sxs.exe病毒的免疫sxs.exe病毒一般是通过U盘进行传播的。当U盘被插入被病毒感染的电脑后,病毒会首先查找U盘的根目录里有没有sxs.exe和autorun.inf这两个文件,如果没有,病毒会自动把sxs.exe和autorun.inf复制到U盘的根目录下;如果有,病毒会设置sxs.exe的属性为只读且为系统文件,以达到隐藏自身的目的,并把原有的autorun.inf删除,重新创建一个autorun.inf文件,并写入数据。Sxs.exe病毒的查杀手动删除“sxs.exe病毒”方法: 在以下整个过程中不得双击分区盘,需要打开时用鼠标右键——打开 方法一1、
了解了病毒的传播方式,我们发现,可以通过在每一个盘符下放一个空白的sxs.exe文件,这样,病毒就不会复制一个真正的sxs.exe病毒到硬盘上了。2、免疫的方法:
新建一个文本文档,不用写入任何数据,重名为:sxs.exe。把这个假的sxs.exe复制到U盘的根目录下去就可以了。这样,就不会中真的sxs.exe了。3、免疫有效期:
目前为止,还没有发现有新的变种可以躲过此种免疫方案。方法二1、关闭病毒进程 Ctrl + Alt + Del 任务管理器,在进程中查找 sxs 或 SVOHOST(不是SVCHOST,相差一个字母),有的话就将它结束掉 2、显示出被隐藏的系统文件 运行——regedit HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL,将CheckedValue键值修改为1 这里要注意,病毒会把本来有效的DWORD值CheckedValue删除掉,新建了一个无效的字符串值CheckedValue,并且把键值改为0!我们将这个改为1是毫无作用的。(有部分病毒变种会直接把这个CheckedValue给删掉,只需和下面一样,自己再重新建一个就可以了) 方法:删除此CheckedValue键值,单击右键 新建——Dword值——命名为CheckedValue,然后修改它的键值为1,这样就可以选择“显示所有隐藏文件”和“显示系统文件”。 在文件夹——工具——文件夹选项中将系统文件和隐藏文件设置为显示 3、删除病毒 在分区盘上单击鼠标右键——打开,看到每个盘跟目录下有 autorun.inf 和 sxs.exe 两个文件,将其删除。 4、删除病毒的自动运行项 打开注册表 运行——regedit HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Run 下找到 SoundMam 键值,可能有两个,删除其中的键值为 C:\\WINDOWS\system32\SVOHOST.exe 的 最后到 C:\\WINDOWS\system32\ 目录下删除 SVOHOST.exe 或 sxs.exe 重启电脑后,发现杀毒软件可以打开,分区盘双击可以打开了。 前言:看到一个毒,动作非常简单,但有一点却算是有点创新精神的 字串7 ================================================================= 字串5sxs.exe样本信息: 字串7 反病毒引擎 版本 最后更新 扫描结果 AhnLab-V3 2007.9.14.0 2007.09.14 - AntiVir 7.6.0.10 2007.09.14 BDS/Graybird.GN.462336 Authentium 4.93.8 2007.09.15 - Avast 4.7.1043.0 2007.09.14 Win32:Hupigon-BQO AVG 7.5.0.485 2007.09.14 - BitDefender 7.2 2007.09.15 - CAT-QuickHeal 9.00 2007.09.14 - ClamAV 0.91.2 2007.09.15 Trojan.Downloader.Adload-130 DrWeb 4.33 2007.09.14 - eSafe 7.0.15.0 2007.09.13 - eTrust-Vet 31.1.5136 2007.09.14 - Ewido 4.0 2007.09.15 Backdoor.BlackHole.j FileAdvisor 1 2007.09.15 - Fortinet 3.11.0.0 2007.09.15 Generic.A!tr.bdr F-Prot 4.3.2.48 2007.09.15 - F-Secure 6.70.13030.0 2007.09.15 Trojan-Dropper.Win32.Agent.bvs Ikarus T3.1.1.12 2007.09.15 Trojan-PWS.Win32.Lmir Kaspersky 4.0.2.24 2007.09.15 Trojan-Dropper.Win32.Agent.bvs McAfee 5120 2007.09.14 BackDoor-CGX Microsoft 1.2803 2007.09.15 Backdoor:Win32/Blackhole.T NOD32v2 2531 2007.09.15 - Norman 5.80.02 2007.09.14 W32/Malware.APNA Panda 9.0.0.4 2007.09.14 Suspicious file Prevx1 V2 2007.09.15 Heuristic: Suspicious File Which Interferes With Vulnerable Files Like The HostsFile Rising 19.40.51.00 2007.09.15 - Sophos 4.21.0 2007.09.15 Mal/Generic-A Sunbelt 2.2.907.0 2007.09.15 Backdoor.Win32.Blackhole.T Symantec 10 2007.09.15 W32.SillyFDC TheHacker 6.2.5.060 2007.09.14 - VBA32 3.12.2.4 2007.09.15 suspected of Embedded.Backdoor.Win32.BlackHole.j VirusBuster 4.3.26:9 2007.09.14 - Webwasher-Gateway 6.0.1 2007.09.14 Trojan.Graybird.GN.462336 附加信息 File size: 505733 bytes MD5: b3bc73a0649c097457099d1d8363213d SHA1: 2d1f758d85321b8396212edd7942048fd1f03c2e packers: BINARYRES Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PX5=798BC273002A9C2C8493080EEBA3E6003F867310字串9字串6================================================================= 字串5文件改动: 字串4 创建: 字串4 C:\WINDOWS\system32\sysclient.exeC:\WINDOWS\system\services.exeC:\WINDOWS\winstart.dlll (注意是dlll而不是dll) 字串9----------------------------------------------------------------- 字串5注册表改动: 字串7添加: 字串2HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden
Type: REG_DWORD, Length: 4, Data: 0 字串9 HKCR\.dlll
Desired Access: All AccessHKCR\.dlll\(Default)
Type: REG_SZ, Length: 30, Data: dlll_Auto_File 字串2 HKCR\dlll_Auto_File
Desired Access: All AccessHKCR\dlll_Auto_File\(Default)
Type: REG_SZ, Length: 2, Data: HKCR\dlll_Auto_File\shell\open\command
Desired Access: All AccessHKCR\dlll_Auto_File
Desired Access: Maximum AllowedHKCR\dlll_Auto_File\shell
Desired Access: Maximum AllowedHKCR\dlll_Auto_File\shell\open
Desired Access: Maximum AllowedHKCR\dlll_Auto_File\shell\open\command
Desired Access: All AccessHKCR\dlll_Auto_File\shell\open\command\(Default)
Type: REG_SZ, Length: 68, Data: C:\WINDOWS\system\services.exe %1 字串3 HKCR\.dlll
Desired Access: All AccessHKCR\.dlll\(Default)
Type: REG_SZ, Length: 30, Data: dlll_auto_file 字串8HKCR\dl1_auto_file\shell\open\command
Desired Access: All AccessHKCR\dl1_auto_file
Desired Access: Maximum AllowedHKCR\dl1_auto_file\shell
Desired Access: Maximum AllowedHKCR\dl1_auto_file\shell\open
Desired Access: Maximum AllowedHKCR\dl1_auto_file\shell\open\command
Desired Access: All AccessHKCR\dl1_auto_file\shell\open\command\(Default)
Type: REG_SZ, Length: 62, Data: C:\WINDOWS\system\services.exe 字串4 HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
Desired Access: All AccessHKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\soundman
Type: REG_SZ, Length: 48, Data: C:\WINDOWS\WinStar.dlll 字串4 ================================================================= 字串9 创建了新的文件类型,把打开方式指向病毒主文件,在run键值里面直接写入C:\WINDOWS\WinStar.dlll; 字串7且不论这种加载方式是否高明,这个病毒是否厉害,相比于现在许许多多的使用生成器弄出来的“标准”病毒和一些用烂了的手法来说,这个东西算是有创新精神了; 字串2当然,制作病毒始终是犯法的,取其创新精华吧。 字串7 P.S.很久没有上传样本到VT检测,今天居然发现它有中文版了,呵呵! 字串4================================================================= 字串3 原创文件文章,作者dikex(六翼刺猬),转载请注明出处;文章地址:http://hi.baidu.com/dikex/blog/item/102881097eddec276b60fb9d.html |
