求救,C盘系统任务不见了?
发布网友
发布时间:2023-07-17 21:25
共1个回答
热心网友
时间:2024-10-23 22:47
当寒冰第一次遇上这个病毒时,由于有了u盘auto 病毒的查杀经验,通过把“文件夹选项”中的
“隐藏受保护的操作系统文件(推荐)”前面的勾取消,并选择下面的“显示所有文件和文件夹”,明显看到autorun.inf,打开autorun.inf,里面写着
[AutoRun]
open=sxs.exe
shellexecute=sxs.exe
由此判定另一个文件sxs.exe为同谋,且为真正元凶。意思就是当你双击硬盘盘符,或者你选择“AUTO”打开时,程序自动执行sxs.exe文件,也就是运行病毒了,所以,就算你把c盘格式化,只要你双击其他盘符,马上病毒就重新运作,走遍全盘了,也摆脱了不少网友一味重装就天下大吉的“谎言”。
二、杀毒程序无法运行
发现中毒后,马上启动朋友的瑞星查杀,可是,当界面一闪而过后,什么都没有了(后来连安装和卸载都无法正常进行),后来查资料才知道该病毒可以关闭窗口名为下列的应用程序:“QQKav 、雅虎助手、 防火墙、网镖、杀毒、病毒、木马、恶意、QQAV、噬菌体”,同时也可以结束下列进程:
sc.exe 、net.exe 、sc1.exe、net1.exe 、PFW.exe 、Kav.exe 、KVOL.exe 、KVFW.exe 、
TBMon.exe 、kav32.exe 、kvwsc.exe、 CCAPP.exe、EGHOST.exe 、KRegEx.exe 、kavsvc.exe 、VPTray.exe 、RAVMON.exe、 KavPFW.exe、SHSTAT.exe、RavTask.exe 、
TrojDie.kxp 、Iparmor.exe、 MAILMON.exe、 MCAGENT.exe、 KAVPLUS.exe 、RavMonD.exe 、Rtvscan.exe 、Nvsvc32.exe 、KVMonXP.exe 、Kvsrvxp.exe 、CCenter.exe 、KpopMon.exe、 RfwMain.exe 、KWATCHUI.exe、MCVSESCN.exe、
MSKAGENT.exe 、kvolself.exe 、KVCenter.kxp 、kavstart.exe 、RAVTIMER.exe 、
RRfwMain.exe 、FireTray.exe 、UpdaterUI.exe 、KVSrvXp_1.exe 、RavService.exe
换句话说,当前的主流杀软和防火墙都是其查杀对象,包括金山,卡吧,瑞星,江民,天网等等都无法正常启动的。
三、添加启动项
查看系统启动项,看到一个叫Soundmam的启动项,可是文件却是指向c:windows/system32,诈一看好像是声卡的驱动哦,不过朋友的机没有这个声卡驱动的啊,而且仔细一看,原来指向的文件是“SVOHOST.exe”,这下一看更加肯定了,又是一个假冒“svchost.exe”的骗子。
四、他方他言
之前在某论坛有人把该病毒上传后提供下载,让其他人测试,在这里选取其中的几个回复,加深各位对该病毒认识:
发贴者:姚鉴洋
说说那个东西吧。是前天帮人杀毒时发现的,在dos下杀软也未发现它们有问题。
提取出来,在自己机上试,确实厉害:XP sp2系统的防火墙立刻关了,提示说防火墙关闭,存在风险;接着杀软的实时监控也不见了;系统几乎停止响应,任务管理器中rundll32.exe进程的CPU占用率99%以上;又多了个svohost.exe进程。
昨天下午4点多的时候,偶已经把那些东西上报给国内3家杀软公司,请他们看看是否属于病毒。
不管你点击运行什么程序!都会报道说这程序要访问网络!(我是用诺顿检测到的),即是说世界级的杀软也不知那些东西是何物。
偶怕5楼大侠的毒库不够新而查不到,今天下午专门找了一台装诺顿10企业版的机子,升级毒库至最新,9月27日的(今天是29日,再升,却说已经是最新,不能再升),检查那个压缩包里的文件,查得飞快,最后提示是“已经查了3个文件”,既不说发现病毒,也不说没发现病毒。这正是世界级杀软的过人之处:其它杀软往往说“没发现病毒!”,诺顿不愧是经验丰富的“*湖”!
