删除从U盘传播的QQ木马

弱电初学者

可恶的sxs.exe病毒!

杀这个木马花了我一天的时间.

我是帮hrw重装系统的时候发现这个木马的.
当时安装好系统和常用软件,并进行了必要的更新,然后我重启电脑想欣赏一下自己的劳动成果.意外地发现杀毒软件被终止了(我给他安装的是MCAFee),我试图重启杀毒软件的进程也不行.
打开"控制面板--计算机管理--服务",发现MCAFee的服务被禁用了,同时"安全中心"也被禁用了.
我立即感觉到中了病毒或木马,而且这个病毒或木马不可能来自C盘,因为系统是全新的.回顾了一下装机过程,想到曾用U盘到lhn电脑下载并copy过驱动.这应是唯一可能得到病毒的途经.
把U盘插上电脑一试,双击不能打开,右键点开后发后第一个菜单变成了"自动播放",第二个变成了"auto".成且D盘,E盘也变成了这样.

查看进程,有一个svohost.exe,这玩意显然不对头,因为微软的进程叫"svchost.exe"
去金山网站查了一下，知道这是一个QQ木马,相关的病毒文件还有sxs.exe和winscok.dll
找了一下这个文件,找不到.
打开"文件夹选项",点"显示所有文件"并去除"隐藏受保护的操作系统文件".
打开C盘后,还是什么都找不到,并且C盘的隐藏文件根本就没有显示出来!打开"文件夹选项"后发现"显示所有文件"居然被去除了.

说起来不好意思,接下去的事情就是:我在如何让计算机显示出所有文件这件事上花了一天的时间.
注册表项是找到的,应该是HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/explorer/
Advanced/Folder/Hidden/SHOWALL,对应的CheckedValue键值项改为1.
然而我改来改去,发现文件总是不显示出来.
心想真是见了鬼了.
下午的时候想了一个办法,让朋友把这个正常的键值另存并发送给我,我打开一看,终于明白了,原来我这儿注册表上的类型居然不是REG_DWORD,这个病毒真是太滑头了,造了一个假冒产品引我上勾!
现在知道解决办法了,先删了CheckedValue，然后单击右键“新建”--〉“Dword值”，并命名为CheckedValue，然后修改它的键值为1。

再打开各驱动器,可以看到各文件了.

真正杀毒的过程只用了10分钟不到.
1.终止进程svohost.exe,并删除system32目录下的svohost.exe文件.
2.打开System Repair Engineer,从启动项中删除与svohost.exe相关的服务.
3.右键打开D盘,找到autorun.inf,编辑它,发现其中有这样的字段pen=sxs.exe,可知这个sxs.exe也是病毒.查找所有sxs.exe并删除.同时删除所有驱动器上的autorun.inf.
4.删除system32下的winscok.dll文件.(这个文件显然也是病毒文件,因为正常的文件应该是winsock.dll)
5.在"控制面板--计算机管理--服务"中将security center设为"自动"并启动它.

现在的问题是:我还要告诉别的几个同事,他们的电脑可能也中毒了,因为它们都用过hrw的U盘,而hrw的U盘又在lhn和ztj的电脑上用过,ztj前几天就说电脑可能有问题,看来中毒的不止一人...
真想杀了这个病毒的制造者,呵呵.

----------------------------------------------------------------------------------
以下内容来自金山网站病毒大百科

Win32.Troj.QQRobber.cj
病毒类型：木马
影响系统：Win 9x/ME,Win 2000/NT,Win XP,Win 2003
病毒行为:
这是一个盗取QQ帐号密码的木马病毒，特点是可以通过可移动磁盘传播。该病毒的主要危害是盗取QQ帐户和密码；该病毒还会结束大量反病毒软件，降低系统的安全等级。

1，生成文件
%system%\SVOHOST.exe
%system%\winscok.dll

2，添加启动项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"SoundMam" = "%system%\SVOHOST.exe"

3，盗取方式
键盘记录，包括软件盘；将盗取的号码和密码通过邮件发送到指定邮箱。

4，传播方式
检测系统是否有可移动磁盘，是则拷贝病毒到可移动磁盘根目录。
sxs.exe
autorun.inf

5，autorun.inf添加下列内容，达到自运行的目的。
[AutoRun]
open=sxs.exe
shellexecute=sxs.exe

6，关闭窗口名为下列的应用程序
QQKav
雅虎助手
防火墙
网镖
杀毒
病毒
木马
恶意
QQAV
噬菌体

7，结束下列进程
sc.exe
net.exe
sc1.exe
net1.exe
PFW.exe
Kav.exe
KVOL.exe
KVFW.exe
TBMon.exe
kav32.exe
kvwsc.exe
CCAPP.exe
EGHOST.exe
KRegEx.exe
kavsvc.exe
VPTray.exe
RAVMON.exe
KavPFW.exe
SHSTAT.exe
RavTask.exe
TrojDie.kxp
Iparmor.exe
MAILMON.exe
MCAGENT.exe
KAVPLUS.exe
RavMonD.exe
Rtvscan.exe
Nvsvc32.exe
KVMonXP.exe
Kvsrvxp.exe
CCenter.exe
KpopMon.exe
RfwMain.exe
KWATCHUI.exe
MCVSESCN.exe
MSKAGENT.exe
kvolself.exe
KVCenter.kxp
kavstart.exe
RAVTIMER.exe
RRfwMain.exe
FireTray.exe
UpdaterUI.exe
KVSrvXp_1.exe
RavService.exe

8，删启动项
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
RavTask
KvMonXP
YLive.exe
yassistse
KAVPersonal50
NTdhcp
WinHoxt

行走的树

经验之谈啊,这才是好帖!

miyuelong1982

哦！学习啦！