删除从U盘传播的QQ木马
<div class=asset-body><p>可恶的sxs.exe病毒!</p></div><div class=asset-more id=more><p>杀这个木马花了我一天的时间.</p><p>我是帮hrw重装系统的时候发现这个木马的.<br />当时安装好系统和常用软件,并进行了必要的更新,然后我重启电脑想欣赏一下自己的劳动成果.意外地发现杀毒软件被终止了(我给他安装的是MCAFee),我试图重启杀毒软件的进程也不行.<br />打开"控制面板--计算机管理--服务",发现MCAFee的服务被禁用了,同时"安全中心"也被禁用了.<br />我立即感觉到中了病毒或木马,而且这个病毒或木马不可能来自C盘,因为系统是全新的.回顾了一下装机过程,想到曾用U盘到lhn电脑下载并copy过驱动.这应是唯一可能得到病毒的途经.<br />把U盘插上电脑一试,双击不能打开,右键点开后发后第一个菜单变成了"自动播放",第二个变成了"auto".成且D盘,E盘也变成了这样.</p><p>查看进程,有一个svohost.exe,这玩意显然不对头,因为微软的进程叫"svchost.exe"<br />去金山网站查了一下,知道这是一个QQ木马,相关的病毒文件还有sxs.exe和winscok.dll<br />找了一下这个文件,找不到.<br />打开"文件夹选项",点"显示所有文件"并去除"隐藏受保护的操作系统文件".<br />打开C盘后,还是什么都找不到,并且C盘的隐藏文件根本就没有显示出来!打开"文件夹选项"后发现"显示所有文件"居然被去除了.</p><p>说起来不好意思,接下去的事情就是:我在如何让计算机显示出所有文件这件事上花了一天的时间.<br />注册表项是找到的,应该是HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/explorer/ <br />Advanced/Folder/Hidden/SHOWALL,对应的CheckedValue键值项改为1.<br />然而我改来改去,发现文件总是不显示出来.<br />心想真是见了鬼了.<br />下午的时候想了一个办法,让朋友把这个正常的键值另存并发送给我,我打开一看,终于明白了,原来我这儿注册表上的类型居然不是REG_DWORD,这个病毒真是太滑头了,造了一个假冒产品引我上勾!<br />现在知道解决办法了,先删了CheckedValue,然后单击右键“新建”--〉“Dword值”,并命名为CheckedValue,然后修改它的键值为1。</p><p>再打开各驱动器,可以看到各文件了.</p><p>真正杀毒的过程只用了10分钟不到.<br /><font color=red>1.终止进程svohost.exe,并删除system32目录下的svohost.exe文件.<br />2.打开System Repair Engineer,从启动项中删除与svohost.exe相关的服务.<br />3.右键打开D盘,找到autorun.inf,编辑它,发现其中有这样的字段:open=sxs.exe,可知这个sxs.exe也是病毒.查找所有sxs.exe并删除.同时删除所有驱动器上的autorun.inf.<br />4.删除system32下的winscok.dll文件.(这个文件显然也是病毒文件,因为正常的文件应该是winsock.dll)<br />5.在"控制面板--计算机管理--服务"中将security center设为"自动"并启动它.</font> </p><p>现在的问题是:我还要告诉别的几个同事,他们的电脑可能也中毒了,因为它们都用过hrw的U盘,而hrw的U盘又在lhn和ztj的电脑上用过,ztj前几天就说电脑可能有问题,看来中毒的不止一人...<br />真想杀了这个病毒的制造者,呵呵.</p><p>----------------------------------------------------------------------------------<br />以下内容来自金山网站病毒大百科</p><p>Win32.Troj.QQRobber.cj<br />病毒类型:木马 <br />影响系统:Win 9x/ME,Win 2000/NT,Win XP,Win 2003 <br />病毒行为:<br />这是一个盗取QQ帐号密码的木马病毒,特点是可以通过可移动磁盘传播。该病毒的主要危害是盗取QQ帐户和密码;该病毒还会结束大量反病毒软件,降低系统的安全等级。</p><p>1,生成文件<br />%system%\SVOHOST.exe<br />%system%\winscok.dll</p><p>2,添加启动项<br />HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run<br />"SoundMam" = "%system%\SVOHOST.exe"</p><p>3,盗取方式<br />键盘记录,包括软件盘;将盗取的号码和密码通过邮件发送到指定邮箱。</p><p>4,传播方式<br />检测系统是否有可移动磁盘,是则拷贝病毒到可移动磁盘根目录。<br />sxs.exe<br />autorun.inf</p><p>5,autorun.inf添加下列内容,达到自运行的目的。<br /><br />open=sxs.exe<br />shellexecute=sxs.exe</p><p>6,关闭窗口名为下列的应用程序<br />QQKav<br />雅虎助手<br />防火墙<br />网镖<br />杀毒<br />病毒<br />木马<br />恶意<br />QQAV<br />噬菌体</p><p>7,结束下列进程<br />sc.exe<br />net.exe<br />sc1.exe<br />net1.exe<br />PFW.exe<br />Kav.exe<br />KVOL.exe<br />KVFW.exe<br />TBMon.exe<br />kav32.exe<br />kvwsc.exe<br />CCAPP.exe<br />EGHOST.exe<br />KRegEx.exe<br />kavsvc.exe<br />VPTray.exe<br />RAVMON.exe<br />KavPFW.exe<br />SHSTAT.exe<br />RavTask.exe<br />TrojDie.kxp<br />Iparmor.exe<br />MAILMON.exe<br />MCAGENT.exe<br />KAVPLUS.exe<br />RavMonD.exe<br />Rtvscan.exe<br />Nvsvc32.exe<br />KVMonXP.exe<br />Kvsrvxp.exe<br />CCenter.exe<br />KpopMon.exe<br />RfwMain.exe<br />KWATCHUI.exe<br />MCVSESCN.exe<br />MSKAGENT.exe<br />kvolself.exe<br />KVCenter.kxp<br />kavstart.exe<br />RAVTIMER.exe<br />RRfwMain.exe<br />FireTray.exe<br />UpdaterUI.exe<br />KVSrvXp_1.exe<br />RavService.exe</p><p>8,删启动项<br />HKLM\Software\Microsoft\Windows\CurrentVersion\Run<br />RavTask<br />KvMonXP<br />YLive.exe<br />yassistse<br />KAVPersonal50<br />NTdhcp<br />WinHoxt</p></div> <p>经验之谈啊,这才是好帖!</p> 哦!学习啦!
页:
[1]