发表时间: 2006-12-10 10:23 作者: 天空 来源: 大杂烩社区门户
字体: 小 中 大 | 打印
症状:
一、在d、e、f等非系统盘右键菜单生成AUTO选项,并在个盘下面生成autorun.inf和
SXS.
EXE两个隐藏文件。
当寒冰第一次遇上这个病毒时,由于有了u盘auto 病毒的查杀经验,通过把“文件夹选项”中的
“隐藏受保护的操作系统文件(推荐)”前面的勾取消,并选择下面的“显示所有文件和文件夹”,明显看到autorun.inf,打开autorun.inf,里面写着
[AutoRun]
open=
SXS.
EXE shell
EXEcute=
SXS.
EXE 由此判定另一个文件
SXS.
EXE为同谋,且为真正元凶。意思就是当你双击硬盘盘符,或者你选择“AUTO”打开时,程序自动执行
SXS.
EXE文件,也就是运行病毒了,所以,就算你把c盘格式化,只要你双击其他盘符,马上病毒就重新运作,走遍全盘了,也摆脱了不少网友一味重装就天下大吉的“谎言”。
二、杀毒程序无法运行
发现中毒后,马上启动朋友的瑞星查杀,可是,当界面一闪而过后,什么都没有了(后来连安装和卸载都无法正常进行),后来查资料才知道该病毒可以关闭窗口名为下列的应用程序:“QQKav 、雅虎助手、 防火墙、网镖、杀毒、病毒、木马、恶意、QQAV、噬菌体”,同时也可以结束下列进程:
sc.
EXE 、net.
EXE 、sc1.
EXE、net1.
EXE 、PFW.
EXE 、Kav.
EXE 、KVOL.
EXE 、KVFW.
EXE 、
TBMon.
EXE 、kav32.
EXE 、kvwsc.
EXE、 CCAPP.
EXE、EGHOST.
EXE 、KRegEx.
EXE 、kavsvc.
EXE 、VPTray.
EXE 、RAVMON.
EXE、 KavPFW.
EXE、SHSTAT.
EXE、RavTask.
EXE 、
TrojDie.kxp 、Iparmor.
EXE、 MAILMON.
EXE、 MCAGENT.
EXE、 KAVPLUS.
EXE 、RavMonD.
EXE 、Rtvscan.
EXE 、Nvsvc32.
EXE 、KVMonXP.
EXE 、Kvsrvxp.
EXE 、CCenter.
EXE 、KpopMon.
EXE、 RfwMain.
EXE 、KWATCHUI.
EXE、MCVSESCN.
EXE、
MSKAGENT.
EXE 、kvolself.
EXE 、KVCenter.kxp 、kavstart.
EXE 、RAVTIMER.
EXE 、
RRfwMain.
EXE 、FireTray.
EXE 、UpdaterUI.
EXE 、KVSrvXp_1.
EXE 、RavService.
EXE 换句话说,当前的主流杀软和防火墙都是其查杀对象,包括金山,卡吧,瑞星,江民,天网等等都无法正常启动的。
三、添加启动项
查看系统启动项,看到一个叫Soundmam的启动项,可是文件却是指向c:windows/system32,诈一看好像是声卡的驱动哦,不过朋友的机没有这个声卡驱动的啊,而且仔细一看,原来指向的文件是“SVOHOST.
EXE”,这下一看更加肯定了,又是一个假冒“svchost.
EXE”的骗子。
病毒报告
通俗名称:
SXS.
EXE官方名称:Trojan/PSW.QQPass
作恶目的:一个盗取QQ帐号密码的木马病毒,特点是可以通过可移动磁盘传播。该病毒的主要危害是盗取QQ帐户和密码;该病毒还会结束大量反病毒软件,降低系统的安全等级。(不过很奇怪,在中毒的机子里,5个机主的QQ全部一切平安,只有2部机会自动发送一个正规的网页链接,相信是为了该网站增加流量而做的病毒营销,其中一个发送以下内容:“如果你能看到圆图说明你运气一直不错,如果是方图,说明你今天运气很好,如果什么也没有,那就别怪我啊。。。。hxxp://down.pjon.com/index.html ”)
极端作恶:侵入还原系统,更有甚者会侵入硬盘的GHO文件(网上传闻,寒冰也无法证实),也就是说,你的ghost系统已经不干净了,建议中毒者ghost还原前再检验一次MD5值,如果证实被感染,请使用另一版本安装!!!
