返回列表 发帖

[病毒查杀] SVOHOST sxs.exe 病毒的解决

中毒现象:
      svohost.exe是trojan-proxy.win32.agent.if木马相关程序,病毒运行后会将自身复制到系统目录下,文件名为“svohost.exe”和“hsoft.exe”。同时在注册表中添加run/soundmam信息,实现开机自动运行或打开文本文件时自动运行。该病毒会自动向qq好友发送内容为“让我成功申请x位qq号和q币动画,朋友推荐我的,你看看http: //www.***iex.com/abc.exe”等的消息,用户点击消息中的网址就有可能被病毒感染。同时有以下症状:
1、卡巴斯基、瑞星等杀毒软件实时监控自动关闭并且无法打开(后来知道是系统服务被禁用了);
2、双击中毒盘的盘符无反应;
3、任务管理器中可能会有sxs.exe 或者 svohost.exe (与系统进程 svchost.exe 一字之差)进程,有时没有;
4、无法查看隐藏文件(注册表被修改);
5、病毒文件在system32文件夹找不到(被隐藏);
6、在启动项里面有个svohost.exe,改启动项去掉它之后发现还是会被自动添加。

手动删除svohost.exe、sxs.exe的方法:
1、显示出被隐藏的系统文件:
运行:regedit
hkey_local_machine\software\microsoft\windows\currentversion\explorer\advanced\folder\hidden\showall,将checkedvalue键值删除(删除原因:病毒在修改注册表达到隐藏文件目的之后,把本来有效的dword值checkedvalue删除掉,新建了一个无效的字符串值checkedvalue,并且把键值改为了0),单击右键 新建——dword值——命名为checkedvalue,然后修改它的键值为1,这样就可以选择“显示所有文件和文件夹”了。
2、删除autorun.inf 和 sxs.exe:
在盘符上单击鼠标右键——打开,如果看到盘根目录下有 autorun.inf 和 sxs.exe 两个文件,将其删除。(可能删除后它又会自动生成,所以你必须先在任务管理器中结束 sxs.exe 或者 svohost.exe 的进程)。
3、去开机自动启动项:
hkey_local_machine\software\microsoft\windows\currentversion\run下找到 soundmam 键值,可能有两个,删除其中的值为 c:\windows\system32\svohost.exe 的。
4、删除svohost.exe:
到 c:\windows\system32\ 目录下删除 svohost.exe。

这样,重启电脑后,发现杀毒软件可以打开,分区盘双击可以打开了。如果杀毒软件实时监控仍无法打开,可卸载并重新安装一下杀毒软件。
欢迎光临:逐梦论坛

返回列表

Powered by Discuz! 7.2   论坛QQ群:逐梦论坛群

© 2001-2021 Comsenz Inc. 鲁公网安备 37120302000001号