病毒清除

masterfan 2007-05-26

展開全文

關(guān)鍵詞： Trojan.PSW.QQPa autorun.inf

今天剛清除了sms.exe病毒(瑞星稱為 Trojan.PSW.QQPass.pqb 病毒)，現(xiàn)在將方法匯總一下，供大家參考：

特征：在每個(gè)盤根目錄下自動(dòng)生成sxs.exe,autorun.inf文件，有的還在windows\system32下生成SVOHOST.exe 或 sxs.exe ，文件屬性為隱含屬性。自動(dòng)禁用殺毒軟件。

傳染途徑：主要通過U盤，移動(dòng)硬盤

迷惑性：

1、按ctrl+del+alt查看進(jìn)程，可能多出svohost進(jìn)程，他與系統(tǒng)自帶的svchost只差一字，大家要看清楚！

2、注冊(cè)表修改項(xiàng)隱蔽更強(qiáng)，如何修改我將在下面詳細(xì)說明。

3、自動(dòng)修改注冊(cè)表，使系統(tǒng)“顯示所有隱藏文件”功能失效，從而達(dá)到隱藏自己病毒體文件的目的。

清除辦法：

建議到安全模式下，網(wǎng)上有許多網(wǎng)友說直接搜索sms.exe文件刪除是不可以的，因?yàn)橐粍h除后，只要你刷新就立刻出現(xiàn)。

1、關(guān)閉病毒進(jìn)程

Ctrl + Alt + Del 任務(wù)管理器，在進(jìn)程中查找 sxs 或 SVOHOST（不是SVCHOST，相差一個(gè)字母），有的話就將它結(jié)束掉（并不是所有的系統(tǒng)都顯示有這個(gè)進(jìn)程，沒有的就略過此步）。

2、恢復(fù)注冊(cè)表（有的系統(tǒng)可能病毒沒有修改注冊(cè)表，檢驗(yàn)辦法是，如果您的系統(tǒng)能看到隱藏文件那么這步可以省略，建議大家都看一下）

(刪除病毒自啟動(dòng)項(xiàng))打開注冊(cè)表運(yùn)行——regedit

HKEY_LOCAL_MACHINE>;SOFTWARE>;Microsoft>;Windows>;CurrentVersion>;Run

SVOHOST.exe 或 sxs.exe

下找到 SoundMam（注意不是soundman,只差一個(gè)字母）鍵值，可能有兩個(gè)，刪除其中的鍵值為 C:\\WINDOWS\system32\SVOHOST.exe 的（顯示出被隱藏的系統(tǒng)文件）

HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL，將CheckedValue鍵值修改為1

這里要注意，病毒會(huì)把本來有效的DWORD值CheckedValue刪除掉，新建了一個(gè)無效的字符串值CheckedValue,類型為REG_SZ，并且把鍵值改為0！我們將這個(gè)改為1是毫無作用的。大家要看清楚CheckedValue后面的類型，正確的是“RED_DWORD”而不是“REG_SZ”（有部分病毒變種會(huì)直接把這個(gè)CheckedValue給刪掉，只需和下面一樣，自己再重新建一個(gè)就可以了）

方法：刪除此CheckedValue鍵值，單擊右鍵新建——Dword值——命名為CheckedValue，然后修改它的鍵值為1，這樣就可以選擇“顯示所有隱藏文件”和“顯示系統(tǒng)文件”。在文件夾——工具——文件夾選項(xiàng)中將系統(tǒng)文件和隱藏文件設(shè)置為顯示

3、刪除病毒體文件

在分區(qū)盤上單擊鼠標(biāo)右鍵——打開，看到每個(gè)盤跟目錄下有 autorun.inf 和 sxs.exe 兩個(gè)文件，將其刪除。

最徹底的刪除辦法是：?jiǎn)螕糸_始--運(yùn)行--cmd 確定后在dos狀態(tài)下寫如下命令(一般系統(tǒng)盤跟目錄下可能沒有病毒體文件，但是其他盤應(yīng)該都存在)

attrib -h -r -s c:\sxs.exe

del c:\sxs.exe

attrib -h -s -r c:\autorun.inf

del c:\autorun.inf

attrib -h -r -s d:\sxs.exe

del d:\sxs.exe

attrib -h -s -r d:\autorun.inf

del d:\autorun.inf

如果大家還有其他的盤符可以參考我上面的寫一下就可以，如果有E盤，那就是

attrib -h -r -s e:\sxs.exe

del e:\sxs.exe

attrib -h -s -r e:\autorun.inf

del e:\autorun.inf

=============建議大家可以寫成一的批處理，然后運(yùn)行一下就ok了。

最后到 C:\\WINDOWS\system32\ 目錄下刪除 SVOHOST.exe 或 sxs.exe

為了方便大家我寫了一個(gè)批處理刪除病毒體文件，運(yùn)行的時(shí)候如果提示“沒有發(fā)現(xiàn)該文件”說明找不到病毒體文件，沒有關(guān)系的。因?yàn)橛行┠夸洸《究赡軟]有復(fù)制到里面去。