而且最近一部机删除后竟然一进登录界面(也就是看到“欢迎使用”时)音箱发出开机音乐,但过了一两秒,音箱发出关机音乐。然后出现选择用户界面,无论选择那一个用户都是同样的状态,在“安全模式”下也是一样,最后也只好重装了,不过,在那部机寒冰也了解了最多东西了。
作恶手段:
1,生成文件
%system%\SVOHOST.
EXE %system%\winscok.dll
2,添加启动项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"SoundMam" = "%system%\SVOHOST.
EXE"
3,盗取方式
键盘记录,包括软件盘;将盗取的号码和密码通过邮件发送到指定邮箱。
4,传播方式
检测系统是否有可移动磁盘,是则拷贝病毒到可移动磁盘根目录。
SXS.
EXE autorun.inf
5,autorun.inf添加下列内容,达到自运行的目的。
[AutoRun]
open=
SXS.
EXE shell
EXEcute=
SXS.
EXE 6,关闭窗口名为下列的应用程序 (如上)
7,结束下列进程(如上)
8,删启动项
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
RavTask
KvMonXP
YLive.
EXE yassistse
KAVPersonal50
NTdhcp
WinHoxt
解决方案-歪门邪道版解决方案-正规版:
方法一:针对以上症状,寒冰先上网找了相关的资料
1.显示隐藏病毒文件
开始-运行-输入regedit,打开注册表编辑器,找到以下键值HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL,将CheckedValue键值修改为1
如果有些机子没效果,隐藏文件还是没有显示的话,应该就是病毒它用了更狠的招数:它在修改注册表达到隐藏文件目的之后,为了稳妥起见,把本来有效的DWORD值CheckedValue删除掉,新建了一个无效的字符串值CheckedValue,并且把键值改为0!这样你以为把0改为1就会万事大吉,可是故障依旧如此!也就难怪出现以上的现象了。
正确的方法是:先检查CheckedValue的类型是否为REG_DWORD,如果不是则删掉“李鬼”CheckedValue(例如在本“案例”中,应该把类型为REG_SZ的CheckedValue删除)。然后单击右键“新建”--〉“Dword值”,并命名为CheckedValue,然后修改它的键值为1,这样就可以选择“显示所有隐藏文件”。
2.清楚病毒文件
现在可以看到在我的D:E:F:G:这些盘中(除了c盘)都出现了autorun.inf和
SXS.
EXE两个文件,删除又再生.而且杀毒软件一直是无法启动,看来是病毒限制了杀毒软件的运行,所以首先要把病毒的自动运行关掉了。
据说这是修改过的ROSE病毒,可以先结束
SXS和SVOHOST(记住不是系统的svchost哦)的进程删除
打开我的电脑,单击工具菜单下的“文件夹选项”,单击“查看”标签 把“高级设置”中的“隐藏受保护的操作系统文件(推荐)”前面的勾取消掉,并选择下面的“显示所有文件和文件夹”选项,单击确定
用鼠标右键点C盘(不能双击!) 选择 “打开”,删除C盘下的 “autorun.inf”文件 和“
SXS.
EXE”文件(寒冰好像c盘还未在此看见过他的病毒文件)
该病毒在c盘留下的文件为%SystemRoot%\System32\WINSCOK.DLL和%SystemRoot%\System32\SVOHOST.
EXE,至于其他盘,以d盘为例,用鼠标右键点D盘 选择 “打开”,删除D盘下的 “autorun.inf”文件 和“
SXS.
EXE”文件
……
以此类推 删除所有盘上的 AUTORUN.INF文件 和“rose.
EXE”文件
3.清理启动项
单击开始-“运行” 输入 "regedit"(没有引号) ,回车
依次展开注册表编辑器左边的HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Run
删除Run项中的 ROSE (c:\windows\system32\
SXS.
EXE)和soundmam这个项目(不一定有的)
然后重新启动计算机
上面我说的这个方法不一定奏效!
SXS.
EXE没有专杀,一来建议各位使用瑞星和江民查杀,而在此重复提醒,正常模式是无法启动杀软的,只能在安全模式下进行;二来建议处理完其他盘的病毒文件后重新安装系统,寒冰所整理的批处理文件基本能清除c盘以外的所有病毒及在c盘发现的病毒文件,但是对于c盘的残留文件,恐怕病毒变种会进一步生成新文件,所以,建议各位保持杀软更新,及时查杀!!!
> >更多精彩技术文章>http://www.66of.com
