|
|
最近在论坛上看到不少网友发贴说明自己“系统盘外其他盘符双击无法打开”的求救贴,是一种叫sxs.exe病毒所致(瑞星和江民都定义为Trojan/PSW.QQPass病毒 ),现在网上查找一些资料后一起整理如下,希望可以成为无忧最全和最有效的整理方案:
症状:
一、在d、e、f等非系统盘右键菜单生成AUTO选项,并在个盘下面生成autorun.inf和sxs.exe两个隐藏文件。
当寒冰第一次遇上这个病毒时,由于有了u盘auto 病毒的查杀经验,通过把“文件夹选项”中的
“隐藏受保护的操作系统文件(推荐)”前面的勾取消,并选择下面的“显示所有文件和文件夹”,明显看到autorun.inf,打开autorun.inf,里面写着
[AutoRun]
open=sxs.exe
shellexecute=sxs.exe
由此判定另一个文件sxs.exe为同谋,且为真正元凶。意思就是当你双击硬盘盘符,或者你选择“AUTO”打开时,程序自动执行sxs.exe文件,也就是运行病毒了,所以,就算你把c盘格式化,只要你双击其他盘符,马上病毒就重新运作,走遍全盘了,也摆脱了不少网友一味重装就天下大吉的“谎言”。
二、杀毒程序无法运行
发现中毒后,马上启动朋友的瑞星查杀,可是,当界面一闪而过后,什么都没有了(后来连安装和卸载都无法正常进行),后来查资料才知道该病毒可以关闭窗口名为下列的应用程序:“QQKav 、雅虎助手、 防火墙、网镖、杀毒、病毒、木马、恶意、QQAV、噬菌体”,同时也可以结束下列进程:
sc.exe 、net.exe 、sc1.exe、net1.exe 、PFW.exe 、Kav.exe 、KVOL.exe 、KVFW.exe 、
TBMon.exe 、kav32.exe 、kvwsc.exe、 CCAPP.exe、EGHOST.exe 、KRegEx.exe 、kavsvc.exe 、VPTray.exe 、RAVMON.exe、 KavPFW.exe、SHSTAT.exe、RavTask.exe 、
TrojDie.kxp 、Iparmor.exe、 MAILMON.exe、 MCAGENT.exe、 KAVPLUS.exe 、RavMonD.exe 、Rtvscan.exe 、Nvsvc32.exe 、KVMonXP.exe 、Kvsrvxp.exe 、CCenter.exe 、KpopMon.exe、 RfwMain.exe 、KWATCHUI.exe、MCVSESCN.exe、
MSKAGENT.exe 、kvolself.exe 、KVCenter.kxp 、kavstart.exe 、RAVTIMER.exe 、
RRfwMain.exe 、FireTray.exe 、UpdaterUI.exe 、KVSrvXp_1.exe 、RavService.exe
换句话说,当前的主流杀软和防火墙都是其查杀对象,包括金山,卡吧,瑞星,江民,天网等等都无法正常启动的。
三、添加启动项
查看系统启动项,看到一个叫Soundmam的启动项,可是文件却是指向c:windows/system32,诈一看好像是声卡的驱动哦,不过朋友的机没有这个声卡驱动的啊,而且仔细一看,原来指向的文件是“SVOHOST.exe”,这下一看更加肯定了,又是一个假冒“svchost.exe”的骗子。
四、他方他言
之前在某论坛有人把该病毒上传后提供下载,让其他人测试,在这里选取其中的几个回复,加深各位对该病毒认识:
发贴者:姚鉴洋
说说那个东西吧。是前天帮人杀毒时发现的,在dos下杀软也未发现它们有问题。
提取出来,在自己机上试,确实厉害:XP sp2系统的防火墙立刻关了,提示说防火墙关闭,存在风险;接着杀软的实时监控也不见了;系统几乎停止响应,任务管理器中rundll32.exe进程的CPU占用率99%以上;又多了个svohost.exe进程。
昨天下午4点多的时候,偶已经把那些东西上报给国内3家杀软公司,请他们看看是否属于病毒。
不管你点击运行什么程序!都会报道说这程序要访问网络!(我是用诺顿检测到的),即是说世界级的杀软也不知那些东西是何物。
偶怕5楼大侠的毒库不够新而查不到,今天下午专门找了一台装诺顿10企业版的机子,升级毒库至最新,9月27日的(今天是29日,再升,却说已经是最新,不能再升),检查那个压缩包里的文件,查得飞快,最后提示是“已经查了3个文件”,既不说发现病毒,也不说没发现病毒。这正是世界级杀软的过人之处:其它杀软往往说“没发现病毒!”,诺顿不愧是经验丰富的“老江湖”!