大家把這個(gè)復(fù)制后用文本文件保存，然后改名為delsxs.bat,最后雙擊運(yùn)行就ok了,我只寫到G盤的，估計(jì)就夠用的，另外加了個(gè)h（u）盤的

attrib -h -r -s c:\sxs.exe

del c:\sxs.exe

attrib -h -s -r c:\autorun.inf

del c:\autorun.inf

attrib -h -r -s d:\sxs.exe

del d:\sxs.exe

attrib -h -s -r d:\autorun.inf

del d:\autorun.inf

attrib -h -r -s e:\sxs.exe

del e:\sxs.exe

attrib -h -s -r e:\autorun.inf

del e:\autorun.inf

attrib -h -r -s f:\sxs.exe

del f:\sxs.exe

attrib -h -s -r f:\autorun.inf

del f:\autorun.inf

attrib -h -r -s g:\sxs.exe

del g:\sxs.exe

attrib -h -s -r g:\autorun.inf

del g:\autorun.inf

attrib -h -r -s h:\sxs.exe

del h:\sxs.exe

attrib -h -s -r h:\autorun.inf

del h:\autorun.inf

最后提醒大家的是：使用u盤或者是移動(dòng)硬盤的時(shí)候要在插入后，立刻按住shift鍵，防止自動(dòng)運(yùn)行程序啟動(dòng)，打開的時(shí)候要點(diǎn)右鍵--打開，這樣病毒就不會(huì)運(yùn)行（如果存在病毒文件sxs.exe和autorun.inf直接刪除就ok了），否則如果你的u盤上有此病毒，你雙擊后，非但打不開u盤，還運(yùn)行了病毒程序，呵呵上面做的一切都要重做了哦。

至于殺毒軟件不能自動(dòng)啟動(dòng)的問題，那可以重新安裝或者參考各殺毒軟件的處理辦法了，這里就不一一列舉了

最簡(jiǎn)單的方法：
sxs.exe病毒專殺工具之“橙色八月專殺工具.bat”

