开机显示sxs.exe文件找不到,进入后双击开不了,显示打开方式,点右键打开没发现sxs.exe有autorun四个文件
发布网友
发布时间:2022-04-23 18:07
共4个回答
热心网友
时间:2023-11-03 08:10
【介绍】
1 病毒
每个盘根目录下生成:
\sxs.exe
\autorun.inf
内容为:
[AutoRun]
open=sxs.exe
shellexecute=sxs.exe
shell\Auto\command=sxs.exe
感染移动设备
另创建:
SVOHOST.exe
noruns.reg
HOOK:winscok.dll
阻止如下标题窗口
QQKav
网镖
木马
QQAV
噬菌体
防火墙
金山毒霸
木马
瑞星杀毒提示
禁用以下服务:
net.exe stop srservice
sc.exe config srservice start= disabled
net.exe stop sharedaccess
net.exe stop KVWSC
sc.exe config KVWSC start= disabled
net.exe stop KVSrvXP
sc.exe config KVSrvXP start= disabled
net.exe stop kavsvc
sc.exe config kavsvc start= disabled
net.exe stop RsRavMon
sc.exe config RsRavMon start= disabled
net.exe stop RsCCenter
sc.exe config RsCCenter start= disabled
禁止以下进程:
PFW.exe
Kav.exe
KVOL.exe
KavPFW.exe
TBMon.exe
kav32.exe
kvwsc.exe
CAPP.exe
EGHOST.exe
KRegEx.exe
kavsvc.exe
VPTray.exe
RAVMON.exe
KavPFW.exe
SHSTAT.exe
RavTask.exe
TrojDie.kxp
Iparmor.exe
MAILMON.exe
MCAGENT.exe
KAVPLUS.exe
RavMonD.exe
Rtvscan.exe
Nvsvc32.exe
KVMonXP.exe
Kvsrvxp.exe
Center.exe
KpopMon.exe
RfwMain.exe
regedit.exe
KWATCHUI.exe
MCVSESCN.exe
MSKAGENT.exe
kvolself.exe
KVCenter.kxp
kavstart.exe
RAVTIMER.exe
RRfwMain.exe
FireTray.exe
UpdaterUI.exe
KVSrvXp_1.exe
RavService.exe
创建注册表项:
Software\Microsoft\Windows\CurrentVersion\Run
SoundMam="SVOHOST.exe"
1}+2="SVOHOST.exe"
Software\Microsoft\Internet Explorer\New Windows
PopupMgr="no"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:bd
删除以下注册表启动项阻止一些安全软件的使用:
Software\Microsoft\Windows\CurrentVersion\Run
RavTask
KvMonXP
YLive.exe
yassistse
KAVPersonal50
含kakatool.dll
2 专杀功能
删除系统目录下的SXS.EXE、SVOHOST.EXE和WINSCOK.DLL文件
删除每个分区下的SXS.EXE和AUTORUN.INF文件
恢复注册表中不能设置显示隐藏文件的项目
原帖出处:http://bbs.crsky.com/read.php?tid=590454
在此感谢FF斑竹:Bon Jovi
说明:以上是对批处理的介绍..并非是要删除..
----------------------------------------------------------
此木马破坏瑞星杀毒软件和QQ的密码加密..
