清除猖狂的Sxs.exe病毒

针对症状,我先上网找了相关的资料,首先,要显示隐藏文件
  在这个:HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\
  Advanced\Folder\Hidden\SHOWALL,将CheckedValue键值修改为1
  还是没有用,隐藏文件还是没有显示,仔细观察发现病毒它有更狠的招数:它在修改注册表达到隐藏文件目的之后,为了稳妥起见,把本来有效的DWORD值CheckedValue删除掉,新建了一个无效的字符串值CheckedValue,并且把键值改为0(如图)!这样你以为把0改为1就会万事大吉,可是故障依旧如此!也就难怪出现以上的现象了。
  正确的方法是:先检查CheckedValue的类型是否为REG_DWORD,如果不是则删掉“李鬼”CheckedValue(例如在本“案例”中,应该把类型为REG_SZ的CheckedValue删除)。然后单击右键“新建”--〉“Dword值”,并命名为CheckedValue,然后修改它的键值为1,这样就可以选择“显示所有隐藏文件”。
  经过刚才一番操作,我的电脑里的隐藏文件可以看到了,假如上述方法无效,那么可能是 HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden的数据丢失或损坏,遇到这种情况,请在Windows XP安装光盘中找到Hidden.reg,双击它,然后单击“确定”按钮,将该完整的注册表数据添加到当前系统的注册表中即可。(备注:可是我手头上的XP安装光盘找来找去都没有这个东西,假如你不幸遇到这种情况,可以尝试使用这种方法:找一部没有问题的电脑,把
  HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden这个分支导出(假如命名为1.reg);然后备份有问题的电脑的该注册表分支;最后把1.reg导入看能否解决问题。我没试过所以不知道会不会出现什么意外,祝各位好运!假如某人能够在XP安装光盘里找到这个东西,请把文件里面的内容复制到评论里面,并且注明该XP安装光盘有没有打过SP1或者是SP2,谢谢!)
  我看到在我的D:E:F:这些盘中(除了c盘)都出现了autorun.inf和sxs.exe两个文件,删除又再生.而且U盘插进去也出现这两个文件。此时杀毒软件一直是无法启动,我把金山的换成江民的,还是没用,看来是病毒限制了杀毒软件的运行,所以首先要把病毒的自动运行关掉,我也找了网上的资料,不过我试了,没有用,找不到rous.exe,我提供给你们,自己去试一下看看!
  你这是修改过的ROSE病毒
  可以结束SXS的进程删除,记住,用鼠标右键进入硬盘
  同时按下Ctrl+Shift+Esc三个键 打开windows任务管理器
  选择里面的“进程”标签
  在“映像名称”下查找“sxs.exe” 但击它 再选择“结束进程”
  一定要结束所有的“sxs.exe”进程
  打开我的电脑 单击 工具菜单下的“文件夹选项”
  单击“查看”标签 把“高级设置”中的
  “隐藏受保护的操作系统文件(推荐)”前面的勾取消
  并选择下面的“显示所有文件和文件夹”选项
  单击“确定”
  用鼠标右键点C盘(不能双击!) 选择 “打开”
  删除C盘下的 “autorun.inf”文件 和“sxs.exe”文件
  用鼠标右键点D盘 选择 “打开”
  删除D盘下的 “autorun.inf”文件 和“sxs.exe”文件(另外有个文件也是,是个.exe 同样删了它)
  ……
  以此类推 删除所有盘上的 AUTORUN.INF文件 和“rose.exe”文件
  单击开始 选择“运行” 输入 "regedit"(没有引号) ,回车
  依次展开注册表编辑器左边的 我的电脑>HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Run
  删除Run项中的 ROSE (c:\windows\system32\SXS.exe)这个项目
  关闭注册表编辑器
  然后重新启动计算机
  删除硬盘上是ROSE:
  按下shift键不放 插入U盘 直到电脑提示“新硬件可以使用”
  打开我的电脑
  这时在U盘的图标上点鼠标右键 选择“打开” (不要点自动播放或者是双击!)
  删除 SXS.exe和autorun.inf文件 病毒就没有了
  上面我说了这个方法对我没有用!sxs.exe没有专杀,现在只能通过注册表杀毒
  打开注册表“regedit”,找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  有些网友说删除Run项中的 ROSE (c:\windows\system32\SXS.exe)这个项目