打開記事本將以下代碼復(fù)制后另存為“橙色八月sxs專殺工具.bat”文件，然后運(yùn)行！

echo.
@echo::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
@echo::停止正在運(yùn)行的SXS.EXE和SVOHOST.EXE進(jìn)程，請(qǐng)稍侯......
@echo::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
TASKKILL /F /T /IM SXS.EXE
TASKKILL /F /T /IM SVOHOST.EXE
TASKKILL /F /T /IM ROSE.EXE
color 4F
color 0C
color 4F
color 0C
color 4F
color 0C
echo.
echo.
@echo::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
@echo::恢復(fù)注冊(cè)表中不給設(shè)置顯示隱藏文件的項(xiàng)目,請(qǐng)稍侯
@echo::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
ECHO Windows Registry Editor Version 5.00>SHOWALL.reg
ECHO [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]>>SHOWALL.reg
ECHO "CheckedValue"=->>SHOWALL.reg
ECHO [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]>>SHOWALL.reg
ECHO "CheckedValue"=dword:00000001>>SHOWALL.reg
@echo::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
@echo::刪除系統(tǒng)目錄下的SXS.EXE、SVOHOST.EXE和WINSCOK.DLL文件,請(qǐng)稍侯......
@echo::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
ATTRIB -R -H -S -A %SystemRoot%\System32\SXS.EXE
ATTRIB -R -H -S -A %SystemRoot%\System32\SVOHOST.EXE
ATTRIB -R -H -S -A %SystemRoot%\System32\WINSCOK.DLL
DEL /F /Q /A -R -H -S -A %SystemRoot%\System32\SXS.EXE
DEL /F /Q /A -R -H -S -A %SystemRoot%\System32\SVOHOST.EXE
DEL /F /Q /A -R -H -S -A %SystemRoot%\System32\WINSCOK.DLL
ATTRIB -R -H -S -A %SystemRoot%\SXS.EXE
ATTRIB -R -H -S -A %SystemRoot%\SVOHOST.EXE
ATTRIB -R -H -S -A %SystemRoot%\WINSCOK.DLL
DEL /F /Q /A -R -H -S -A %SystemRoot%\SXS.EXE
DEL /F /Q /A -R -H -S -A %SystemRoot%\SVOHOST.EXE
DEL /F /Q /A -R -H -S -A %SystemRoot%\WINSCOK.DLL
ATTRIB -R -H -S -A %SystemRoot%\System\SXS.EXE
ATTRIB -R -H -S -A %SystemRoot%\System\SVOHOST.EXE
ATTRIB -R -H -S -A %SystemRoot%\System\WINSCOK.DLL
DEL /F /Q /A -R -H -S -A %SystemRoot%\System\SXS.EXE
DEL /F /Q /A -R -H -S -A %SystemRoot%\System\SVOHOST.EXE
DEL /F /Q /A -R -H -S -A %SystemRoot%\System\WINSCOK.DLL
ATTRIB -R -H -S -A %SystemRoot%\System32\dllcache\SXS.EXE
ATTRIB -R -H -S -A %SystemRoot%\System32\dllcache\SVOHOST.EXE
ATTRIB -R -H -S -A %SystemRoot%\System32\dllcache\WINSCOK.DLL
DEL /F /Q /A -R -H -S -A %SystemRoot%\System32\dllcache\SXS.EXE
DEL /F /Q /A -R -H -S -A %SystemRoot%\System32\dllcache\SVOHOST.EXE
DEL /F /Q /A -R -H -S -A %SystemRoot%\System32\dllcache\WINSCOK.DLL
@echo::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
@echo::刪除每個(gè)分區(qū)下的SXS.EXE和AUTORUN.INF文件，請(qǐng)稍侯.......
@echo::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
FOR %%a IN ( C: D: E: F: G: H: I: J: K: L: M: N: O: P: Q: R: S: T: U: V: W: X: Y: Z: ) DO ATTRIB -R -H -S -A %%a\SXS.EXE & DEL /F /Q /A -R -H -S -A %%a\SXS.EXE & ATTRIB -R -H -S -A %%a\AUTORUN.INF & DEL /F /Q /A -R -H -S -A %%a\AUTORUN.INF
@echo::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
@echo::刪除注冊(cè)表中自啟動(dòng)項(xiàng)，請(qǐng)稍侯......
@echo::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
ECHO Windows Registry Editor Version 5.00>SoundMam.reg
ECHO [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SoundMam]>>SoundMam.reg
ECHO [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]>>SoundMam.reg
ECHO "SoundMam"=->>SoundMam.reg
REGEDIT /S SoundMam.reg
DEL /F /Q SoundMam.reg

REGEDIT /S SHOWALL.reg
DEL /F /Q SHOWALL.reg
color 3f
echo.
@echo 病毒文件已清除!
echo.
echo.
echo.
@echo
@echo
@echo
@echo
@echo
@echo
@echo
echo.
@echo
echo.
@echo
echo.
@echo
echo.
@echo
echo.
echo.
echo.
echo.
pause
echo.
echo.
echo.
echo.
echo.
echo.
echo.

大家試試看！絕對(duì)管用，我用過的。

新建一個(gè)文本文檔，復(fù)制以下內(nèi)容并保存。然后將后面的.txt改為.bat然后成為一個(gè)批處理文件，運(yùn)行即可殺除。

@echo on
taskkill /im explorer.exe /f
taskkill /im wscript.exe
start reg add HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\EXplorer\Advanced /v ShowSuperHidden /t REG_DWORD /d 1 /f
start reg import kill.reg
del c:\autorun.* /f /q /as
del %SYSTEMROOT%\system32\autorun.* /f /q /as
del d:\autorun.* /f /q /as
del e:\autorun.* /f /q /as
del f:\autorun.* /f /q /as
del g:\autorun.* /f /q /as
del h:\autorun.* /f /q /as
del i:\autorun.* /f /q /as
del j:\autorun.* /f /q /as
del k:\autorun.* /f /q /as
del l:\autorun.* /f /q /as
start explorer.exe