至于3楼和10楼说是Trojan.QQPass病毒,我想也不一定对。一个偷密码的木马也不至于把系统整到死掉这么傻吧,系统死了,人家会重装,还怎么偷呢。
昂翼的诺顿大师:
运行压缩包里的sxs之后,产生的svohost.exe文件会访问网络!
就算禁止访问网络之后! 因为svohost.exe还在进程里,所以这时候,不管你点击运行什么程序!都会报道说这程序要访问网络!(我是用诺顿检测到的)
比如我这时候打开WinRAR,然后winrar会访问网络!
独孤不败:
用卡巴没什么反应!但用Ewido就发现是Trojan.QQPass.jf
.......
总结:以上特征在寒冰遇见的5部机子各有所不同,共同的是sxs.exe文件和杀软无法正常启动,而右键添加AUTO项只有两部机出现过,而启动项目SOUNDMAM则只有在一部机出现过,而且其他机子也找不到svohost.exe这个文件,同时,一次删除后竟然会多出一个“pagefile的指向 MS-DOS 程序的快捷方式”,应该一并删除,总总迹象表明应该是病毒的不同变种所表现的不同特征。
而且,更有趣的是,在一部机子的sxs.exe图标,竟然是大侦探柯南的头像,不知道该作者是漫画迷还是喜欢跟我们玩侦探工作呢?呵呵~~
病毒报告
通俗名称:SXS.EXE
官方名称:Trojan/PSW.QQPass
作恶目的:一个盗取QQ帐号密码的木马病毒,特点是可以通过可移动磁盘传播。该病毒的主要危害是盗取QQ帐户和密码;该病毒还会结束大量反病毒软件,降低系统的安全等级。(不过很奇怪,在中毒的机子里,5个机主的QQ全部一切平安,只有2部机会自动发送一个正规的网页链接,相信是为了该网站增加流量而做的病毒营销,其中一个发送以下内容:“如果你能看到圆图说明你运气一直不错,如果是方图,说明你今天运气很好,如果什么也没有,那就别怪我啊。。。。hxxp://down.pjon.com/index.html ”)
极端作恶:侵入还原系统,更有甚者会侵入硬盘的GHO文件(网上传闻,寒冰也无法证实),也就是说,你的ghost系统已经不干净了,建议中毒者ghost还原前再检验一次MD5值,如果证实被感染,请使用另一版本安装!!!
而且最近一部机删除后竟然一进登录界面(也就是看到“欢迎使用”时)音箱发出开机音乐,但过了一两秒,音箱发出关机音乐。然后出现选择用户界面,无论选择那一个用户都是同样的状态,在“安全模式”下也是一样,最后也只好重装了,不过,在那部机寒冰也了解了最多东西了。
作恶手段:
1,生成文件
%system%\SVOHOST.exe
%system%\winscok.dll
2,添加启动项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"SoundMam" = "%system%\SVOHOST.exe"
3,盗取方式
键盘记录,包括软件盘;将盗取的号码和密码通过邮件发送到指定邮箱。
4,传播方式
检测系统是否有可移动磁盘,是则拷贝病毒到可移动磁盘根目录。
sxs.exe
autorun.inf
5,autorun.inf添加下列内容,达到自运行的目的。
[AutoRun]
open=sxs.exe
shellexecute=sxs.exe
6,关闭窗口名为下列的应用程序 (如上)
7,结束下列进程(如上)
8,删启动项
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
RavTask
KvMonXP
YLive.exe
yassistse
KAVPersonal50
NTdhcp
WinHoxt
解决方案-歪门邪道版解决方案-正规版:
方法一:针对以上症状,寒冰先上网找了相关的资料
1.显示隐藏病毒文件
开始-运行-输入regedit,打开注册表编辑器,找到以下键值HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL,将CheckedValue键值修改为1