  我找了一下没找到这个Run项目,但是我看了一下在Run里面有两个"SoundMam",而且后面给的数值不一样,一个给的是“C:\\WINDOWS\\system32\\SVOHOST.exe”另一个是“SOUNDMAN.EXE”我想大家也发现了,肯定有问题,我看了一下,只有后面一个是正确的,前一个是豪杰超级解霸的“自动播放伺服器”的程序,看来病毒是加到这个里面了,借助自动播放到处传播!(这是我认为的,不知道对不对)于是就删除了这个项,退出注册表,打开杀毒软件,可以使用了,只是在一般杀毒时,还是找不到sxs.exe的,我用的是江民的,他有未知病毒扫描,在那里里面可以发现的,他是一种“硬盘蠕虫病毒”,删掉就行了,本来我是想截屏给大家看看的,可惜我重启了,没复制下来,哪位朋友补充一下在下面!感谢!
  那还剩下autorun.inf,直接到各个硬盘删就可以了,再清空回收站就可以了,其他的都正常了,可能还有些网友系统可能出现些问题,如豪杰超级解霸的“自动播放伺服器”不能使用了,我的建议是:不要用了,就是他坏的事!要是你非要用就重新装吧!最后重新启动,可以了!
木马远程控制受害电脑 请留意密码安全
中关村在线
    作者:中关村在线 sheyin 
    CNET中国.ZOL 10月8日报道:北京信息安全测评中心、金山毒霸联合发布2006年10月8日热门病毒。
  今日提醒用户特别注意以下病毒:“灰鸽子变种ir”(Hack.Huigezi.ir)和“下载者变种cy”(Troj.Downloader.cy)。
  “灰鸽子变种ir”(Hack.Huigezi.ir)黑客病毒,连接远程主机8000端口等待黑客命令。
  “下载者变种cy”(Troj.Downloader.cy)木马病毒,定时弹出网页并下载插件运行。
    另据瑞星全球反病毒监测网介绍,今日有两个病毒特别值得注意,它们是:“密西木马变种KEV(Trojan.PSW.Misc.kev)”和“诡秘释放器变种BQO(Dropper.Delf.bqo)”病毒。“密西木马变种KEV”是盗号木马,可盗取多种网络游戏的帐号和密码,给游戏玩家带来损失。“诡秘释放器变种BQO”病毒会释放出其他的病毒及恶意程序,它们会对用户的信息安全造成威胁。
    http://db.kingsoft.com/(金山毒霸)、http://www.rising.com.cn(瑞星)
    金山本日热门病毒: 
    “灰鸽子变种ir”(Hack.Huigezi.ir)   威胁级别:★★
    据金山毒霸反病毒工程师介绍,该病毒是一个黑客病毒。该病毒将复制自身到%systemroot%Hacker.com.cn.ini并运行,删除原病毒文件;修改注册表使其添加命名为windows update系统服务,并设置为开机自启动。受感染主机可连接远程主机的8000端口等待黑客命令,使用户主机完全受控于黑客。
    “下载者变种cy”(Troj.Downloader.cy)   威胁级别:★
    据金山毒霸反病毒工程师介绍,该病毒是一个木马病毒。病毒运行后会释放iexp1ore.exe到%system%目录,以此来伪装自己。该病毒通过修改注册表,添加ServiceRemote的系统服务来实现开机自启动。病毒运行后会从网络上下载一配置文件,并定时弹出网页和下载插件。
金山反病毒工程师建议:
  1. 请您不要轻易运行从Internet下载后未经杀毒软件处理的文件,强烈建议您先用最新病毒库的毒霸进行扫描,然后决定是否运行。
  2. 当操纵者控制用户电脑时,就可直接导致用户的信息被泄露, 为了您系统和个人信息的安全,专家建议用户在打开一个陌生文件时,请用最新病毒库的杀软进行扫描。
瑞星本日热门病毒:
  “密西木马变种KEV(Trojan.PSW.Misc.kev)”病毒:警惕程度★★★,盗号木马,通过网络传播,依赖系统:WIN 9X/NT/2000/XP。
  这是一个盗号木马,运行后它会将自身复制到系统目录中,同时修改注册表启动项目以实现随系统启动自动运行。该盗号木马会在后台运行,并试图盗取网络游戏《传奇》、《传奇世界》、《魔兽》等的帐号和密码,给游戏玩家带来损失。
  “诡秘释放器变种BQO(Dropper.Delf.bqo)”病毒:警惕程度★★★,病毒释放器,通过网络传播,依赖系统:WIN9X/NT/2000/XP。
    病毒启动后会从体内释放出病毒文件。该病毒释放的其他病毒可能会窃取用户的银行卡账号、密码等信息。染毒的计算机还可能被黑客远程控制,如添加删除文件、重新启动计算机等。
瑞星反病毒专家建议:
    1、建立良好的安全习惯,不打开可疑邮件和可疑网站;
    2、很多病毒利用漏洞传播,一定要及时给系统打补丁;
    3、安装专业的防毒软件升级到最新版本,并打开实时监控程序;
    4、安装带有“木马墙”功能的个人防火墙软件,防止密码丢失。 
远离危险 教你使用局域网“隐身术”
俗话说“家贼难防”,在局域网中真正对自己的信息安全构成威胁的不是遥远的骇客,而是自己身边的“人”。由于网上邻居共享文件在局域网中的应用非常广泛,为了更好地保护自己,在共享文件时我们需要隐身术的帮助来防止内部的恶意攻击。
  初级隐藏 隐藏共享文件夹