回答者：baoren9665 - 助理二級(jí) 1-3 18:49

玩轉(zhuǎn) autorun.inf
字號(hào) [大中小]
玩轉(zhuǎn)Autorun.inf

前文，我發(fā)了一篇關(guān)于autorun.inf的病毒文章，那么是不是所有的autorun.inf都是病毒呢？當(dāng)然不是了，其實(shí)這個(gè)文件如果用好了還是對(duì)用戶大有用處的。
了解Autorun.inf
什么是Autorun.inf文件呢，嚴(yán)格的說它是一個(gè)必須存放在驅(qū)動(dòng)器根目錄下的有一定格式的文本文件，它是由一個(gè)或多個(gè)“節(jié)”組成，每個(gè)“節(jié)”民須以節(jié)名作為開始的一行，節(jié)名必須用中括號(hào)[]括起來，節(jié)名之下則為本節(jié)中的命令。
其中Autorun.inf一共支持三個(gè)節(jié)，它們分雖為[autorun]、[autorun.alpha]、[Deviceinstall]，其中只有[autorun]是必須存在的。

實(shí)例應(yīng)用
現(xiàn)在我們就來以實(shí)例的方式來詳細(xì)了解Autorun.inf文件到底有哪些慶用。
(1)自動(dòng)運(yùn)行
自動(dòng)運(yùn)行在前文有所接觸，即使用Open命令進(jìn)行，要注意的是“Open=”指定的文件必須為可執(zhí)行文件，例如com、exe、bat；如果指定的文件不在根目錄下，則需要指定其路徑，例如Open=soft .bat，這就表示運(yùn)行光盤根目錄下soft文件夾中的1.bat文件。
小提示：如果要運(yùn)行的文件不是com、exe、bat，那么也沒關(guān)系，我們可以手工編寫一個(gè)bat文件，將要打開的文件所在路徑和文件名添加在bat之中即可。
(2)自定義光盤圖標(biāo)
在Autorun節(jié)中，還有一個(gè)比較好玩的命令行，那就是icon，一般情況下指定的圖標(biāo)文件可以是ico和bmp格式，當(dāng)然也可以是包含圖標(biāo)資源的exe和dll文件，如果exe和dll文件中包含多個(gè)圖標(biāo)文件，那么就必須指定希望使用的圖標(biāo)索引號(hào)，要注意的是圖標(biāo)索引號(hào)是從0開始編號(hào)的，例如“icon=icon.dll,1”，那么就表示將使用icon.dll文件中的第二個(gè)圖標(biāo)。
小提示：icon不僅可以應(yīng)用在光盤上，我們也可以將該命令編寫進(jìn)autorun.inf文件放置在硬盤根目錄自定義硬盤的圖標(biāo)。
(3)自定義卷標(biāo)
雖然說光盤刻錄軟件中一般都可以設(shè)置光盤卷標(biāo)，但是如果要批量刻錄的話，那就會(huì)顯的很麻煩，不如使用命令定義的快捷。
定義卷標(biāo)是利用Label命令來完成的，它的語法和Open、Icon是一樣的，在這里不再多述。
(4)添加右鍵菜單
當(dāng)我們右擊刻錄的光盤時(shí)，經(jīng)常會(huì)在右鍵菜單中發(fā)現(xiàn)一個(gè)自動(dòng)播放的選項(xiàng)，其實(shí)這主要是利用Autorun.inf中的Open命令來實(shí)現(xiàn)的，其實(shí)我們還可以根據(jù)需要添加其它菜單命令。
添加其它菜單命令的格式是“Shell<菜單命令名>Command=<要執(zhí)行的文件>”，例如我們編寫了一個(gè)文件內(nèi)容如下：
[autorun]
shell打開記事本command=notepad.exe
這樣當(dāng)我們將該文件刻錄進(jìn)光盤時(shí)，右擊光盤時(shí)在彈出菜單中就會(huì)有一個(gè)“打開記事本”的命令了。
(5)改變?nèi)笔〔僮?
一般情況下應(yīng)用autorun.inf的光盤雙擊缺省操作大多是自動(dòng)播放，即執(zhí)行open后面的文件操作。其實(shí)我們也可以改變這種情況，而這同樣是利用shell命令來完成。
我們先來看一個(gè)典型雙擊安裝軟件的示例：
[autorun]
shellsetupcommand=softsetup.exe
shell eadme=安裝軟件
shell=setup
要看懂這段語句，我們可以從下向上看，當(dāng)我們雙擊光盤時(shí)，將調(diào)用最后一句Shell=setup，因?yàn)樵O(shè)置了該句，那么雙擊時(shí)將查找對(duì)應(yīng)Shellsetupcommand后面指定的命令來作為默認(rèn)操作，因此默認(rèn)的操作將變成執(zhí)行光盤根目錄下的soft文件夾中的setup.exe文件。