如果有些机子没效果,隐藏文件还是没有显示的话,应该就是病毒它用了更狠的招数:它在修改注册表达到隐藏文件目的之后,为了稳妥起见,把本来有效的DWORD值CheckedValue删除掉,新建了一个无效的字符串值CheckedValue,并且把键值改为0!这样你以为把0改为1就会万事大吉,可是故障依旧如此!也就难怪出现以上的现象了。
正确的方法是:先检查CheckedValue的类型是否为REG_DWORD,如果不是则删掉“李鬼”CheckedValue(例如在本“案例”中,应该把类型为REG_SZ的CheckedValue删除)。然后单击右键“新建”--〉“Dword值”,并命名为CheckedValue,然后修改它的键值为1,这样就可以选择“显示所有隐藏文件”。
2.清楚病毒文件
现在可以看到在我的D:E:F:G:这些盘中(除了c盘)都出现了autorun.inf和sxs.exe两个文件,删除又再生.而且杀毒软件一直是无法启动,看来是病毒*了杀毒软件的运行,所以首先要把病毒的自动运行关掉了。
据说这是修改过的ROSE病毒,可以先结束SXS和SVOHOST(记住不是系统的svchost哦)的进程删除
打开我的电脑,单击工具菜单下的“文件夹选项”,单击“查看”标签 把“高级设置”中的“隐藏受保护的操作系统文件(推荐)”前面的勾取消掉,并选择下面的“显示所有文件和文件夹”选项,单击确定
用鼠标右键点C盘(不能双击!) 选择 “打开”,删除C盘下的 “autorun.inf”文件 和“sxs.exe”文件(寒冰好像c盘还未在此看见过他的病毒文件)
据寒冰所知,该病毒在c盘留下的文件为%SystemRoot%\System32\WINSCOK.DLL和%SystemRoot%\System32\SVOHOST.EXE,至于是否有其他病毒文件,寒冰技术有限也无法获知,如果以后有进一步变种或者新发现,一定会及时发布新的批处理文件。
至于其他盘,以d盘为例,用鼠标右键点D盘 选择 “打开”,删除D盘下的 “autorun.inf”文件 和“sxs.exe”文件
……
以此类推 删除所有盘上的 AUTORUN.INF文件 和“rose.exe”文件
3.清理启动项
单击开始-“运行” 输入 "regedit"(没有引号) ,回车
依次展开注册表编辑器左边的HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Run
删除Run项中的 ROSE (c:\windows\system32\SXS.exe)和soundmam这个项目(不一定有的)
然后重新启动计算机
上面我说的这个方法不一定奏效!sxs.exe没有专杀,一来建议各位使用瑞星和江民查杀,而在此重复提醒,正常模式是无法启动杀软的,只能在安全模式下进行;二来建议处理完其他盘的病毒文件后重新安装系统,寒冰所整理的批处理文件基本能清除c盘以外的所有病毒及在c盘发现的病毒文件,但是对于c盘的残留文件,恐怕病毒变种会进一步生成新文件,所以,建议各位保持杀软更新,及时查杀!!!
方法二:以上方法步骤已经集合在批处理文件中,使用寒冰在一楼提供的批处理文件,双击运行即可,呵呵
解决方案-歪门邪道版:
寒冰版一:该病毒可是寒冰见过的最顽固之一,针对频频在非系统盘复制autorun.inf和sxs.exe两个文件,寒冰曾经试过在安全模式下删除后新建两个同名文件,可是被病毒发觉,重启后又变成了他的手下,5555,不过寒冰建议ntfs格式的网友不烦试试新建后把两个文件的权限改为完全控制,相信可能会奏效也不一定,如果真的可以到时记得跟帖告诉寒冰哦
寒冰版二:昨晚突然想到一个方法,既然病毒是通过自动播放放毒的,那么禁止系统的自动播放功能不就一定程度上可以禁止病毒发作了(这叫带毒运作而不触发病毒,呵呵),所以希望中毒的朋友试试以下操作:(当然,这样你光盘的自动播放功能也无法实现,只能以后单击了,不过这是防范措施啦,可以有效防止病毒的自我复制)