  不要认为为共享文件夹加上密码就能保证安全,Windows的漏洞多着呢,Internet上很容易下载到“密码破解器”。如果别人从网上邻居中看不到你的共享文件夹那就会安全多了。要实现这种效果一点都不难:用鼠标右击要隐藏共享的文件夹,点击“共享”选项,在共享名中填入共享文件夹的名称,然后在后面加上美元符“$”,例如“共享文件$”,再填入密码。如果别人要访问你的共享的文件,必须在地址栏中输入“\\计算机名称(或者是IP地址)\共享文件$,回车,填入密码确认,才能访问你的文件夹。
  高级隐藏 无共享标志共享
  用上面介绍的方法,别人通过网上邻居是不能看到你共享的文件夹了,不过如果有一天让他发现在你的电脑上还有共享文件夹存在(被共享文件夹有被共享的特殊标志,下面有个小手托着,与一般文件夹有明显的区别),而从网上邻居上却看不到你共享的文件夹,那么他很可能会发挥出自己的钻研精神,想尽办法把你共享的文件夹打开。如果能将共享文件夹的小手标志去掉,让共享文件夹和普通文件夹一样,让别人看不出它是共享的,那安全就更有了保障。下面以无共享标志共享D盘为例谈谈具体的做法:首先利用本文一开始介绍的初级隐身术——隐藏共享文件夹的方法设置D盘为隐藏共享,然后打开注册表编辑器,依次打开“HKEY_LOCAL_MACHINE\SoftWare\Microsoft\Windows\CurrentVersion\Network\LanMan\d$” (也可以利用注册表的查找功能直接查找主键“d$”)。将DWORD值“Flags”的键值由“192”改为“302”,重新启动Windows就能生效。如果要访问,只要在地址栏中输入“\\计算机名\d$”,就可以看到D盘共享的内容了。这时你会发现,即使本机的资源浏览器里也看不出D盘被共享,是不是很神奇?除了自己,还有谁知道你的D盘是共享的呢?
360安全卫士调高百狗查杀等级 39/40周
360安全中心(http://www.360safe.com )发布:在国庆长假前后,国内恶意软件市场比较平稳,在9月26到10月8号之间的两周时间内没有发现重大“疫情”,360安全卫士方面除了截获了3721.*.dll变种、LinkMedia两款新型恶意软件并针对性处理外,还就目前舆论关注的百狗软件进行了查杀级别的调整,从之前的插件级查杀提高至恶意软件级查杀;雅虎系软件以周卸载140万次位居榜首。
    来自360安全中心运营维护小组的数据表明,目前360安全卫士的累计安装量超过580万,受国庆期间的影响网民安装速度稍有放缓,预计会在节后随着360安全卫士2.0正式版的发布,有新的一轮快速增长。
    在此我们建议广大网民建立良好的软件安装习惯,安装下载软件时尽量到官方网站和正规下载站下载;及时给系统打安全补丁;定期使用360安全为您的电脑做检查。
    【重点恶意软件播报】
百狗
恶意软件名称: 百狗
危险等级:★★★★
恶意软件类型: 浏览器劫持
所属公司: www.baigoo.com
恶意行为: 强制安装
传播途径: 捆绑安装
    3721.*.dll变种
恶意软件名称:3721.*.dll变种 
危险等级:★★★★★★
恶意软件类型: 木马
所属公司: 未知
恶意行为: 强制安装、无法彻底删除、添加收藏夹、自动变形
传播途径: 捆绑安装
    LinkMedia
恶意软件名称:LinkMedia 
危险等级:★★★★★★
恶意软件类型:广告软件
所属公司: 未知
恶意行为: 强制安装、弹出广告、无法彻底删除
传播途径: 捆绑安装
    【用户查杀恶意软件TOP10播报】
雅虎助手
恶意软件名称:雅虎助手
危险等级:★★★★★★
所属公司:雅虎中国
用户自主周卸载量:707423
网络实名
恶意软件名称:网络实名
危险等级: ★★★★★★
所属公司: 雅虎中国
用户自主周卸载量:699885
Cnnic中文上网
恶意软件名称: Cnnic中文上网
危险等级:★★★★★★
所属公司:中国互联网络信息中心
用户自主周卸载量:608226
Cnnic无忧上网工具条
恶意软件名称:Cnnic无忧上网工具条
危险等级:★★★★★★
所属公司:中国互联网络信息中心
用户自主周卸载量:555081
百度超级搜霸
恶意软件名称:百度超级搜霸
危险等级: ★★★★★★
所属公司:百度
用户自主周卸载量:439444
u1.sky99.cn
恶意软件名称: u1.sky99.cn
危险等级:★★★★★★
所属公司: 未知
用户自主周卸载量: 291021
易趣购物按钮
恶意软件名称:易趣购物按钮
危险等级: ★★★★
所属公司:易趣
用户自主周卸载量:271056
百度搜索伴侣
恶意软件名称:百度搜索伴侣
危险等级: ★★★★★★
所属公司:百度
用户自主周卸载量:256091
中搜地址栏搜索
恶意软件名称:中搜地址栏搜索
危险等级: ★★★★★★
所属公司:中搜
用户自主周卸载量:247445
DMCast桌面传媒/IE-BAR
恶意软件名称:DMCast桌面传媒/IE-BAR
危险等级: ★★★★★★
所属公司: 千橡
用户自主周卸载量:242774

