\folder\hidden这个分支导出(假如命名为1.reg);然后备份有问题的电脑的该注册表分支;最后把1.reg导入看能否解决问题。我没试过所以不知道会不会出现什么意外,祝各位好运!

可以结束sxs的进程,记住,用鼠标右键进入硬盘。同时按下ctrl+shift+esc三个键 打开windows任务管理器,选择里面的“进程”标签,在“映像名称”下查找“sxs.exe” ,单击它,再选择“结束进程”,一定要结束所有的“sxs.exe”进程。打开我的电脑 单击 工具菜单下的“文件夹选项”,单击“查看”标签 把“高级设置”中的,“隐藏受保护的操作系统文件(推荐)”前面的勾取消,并选择下面的“显示所有文件和文件夹”选项,单击“确定”。用鼠标右键点c盘(不能双击!) 选择 “打开”,删除c盘下的 “autorun.inf”文件 和“sxs.exe”文件,用鼠标右键点d盘 选择 “打开”,删除d盘下的 “autorun.inf”文件 和“sxs.exe”文件……以此类推 删除所有盘上的 autorun.inf文件 和“sxs.exe”(或rose.exe)文件。单击开始 选择“运行” 输入 "regedit"(没有引号) ,回车,依次展开注册表编辑器左边的 我的电脑>hkey_local_machine>software>microsoft>windows>currentversion>run,删除run项中的 rose (c:\windows\system32\sxs.exe)这个项目,关闭注册表编辑器,然后重新启动计算机,删除硬盘上是rose。按下shift键不放 插入u盘 直到电脑提示“新硬件可以使用”,打开我的电脑,这时在u盘的图标上点鼠标右键 选择“打开” (不要点自动播放或者是双击!),删除 sxs.exe和autorun.inf文件 病毒就没有了。




欢迎光临 逐梦论坛 (http://temp2023.zhumeng.org/) Powered by Discuz! 7.2