查找可疑進程,發現一名為SVOHOST.EXE的進程,顯然是想偽裝為SVCHOST的壞家伙。。
打開百度,搜索SVOHOST.EXE,才知道原來是武漢男生變種的木馬。。接著我想到了昨天下班的時候機子就有過CPU100%的情況,那時候也沒注意,以為是windows的小問題,重啟后就直接關機回家了。。。現在想想,肯定是昨天在網上找資料的時候,那些網站的廣告隨便亂跳出來。。。。汗下。。。
由于平時不喜歡在機子上安裝殺毒軟件,所以決定手動kill了它。。
于是又在百度上尋覓查殺SVOHOST.EXE得方法,發現方法就是到安全模式下刪除C:\WINDOWS\system32\SVOHOST.EXE,然后把啟動項內的啟動項目也刪除即可
按照方法做了。。可是發現馬上又有了。。。然后打開regedit,搜索SVOHOST,把所有相關都刪除。。。結果還是無濟于事。。。開始佩服這個木馬的霸道和強大了。。。。
NND,不管三七二十一了,決定用Ghost恢復系統,反正之前做過備份,恢復起來很快的
系統恢復,ok,心情輕松了。。。
準備打開E盤,安裝以下備份后沒有安裝的軟件。。。打不開!發現D盤和F盤也打不開。。。小問題,重啟下,ok,進去了,然后完完整整的把恢復后的系統全部整理完畢后,打開任務管理器。。。我傻眼了。。。SVOHOST.EXE赫然在目。。。為什么?重裝系統也沒用?這個東西。。。
接著馬上想到了之前的D、E、F盤打不開的情況。。。。
看來是被加入了自動播放的autorun文件了
既然這樣,我再用ghost恢復一次C盤,好好看看怎樣才能把這個木馬給槍斃了。。。嘿嘿,你霸道,我也不弱。。
恢復系統后,不敢直接雙擊D、E、F盤打開了,用右擊,發現右擊菜單上多出了個Auto,是自動播放。。。不選擇,直接選擇打開,進入盤符后,設置顯示隱藏文件,發現沒有autorun.inf的文件!!不可能的。。。然后再看看是不是沒設置好。。重新設置一次,還是沒有,再設置一次。。發現剛剛明明設置到顯示所有文件和文件夾的,竟然選項又變回不顯示隱藏的文件和文件夾。。。看來連設置顯示隱藏也被這個木馬給屏蔽了。。。強的。。。
最后一個辦法,決定從command里試試看。。
運行cmd,進入F:盤,輸入dir和dir /a查看比較了下目錄下所有文件和文件夾(包括隱藏的),哈哈。。。終于被我看到了
在dir /a的命令后,隱藏的文件多出來了兩個。。sxs.exe和autorun.inf,看來這兩個就是罪魁禍首,既然如此,那么肯定可以在這里把這兩個文件給刪除的。。
在F:\>后輸入attrib -a -s -h -r sxs.exe命令執行
再輸入attrib -a -s -h -r autorun.inf命令執行,把這兩個文件的隱藏屬性給取消了
結束再輸入del sxs.exe和del autorun.inf把這兩個文件分別刪除
autorun.inf的另一種殺法:江民網站下個魔波專殺http://www.jiangmin.com/download/mocbotkiller.exe
*修改注冊表,使得能夠顯示所有隱藏文件
由于病毒釋放的文件都具備隱藏屬性,而且破壞了注冊表相關鍵值,使得即使設置了文件夾屬性也無法看到隱藏的病毒文件,兩種修改方法
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:0
找到分支,查看CheckedValue的類型是否為REG_DWORD,如果不是就刪掉CheckedValue,
然后單擊鼠標右鍵"新建"、"Dword值",并命名為CheckedValue,設置數值數據為“1”
或者,在博客置頂日志里的反病毒常用工具里有顯示隱藏文件的下載,重新導入即可,那是我機器上導出來的
哈哈,再把D、E盤里的也同樣刪除掉,ok除毒成功,打開F盤試試看。。。
竟然彈出一個選擇打開文件的程序的提示框。。
郁悶了,這個病毒也太可惡了。。。。
TNND
運行regedit,搜索sxs.exe,發現在下面三條注冊表信息下有sxs.exe的信息。。
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{e94c3814-d758-11da-8647-806d6172696f}
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{e94c3815-d758-11da-8647-806d6172696f}
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{e94c3816-d758-11da-8647-806d6172696f}
這三條分別我電腦上D、E、F盤的啟動的設置,里面有設置打開方式為sxs.exe的設置,打開他們的子目錄就可以發現了。。
把這三條記錄刪除后。。再打開三個盤。。HOHO~~終于完全恢復了。。。
說真的,之前也手動殺過不少病毒。。但是第一次碰到這么頑強的病毒。。也挺佩服病毒制作者的。。。這樣的病毒就算重裝了系統也是無濟于事的。。。哎
這里總結下查殺這個病毒的方法:
1.首先打開任務管理器,結束SVOHOST.EXE的進程
2.我的電腦,工具>>文件加選項>>查看>>把“隱藏受保護的操作系統文件(推薦)”之前的鉤鉤取掉
3.右擊C盤>>打開,然后到C:\WINDOWS\system32\下找到SVOHOST.EXE刪除掉。這里不能用搜索的,因為搜索不到的。。只能用自己的肉眼找。。汗記
4.開始>>運行msconfig>>啟動>>把SVOHOST.EXE的啟動項取消
5.開始>>運行cmd>>用dir /a的命令檢查所有盤符下有沒有sxs.exe和autorun.inf兩個文件,有的話,用上面我說的方法全部刪除
6.最后一步,開始>>運行regedit>>找到注冊表HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2