(0)

相关推荐

  • 清除猖狂的Sxs.exe病毒

    针对症状,我先上网找了相关的资料,首先,要显示隐藏文件 在这个:HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\ Advanced\Folder\Hidden\SHOWALL,将CheckedValue键值修改为1 还是没有用,隐藏文件还是没有显示,仔细观察发现病毒它有更狠的招数:它在修改注册表达到隐藏文件目的之后,为了稳妥起见,把本来有效的DWORD值CheckedValue删除掉,新建了一个无效的字符

  • sxs.exe 病毒专杀工具 最近更新

    关于sxs.exe 病毒查杀文章请看下面的链接 http://www.jztop.com/net/bdzq/du/20060813/26006.html 杀毒前请先断开网络连接,运行专杀工具完以后重启电脑 下载地址: 下载sxs.exe病毒专杀工具 *************************************** 前些天电脑中了"sxs.exe病毒",后来整理了一篇"sxs.exe病毒手动删除方法",没想到短短几天时间,通过搜索找过来的朋友就突破800

  • sxs.exe病毒删除完美解决方法

    方法一: 可以用WINRAR软件打开D: E: F:等盘 看看 , 是不是每个盘都有SES.EXE文件 如果是的话 那么中的是修改过的ROSE病毒解决方法是这样的:在安全模式下进行手动杀毒,另外,我在注册表里,手动搜索与病毒有关的文件:sxs.exe.svohost.autorun.inf,找到后全删,把每个盘符的都删掉,然后顺安全模式下运行杀毒软件,就OK了 . 手工处理如下:任务管理器可以结束SXS的进程删除,记住,用鼠标右键进入硬盘 同时按下Ctrl+Shift+Esc三个键 打开wind

  • sxs.exe病毒专杀工具之“橙色八月专杀工具.bat”

