查找可疑进程,发现一名为SVOHOST.EXE的进程,显然是想伪装为SVCHOST的坏家伙。。
打开百度,搜索SVOHOST.EXE,才知道原来是武汉男生变种的木马。。接着我想到了昨天下班的时候机子就有过CPU100%的情况,那时候也没注意,以为是windows的小问题,重启后就直接关机回家了。。。现在想想,肯定是昨天在网上找资料的时候,那些网站的广告随便乱跳出来。。。。汗下。。。
由于平时不喜欢在机子上安装杀毒软件,所以决定手动kill了它。。
于是又在百度上寻觅查杀SVOHOST.EXE得方法,发现方法就是到安全模式下删除C:\WINDOWS\system32\SVOHOST.EXE,然后把启动项内的启动项目也删除即可
按照方法做了。。可是发现马上又有了。。。然后打开regedit,搜索SVOHOST,把所有相关都删除。。。结果还是无济于事。。。开始佩服这个木马的霸道和强大了。。。。
NND,不管三七二十一了,决定用Ghost恢复系统,反正之前做过备份,恢复起来很快的
系统恢复,ok,心情轻松了。。。
准备打开E盘,安装以下备份后没有安装的软件。。。打不开!发现D盘和F盘也打不开。。。小问题,重启下,ok,进去了,然后完完整整的把恢复后的系统全部整理完毕后,打开任务管理器。。。我傻眼了。。。SVOHOST.EXE赫然在目。。。为什么?重装系统也没用?这个东西。。。
接着马上想到了之前的D、E、F盘打不开的情况。。。。
看来是被加入了自动播放的autorun文件了
既然这样,我再用ghost恢复一次C盘,好好看看怎样才能把这个木马给枪毙了。。。嘿嘿,你霸道,我也不弱。。
恢复系统后,不敢直接双击D、E、F盘打开了,用右击,发现右击菜单上多出了个Auto,是自动播放。。。不选择,直接选择打开,进入盘符后,设置显示隐藏文件,发现没有autorun.inf的文件!!不可能的。。。然后再看看是不是没设置好。。重新设置一次,还是没有,再设置一次。。发现刚刚明明设置到显示所有文件和文件夹的,竟然选项又变回不显示隐藏的文件和文件夹。。。看来连设置显示隐藏也被这个木马给屏蔽了。。。强的。。。
最后一个办法,决定从command里试试看。。
运行cmd,进入F:盘,输入dir和dir /a查看比较了下目录下所有文件和文件夹(包括隐藏的),哈哈。。。终于被我看到了
在dir /a的命令后,隐藏的文件多出来了两个。。sxs.exe和autorun.inf,看来这两个就是罪魁祸首,既然如此,那么肯定可以在这里把这两个文件给删除的。。
在F:\>后输入attrib -a -s -h -r sxs.exe命令执行
再输入attrib -a -s -h -r autorun.inf命令执行,把这两个文件的隐藏属性给取消了
结束再输入del sxs.exe和del autorun.inf把这两个文件分别删除
autorun.inf的另一种杀法:江民网站下个魔波专杀http://www.jiangmin.com/download/mocbotkiller.exe
*修改注册表,使得能够显示所有隐藏文件
由于病毒释放的文件都具备隐藏属性,而且破坏了注册表相关键值,使得即使设置了文件夹属性也无法看到隐藏的病毒文件,两种修改方法
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:0
找到分支,查看CheckedValue的类型是否为REG_DWORD,如果不是就删掉CheckedValue,
然后单击鼠标右键"新建"、"Dword值",并命名为CheckedValue,设置数值数据为“1”
或者,在博客置顶日志里的反病毒常用工具里有显示隐藏文件的下载,重新导入即可,那是我机器上导出来的
哈哈,再把D、E盘里的也同样删除掉,ok除毒成功,打开F盘试试看。。。
竟然弹出一个选择打开文件的程序的提示框。。
郁闷了,这个病毒也太可恶了。。。。
TNND
运行regedit,搜索sxs.exe,发现在下面三条注册表信息下有sxs.exe的信息。。
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{e94c3814-d758-11da-8647-806d6172696f}
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{e94c3815-d758-11da-8647-806d6172696f}
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{e94c3816-d758-11da-8647-806d6172696f}
这三条分别我电脑上D、E、F盘的启动的设置,里面有设置打开方式为sxs.exe的设置,打开他们的子目录就可以发现了。。
把这三条记录删除后。。再打开三个盘。。HOHO~~终于完全恢复了。。。
说真的,之前也手动杀过不少病毒。。但是第一次碰到这么顽强的病毒。。也挺佩服病毒制作者的。。。这样的病毒就算重装了系统也是无济于事的。。。哎
这里总结下查杀这个病毒的方法:
1.首先打开任务管理器,结束SVOHOST.EXE的进程
2.我的电脑,工具>>文件加选项>>查看>>把“隐藏受保护的操作系统文件(推荐)”之前的钩钩取掉
3.右击C盘>>打开,然后到C:\WINDOWS\system32\下找到SVOHOST.EXE删除掉。这里不能用搜索的,因为搜索不到的。。只能用自己的肉眼找。。汗记
4.开始>>运行msconfig>>启动>>把SVOHOST.EXE的启动项取消
5.开始>>运行cmd>>用dir /a的命令检查所有盘符下有没有sxs.exe和autorun.inf两个文件,有的话,用上面我说的方法全部删除
6.最后一步,开始>>运行regedit>>找到注册表HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2