在這里主要介紹的是autorun節(jié)內(nèi)容的應(yīng)用，而對(duì)于autorun.alpha來說我們很少用到，而Deviceinstall只能在Windows XP下使用，可以利用它指定硬件向?qū)нM(jìn)行遞歸搜索的子目錄。

理論基礎(chǔ)

經(jīng)常使用光盤的朋友都知道，有很多光盤放入光驅(qū)就會(huì)自動(dòng)運(yùn)行，它們是怎么做的呢？光盤一放入光驅(qū)就會(huì)自動(dòng)被執(zhí)行，主要依靠?jī)蓚€(gè)文件，一是光盤上的AutoRun.inf文件，另一個(gè)是操作系統(tǒng)本身的系統(tǒng)文件之一的Cdvsd.vxd。Cdvsd.vxd會(huì)隨時(shí)偵測(cè)光驅(qū)中是否有放入光盤的動(dòng)作，如果有的話，便開始尋找光盤根目錄下的AutoRun.inf文件。如果存在AutoRun.inf文件則執(zhí)行它里面的預(yù)設(shè)程序。

AutoRun.inf不光能讓光盤自動(dòng)運(yùn)行程序，也能讓硬盤自動(dòng)運(yùn)行程序，方法很簡(jiǎn)單，先打開記事本，然后用鼠標(biāo)右鍵點(diǎn)擊該文件，在彈出菜單中選擇“重命名”，將其改名為AutoRun.inf，在AutoRun.inf中鍵入以下內(nèi)容：

[AutoRun] //表示AutoRun部分開始，必須輸入
Icon=C:\C.ico //給C盤一個(gè)個(gè)性化的盤符圖標(biāo)C.ico
Open=C:\1.exe //指定要運(yùn)行程序的路徑和名稱，在此為C盤下的1.exe

保存該文件，按F5刷新桌面，再看“我的電腦”中的該盤符（在此為C盤），你會(huì)發(fā)現(xiàn)它的磁盤圖標(biāo)變了，雙擊進(jìn)入C盤，還會(huì)自動(dòng)播放C盤下的1.exe文件！

解釋一下：“[AutoRun]”行是必須的固定格式，“Icon”行對(duì)應(yīng)的是圖標(biāo)文件，“C:\C.ico”為圖標(biāo)文件路徑和文件名，你在輸入時(shí)可以將它改為你的圖片文件所在路徑和文件名。另外，“.ico”為圖標(biāo)文件的擴(kuò)展名，如果你手頭上沒有這類文件，可以用看圖軟件ACDSee將其他格式的軟件轉(zhuǎn)換為ico格式，或者找到一個(gè)后綴名為BMP的文件，將它直接改名為ICO文件即可。

“Open”行指定要自動(dòng)運(yùn)行的文件及其盤符和路徑。要特別說明的是，如果你要改變的硬盤跟目錄下沒有自動(dòng)播放文件，就應(yīng)該把“OPEN”行刪掉，否則就會(huì)因?yàn)檎也坏阶詣?dòng)播放文件而打不開硬盤，此時(shí)只能用鼠標(biāo)右鍵單擊盤符在彈出菜單中選“打開”才行.

相信大家學(xué)了之后一定會(huì)大開眼界，其實(shí)除了本文所介紹之外，還有很多精彩的應(yīng)用等著你來挖掘。要知道學(xué)習(xí)是師傅領(lǐng)進(jìn)門，修行靠個(gè)人。

本站是提供個(gè)人知識(shí)管理的網(wǎng)絡(luò)存儲(chǔ)空間，所有內(nèi)容均由用戶發(fā)布，不代表本站觀點(diǎn)。請(qǐng)注意甄別內(nèi)容中的聯(lián)系方式、誘導(dǎo)購買等信息，謹(jǐn)防詐騙。如發(fā)現(xiàn)有害或侵權(quán)內(nèi)容，請(qǐng)點(diǎn)擊一鍵舉報(bào)。

轉(zhuǎn)藏 分享

QQ空間 QQ好友新浪微博微信

獻(xiàn)花（0） +1

來自： masterfan > 《我的圖書館》

舉報(bào)/認(rèn)領(lǐng)