SXS.exe病毒之我见
病毒名称: sxs.exe---瑞星称为 Trojan.PSW.QQPass.pqb 病毒
病毒特点: sxs.exe 特点是可以通过可移动磁盘传播,主要危害是盗取QQ帐户和密码,并且会终止大量反病毒软件的进程(瑞星、卡巴无一幸免),系统自带的防火墙也不能启动与关闭,系统文件隐藏无法显示,双击盘符无反映,任务管理器发现 sxs.exe 或者 svohost.exe (与系统进程 svchost.exe 一字之差),杀毒软件实时监控自动关闭并无法打开。电脑上每个磁盘都有“autorun.inf”文件和“sxs.exe”文件,重装系统也没有用。
网上有N多关于这种病毒的介绍和手工删除说明,而且基本上属于一个版本。如果症状和上面类似,可以参照一般解决方法。如果进程中找不到 sxs .exe或 SVOHOST.exe,每个盘符下的“autorun.inf”文件和“sxs.exe”文件删除又重新出现的话,请参见我的解决办法。
一)、一般解决办法:这是修改过的ROSE病毒,可以结束SXS的进程删除。: 在以下整个过程中不得双击分区盘,需要打开时用鼠标右键——打开
1.关闭病毒进程 Ctrl + Alt + Del 任务管理器,在进程中查找 sxs 或 SVOHOST(不是SVCHOST,相差一个字母),有的话就将它结束掉 。
2.显示出被隐藏的系统文件 运行——regedit HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL,将CheckedValue键值修改为1。 这里要注意,病毒会把本来有效的DWORD值CheckedValue删除掉,新建了一个无效的字符串值CheckedValue,并且把键值改为0!我们将这个改为1是毫无作用的。(有部分病毒变种会直接把这个CheckedValue给删掉,只需和下面一样,自己再重新建一个就可以了)。方法:删除此CheckedValue键值,单击右键 新建——Dword值——命名为CheckedValue,然后修改它的键值为1,这样就可以选择“显示所有隐藏文件”和“显示系统文件”。 在文件夹——工具——文件夹选项中将系统文件和隐藏文件设置为显示
3.删除病毒 在分区盘上单击鼠标右键——打开,看到每个盘跟目录下有 autorun.inf 和 sxs.exe 两个文件,将其删除。
4.删除病毒的自动运行项 打开注册表 运行——regedit HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Run 下找到 SoundMam 键值,可能有两个,删除其中的键值为 C:\\WINDOWS\system32\SVOHOST.exe 的。最后到 C:\\WINDOWS\system32\ 目录下删除 SVOHOST.exe 或 sxs.exe 。重启电脑后,发现杀毒软件可以打开,分区盘双击可以打开了。
5.后续 杀毒软件实时监控可以打开,但开机无法自动运行 最简单的办法,执行杀毒软件的添加删除组件——修复,即可。另外已用GHOST备份系统盘的,那就简单了只需恢复系统盘,打开“我的电脑”文件夹选项里显示隐藏文件显示系统保护的文件,然后如上所说,将其他盘根目录的INI文件和EXE文件删除就可以了。有的软件点击不开,那是已经破坏了软件执行程序,执行软件的添加删除组件——修复,即可。
二)、我的解决办法:
1.搜索电脑中的所有“autorun.inf”文件和“sxs.exe”文件,先将“autorun.inf”统一删除,之后将“sxs.exe”统一删除(进程中没有SXS.exe的前提下);
2.查看启动项运行---msconfig,如果有就将其前面的勾去掉;
3.运行--regedit,查找sxs 或 SVOHOST,一直F3.知道查找结束;
4.隐藏文件的显示可以参照前文
---END
病毒特点: sxs.exe 特点是可以通过可移动磁盘传播,主要危害是盗取QQ帐户和密码,并且会终止大量反病毒软件的进程(瑞星、卡巴无一幸免),系统自带的防火墙也不能启动与关闭,系统文件隐藏无法显示,双击盘符无反映,任务管理器发现 sxs.exe 或者 svohost.exe (与系统进程 svchost.exe 一字之差),杀毒软件实时监控自动关闭并无法打开。电脑上每个磁盘都有“autorun.inf”文件和“sxs.exe”文件,重装系统也没有用。
网上有N多关于这种病毒的介绍和手工删除说明,而且基本上属于一个版本。如果症状和上面类似,可以参照一般解决方法。如果进程中找不到 sxs .exe或 SVOHOST.exe,每个盘符下的“autorun.inf”文件和“sxs.exe”文件删除又重新出现的话,请参见我的解决办法。
一)、一般解决办法:这是修改过的ROSE病毒,可以结束SXS的进程删除。: 在以下整个过程中不得双击分区盘,需要打开时用鼠标右键——打开
1.关闭病毒进程 Ctrl + Alt + Del 任务管理器,在进程中查找 sxs 或 SVOHOST(不是SVCHOST,相差一个字母),有的话就将它结束掉 。
2.显示出被隐藏的系统文件 运行——regedit HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL,将CheckedValue键值修改为1。 这里要注意,病毒会把本来有效的DWORD值CheckedValue删除掉,新建了一个无效的字符串值CheckedValue,并且把键值改为0!我们将这个改为1是毫无作用的。(有部分病毒变种会直接把这个CheckedValue给删掉,只需和下面一样,自己再重新建一个就可以了)。方法:删除此CheckedValue键值,单击右键 新建——Dword值——命名为CheckedValue,然后修改它的键值为1,这样就可以选择“显示所有隐藏文件”和“显示系统文件”。 在文件夹——工具——文件夹选项中将系统文件和隐藏文件设置为显示
3.删除病毒 在分区盘上单击鼠标右键——打开,看到每个盘跟目录下有 autorun.inf 和 sxs.exe 两个文件,将其删除。
4.删除病毒的自动运行项 打开注册表 运行——regedit HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Run 下找到 SoundMam 键值,可能有两个,删除其中的键值为 C:\\WINDOWS\system32\SVOHOST.exe 的。最后到 C:\\WINDOWS\system32\ 目录下删除 SVOHOST.exe 或 sxs.exe 。重启电脑后,发现杀毒软件可以打开,分区盘双击可以打开了。
5.后续 杀毒软件实时监控可以打开,但开机无法自动运行 最简单的办法,执行杀毒软件的添加删除组件——修复,即可。另外已用GHOST备份系统盘的,那就简单了只需恢复系统盘,打开“我的电脑”文件夹选项里显示隐藏文件显示系统保护的文件,然后如上所说,将其他盘根目录的INI文件和EXE文件删除就可以了。有的软件点击不开,那是已经破坏了软件执行程序,执行软件的添加删除组件——修复,即可。
二)、我的解决办法:
1.搜索电脑中的所有“autorun.inf”文件和“sxs.exe”文件,先将“autorun.inf”统一删除,之后将“sxs.exe”统一删除(进程中没有SXS.exe的前提下);
2.查看启动项运行---msconfig,如果有就将其前面的勾去掉;
3.运行--regedit,查找sxs 或 SVOHOST,一直F3.知道查找结束;
4.隐藏文件的显示可以参照前文
---END
本文转自 richardlee 51CTO博客,原文链接:http://blog.51cto.com/richardlee/23164