最后需要重装一下杀软和QQ
专杀攻击转载自瑞星的卡卡社区 http://forum.ikaka.com/topic.asp?board=28&artid=8182259&page=1
【源代码】如下,供研究学习用。
::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
::停止正在运行的SXS.EXE和SVOHOST.EXE进程
::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
TASKKILL /F /T /IM SXS.EXE
TASKKILL /F /T /IM SVOHOST.EXE
::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
::删除系统目录下的SXS.EXE、SVOHOST.EXE和WINSCOK.DLL文件
::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
ATTRIB -R -H -S -A %SystemRoot%\System32\SXS.EXE
ATTRIB -R -H -S -A %SystemRoot%\System32\SVOHOST.EXE
ATTRIB -R -H -S -A %SystemRoot%\System32\WINSCOK.DLL
DEL /F /Q /A -R -H -S -A %SystemRoot%\System32\SXS.EXE
DEL /F /Q /A -R -H -S -A %SystemRoot%\System32\SVOHOST.EXE
DEL /F /Q /A -R -H -S -A %SystemRoot%\System32\WINSCOK.DLL
ATTRIB -R -H -S -A %SystemRoot%\SXS.EXE
ATTRIB -R -H -S -A %SystemRoot%\SVOHOST.EXE
ATTRIB -R -H -S -A %SystemRoot%\WINSCOK.DLL
DEL /F /Q /A -R -H -S -A %SystemRoot%\SXS.EXE
DEL /F /Q /A -R -H -S -A %SystemRoot%\SVOHOST.EXE
DEL /F /Q /A -R -H -S -A %SystemRoot%\WINSCOK.DLL
ATTRIB -R -H -S -A %SystemRoot%\System\SXS.EXE
ATTRIB -R -H -S -A %SystemRoot%\System\SVOHOST.EXE
ATTRIB -R -H -S -A %SystemRoot%\System\WINSCOK.DLL
DEL /F /Q /A -R -H -S -A %SystemRoot%\System\SXS.EXE
DEL /F /Q /A -R -H -S -A %SystemRoot%\System\SVOHOST.EXE
DEL /F /Q /A -R -H -S -A %SystemRoot%\System\WINSCOK.DLL
ATTRIB -R -H -S -A %SystemRoot%\System32\dllcache\SXS.EXE
ATTRIB -R -H -S -A %SystemRoot%\System32\dllcache\SVOHOST.EXE
ATTRIB -R -H -S -A %SystemRoot%\System32\dllcache\WINSCOK.DLL
DEL /F /Q /A -R -H -S -A %SystemRoot%\System32\dllcache\SXS.EXE
DEL /F /Q /A -R -H -S -A %SystemRoot%\System32\dllcache\SVOHOST.EXE
DEL /F /Q /A -R -H -S -A %SystemRoot%\System32\dllcache\WINSCOK.DLL
::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
::删除每个分区下的SXS.EXE和AUTORUN.INF文件
::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
FOR %%a IN ( C: D: E: F: G: H: I: J: K: L: M: N: O: P: Q: R: S: T: U: V: W: X: Y: Z: ) DO ATTRIB -R -H -S -A %%a\SXS.EXE & DEL /F /Q /A -R -H -S -A %%a\SXS.EXE & ATTRIB -R -H -S -A %%a\AUTORUN.INF & DEL /F /Q /A -R -H -S -A %%a\AUTORUN.INF
::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
::删除注册表中自启动项
::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
ECHO Windows Registry Editor Version 5.00>SoundMam.reg
ECHO [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SoundMam]>>SoundMam.reg
ECHO [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]>>SoundMam.reg
ECHO "SoundMam"=->>SoundMam.reg
REGEDIT /S SoundMam.reg
DEL /F /Q SoundMam.reg
::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
::恢复注册表中不给设置显示隐藏文件的项目
::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
ECHO Windows Registry Editor Version 5.00>SHOWALL.reg
ECHO [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]>>SHOWALL.reg
ECHO "CheckedValue"=->>SHOWALL.reg
ECHO [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]>>SHOWALL.reg
ECHO "CheckedValue"=dword:00000001>>SHOWALL.reg
REGEDIT /S SHOWALL.reg
DEL /F /Q SHOWALL.reg
3 下载 见附件
4 用法 下载后双击运行。
5 提示 最后需要重装一下杀软(瑞星)和QQ
热心网友
时间:2023-11-03 08:10
...SXS病毒,AUTORUN是调用病毒的文件,却没被杀毒软件杀掉,处理方法:右键点打开打开盘符,然后删除AUTORUN.INI,然后重启即可
热心网友
时间:2023-11-03 08:10
下载卡巴斯基杀!
热心网友
时间:2023-11-03 08:11
autorun病毒怎么杀啊有专杀工具, 你在里找一下
