RxpMon.exe/Sos.exe木马病毒查杀-阿里云开发者社区

开发者社区> 科技小能手> 正文

RxpMon.exe/Sos.exe木马病毒查杀

简介:
+关注继续查看

▲病毒症状:

RxpMon.exe sos.exe是一种木马病毒,病毒在运行后将systom.exesos.exeautorun.infTnT.exe复制到每个盘的根目录下,双击盘符运行病毒并导致无法打开磁盘分区,可以通过U盘传染。
RxpMon.exe病毒会将自身复制到c:\windows\system32目录下,在系统注册表中添加启动项通过运行其它随机文件实现间接自动开机启动。
Sos.exe病毒在系统注册表中添加启动项实现自动启动。病毒禁用任务管理器、关闭windows update,并且隐藏病毒文件,给手工清除带来麻烦。当用户浏览被病毒修改的文件时,会自动连接到指定的网址下载其它木马程序。
▲清除方法:
一、专杀工具清除:
下载worm.win32.autorun.bp专杀工具进行清除后,下载超级巡警autorun U盘病毒免疫器对电脑所有磁盘进行免疫。
二、手工清除:
1、  结束Rxpmon进程。
2、  进入DOS,进入c:\windows\system32删除RxpMon.exe,删除每个盘符根目录下的systom.exesos.exe
Autorun.inftnt.exe病毒文件。
3、  进入安全模式,删除Hkey_local_machine\software\Microsoft\windows\currentversion\run crsss
4、  打开c:\windows\system32\drivers\etc\hosts文件,在末行添加0.0.0.0 [url]www.balldu.com[/url] 回车,屏蔽[url]www.balldu.com[/url]网页。
5、  删除:Hkey_current_user\software\microsoft\windows\currentversion\policies\windowsupdate disablewindowsupdate access
6、  删除:Hkey_current_user\software\microsoft\windows\currentversion\policies\system disabletaskmgr
7、  删除:Hkey_current_user\software\microsoft\windows\currentversion\explorer\mountpoints2
8、  运行卡卡安全助手,删除所有可疑的启动项。
9、  下载超级巡警autorun U盘病毒免疫器对电脑所有磁盘进行免疫。
▲注:如果一进入安全模式就蓝屏,先尝试在正常模式下手工清除,再不行参考[url]http://blog.csdn.net/MPU/archive/[/url]2007/12/10/1926348.aspx


本文转自 donhuang 51CTO博客,原文链接:http://blog.51cto.com/donhuang/56454

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
假期临近木马病毒瞄准学生群体 高校首页频被黑
6月22日,金山毒霸云安全中心发布周(6.22-6.28)病毒预警,随着高考的结束和学生假期的临近,学生群体对高校网站、旅游网站访问量激增,需当心“狂风下载器”暑期作恶。 金山毒霸反病毒专家李铁军介绍,用户一旦感染“狂风下载器”,个人隐私和财产安全都会面临极大风险,由于“狂风下载器”还可以不断下载其他病毒,给用户带来“杀不净”的无限烦恼。
853 0
病毒木马防御与分析实战
《病毒木马防御与分析》系列以真实的病毒木马(或恶意程序)为研究对象,通过现有的技术手段对其分析,总结出它的恶意行为,进而制定出相应的应对方法,对其彻底查杀。当然,因为我个人水平的有限,查杀分析的病毒可能不是过于高端复杂,但对你认识病毒工作原理还是会很有帮助的,甚至最后你也可以利用c语言实现一个简单的病毒程序。
3360 0
木马病毒节日活跃 过年上网提防“四害”
    长假前后历来是木马病毒的高发期。随着亲友间联系、网络购物等日渐活跃,木马病毒也乘虚而入。360安全专家表示,当前木马病毒传播主要有4种方式,广大网民在上网时要特别加以提防。     钓鱼网站“偷梁换柱”。
956 0
阿里云服务器端口号设置
阿里云服务器初级使用者可能面临的问题之一. 使用tomcat或者其他服务器软件设置端口号后,比如 一些不是默认的, mysql的 3306, mssql的1433,有时候打不开网页, 原因是没有在ecs安全组去设置这个端口号. 解决: 点击ecs下网络和安全下的安全组 在弹出的安全组中,如果没有就新建安全组,然后点击配置规则 最后如上图点击添加...或快速创建.   have fun!  将编程看作是一门艺术,而不单单是个技术。
4503 0
阿里云ECS云服务器初始化设置教程方法
阿里云ECS云服务器初始化是指将云服务器系统恢复到最初状态的过程,阿里云的服务器初始化是通过更换系统盘来实现的,是免费的,阿里云百科网分享服务器初始化教程: 服务器初始化教程方法 本文的服务器初始化是指将ECS云服务器系统恢复到最初状态,服务器中的数据也会被清空,所以初始化之前一定要先备份好。
10774 0
网站源文件被注入了iframe代码—ARP欺骗的木马病毒攻击
我就很纳闷,运行了4年的网站一直都好好的最近怎么出现病毒提示呢。职业习惯原因打开了网站的源代码查看,原来在网页源代码的头部被加入了iframe嵌套框架网页,该网页执行木马程序……按照常理我心中一寒:估计是服务器被人攻陷了,所有文件代码被加了此行代码,于是FTP上去,下载文件下来查看却没有该代码。
1406 0
阿里云ECS云服务器初始化设置教程方法
阿里云ECS云服务器初始化是指将云服务器系统恢复到最初状态的过程,阿里云的服务器初始化是通过更换系统盘来实现的,是免费的,阿里云百科网分享服务器初始化教程: 服务器初始化教程方法 本文的服务器初始化是指将ECS云服务器系统恢复到最初状态,服务器中的数据也会被清空,所以初始化之前一定要先备份好。
3230 0
14491
文章
0
问答
文章排行榜
最热
最新
相关电子书
更多
文娱运维技术
立即下载
《SaaS模式云原生数据仓库应用场景实践》
立即下载
《看见新力量:二》电子书
立即下载