    病毒特征:在每个盘根目录下自动生成sxs.exe,autorun.inf文件,有的还在windows\system32下生成SVOHOST.exe 或 sxs.exe ,文件属性为隐含属性.自动禁用杀毒软件. sxs.exe病毒手动删除方法 Ctrl + Alt + Del 任务管理器,在进程中查找 sxs 或 SVOHOST(不是SVCHOST,相差一个字母),有的话就将它结束掉(并不是所有的系统都显示有这个进程,没有的就略过此步). 显示隐藏文件,如果显示不了,则打开写字板将以下代码另存为"

  • sxs.exe病毒及清理办法手工杀度详解

    许多朋友都是通过移动盘拷贝东西时被感染的,特别是U盘,特别是在网吧,当你拷完东西是,利用DOS进入你的移动盘dir/a显示所有文件,如果发现中招,有sxs.exe和autorun.inf那么在非根目录下建立一个记事本,命名为sxs.exe建立一个autorun.inf内容可以为空,也可以添加[autorun]shutdown=sxs.exe将移动盘的sxs.exe和autorun.inf替换.回家就不会被感染了 我中的很奇怪,好不容易用卡巴斯基查出来D和E根目录下有这个东西,而且四五还有其他的木

  • 最新病毒变种sxs.exe及xeklsk.exe(柯南病毒)查杀方法

    通过u盘传播的病毒sxs.exe威力向来很大,曾经n个计算机被他搞垮~~其变种也日益翻新,花样白出~~机房电脑又中毒了...各盘符下有隐藏的文件,图标是柯南头像的sxs.exe及autorun,病毒系统进xeklsk.exe. 通过文件夹选项不能显示隐藏文件. 经过反复查找,此病毒乃最新变种,网上给出查杀方法的很少~现提供如下,仅作参考: ---- 解决方案: ***提示:杀毒过程中注意盘符不要双击,点鼠标右键"打开"!*** 1.结束进程xeklsk.exe,sxs.exe及其他可疑

  • Auto Autorun.inf desktop.ini sxs.exe auto.exe类病毒的手动处理完全技巧

    特整理一篇Auto Autorun.inf desktop.ini sxs.exe auto.exe类病毒的手动处理完全技巧,大家可以看图片设置的方法,让Auto Autorun.inf desktop.ini sxs.exe auto.exe类病毒无处遁形 最近多发的一个病毒,表现为: 1.在每个分区下都会有三个文件,属性为隐藏,文件名分别为:Autorun.inf,Desktop.in,sxs.exe,其中EXE文件是病毒文件! 2.不能双击打开分区,如D盘,双击后会出现一个打开方式选择提示

  • 用批处理轻松清掉sxs.exe和autorun.inf的专杀工具

    保存为del.bat,运行即可,另一个是注册表文件,可以防止病毒修改注册表无法查看隐藏文件 复制代码 代码如下: @echo off @echo 我们 @echo sxs.exe 专杀 @echo 开始 @echo 结束病毒进程sovhost ntsd -c q -pn sovhost.exe echo 修正注册表 regedit /s del.reg echo 删除各盘病毒文件 cd\ c: attrib sxs.exe -a -h -s  del /s /q /f sxs.exe attri

  • 最简单的rundll2000.exe病毒完美解决方法

    关于rundll2000.exe,也不知道是一个什么的病毒.在电脑里也没发现其他怪象,也没有不正常,就是心里看着有点不舒服.机子是我们的...可不想有不速之客来寄居  rundll2000.exe病毒手动清除 重启电脑,进入安全模式(电脑启动时按F8键) 删除以下文件: C:\Program Files\Internet Explorer\PLUGINS\SystemKb.sys C:\Program Files\Common Files\Microsoft Shared\MSINFO\NewI

  • 可以查杀sxs.exe的bat(批处理)文件

    复制代码 代码如下: ::echo 特征:在每个盘根目录下自动生成sxs.exe,autorun.inf文件,有的还在windows\system32下生成SVOHOST.exe 或 sxs.exe ,文件属性为隐含属性.自动禁用杀毒软件 ::解决方法:建立批处理文件 (内容)   @echo off   taskkill /f /im sxs.exe /t   taskkill /f /im SVOHOST.exe /t   c:   attrib sxs.exe -a -h -s    de

随机推荐