至于3楼和10楼说是Trojan.QQPass病毒,我想也不一定对。一个偷密码的木马也不至于把系统整到死掉这么傻吧,系统死了,人家会重装,还怎么偷呢。
昂翼的诺顿大师:
运行压缩包里的sxs之后,产生的svohost.exe文件会访问网络!
就算禁止访问网络之后! 因为svohost.exe还在进程里,所以这时候,不管你点击运行什么程序!都会报道说这程序要访问网络!(我是用诺顿检测到的)
比如我这时候打开WinRAR,然后winrar会访问网络!
独孤不败:
用卡巴没什么反应!但用Ewido就发现是Trojan.QQPass.jf
.......
总结:以上特征在寒冰遇见的5部机子各有所不同,共同的是sxs.exe文件和杀软无法正常启动,而右键添加AUTO项只有两部机出现过,而启动项目SOUNDMAM则只有在一部机出现过,而且其他机子也找不到svohost.exe这个文件,同时,一次删除后竟然会多出一个“pagefile的指向 MS-DOS 程序的快捷方式”,应该一并删除,总总迹象表明应该是病毒的不同变种所表现的不同特征。
而且,更有趣的是,在一部机子的sxs.exe图标,竟然是大侦探柯南的头像,不知道该作者是漫画迷还是喜欢跟我们玩侦探工作呢?呵呵~~
病毒报告
通俗名称:SXS.EXE
官方名称:Trojan/PSW.QQPass
作恶目的:一个盗取QQ帐号密码的木马病毒,特点是可以通过可移动磁盘传播。该病毒的主要危害是盗取QQ帐户和密码;该病毒还会结束大量反病毒软件,降低系统的安全等级。(不过很奇怪,在中毒的机子里,5个机主的QQ全部一切平安,只有2部机会自动发送一个正规的网页链接,相信是为了该网站增加流量而做的病毒营销,其中一个发送以下内容:“如果你能看到圆图说明你运气一直不错,如果是方图,说明你今天运气很好,如果什么也没有,那就别怪我啊。。。。hxxp://down.pjon.com/index.html ”)
极端作恶:侵入还原系统,更有甚者会侵入硬盘的GHO文件(网上传闻,寒冰也无法证实),也就是说,你的ghost系统已经不干净了,建议中毒者ghost还原前再检验一次MD5值,如果证实被感染,请使用另一版本安装!!!
而且最近一部机删除后竟然一进登录界面(也就是看到“欢迎使用”时)音箱发出开机音乐,但过了一两秒,音箱发出关机音乐。然后出现选择用户界面,无论选择那一个用户都是同样的状态,在“安全模式”下也是一样,最后也只好重装了,不过,在那部机寒冰也了解了最多东西了。
作恶手段:
1,生成文件
%system%\SVOHOST.exe
%system%\winscok.dll
2,添加启动项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"SoundMam" = "%system%\SVOHOST.exe"
3,盗取方式
键盘记录,包括软件盘;将盗取的号码和密码通过邮件发送到指定邮箱。
4,传播方式
检测系统是否有可移动磁盘,是则拷贝病毒到可移动磁盘根目录。
sxs.exe
autorun.inf
5,autorun.inf添加下列内容,达到自运行的目的。
[AutoRun]
open=sxs.exe
shellexecute=sxs.exe
6,关闭窗口名为下列的应用程序 (如上)
7,结束下列进程(如上)
8,删启动项
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
RavTask
KvMonXP
YLive.exe
yassistse
KAVPersonal50
NTdhcp
WinHoxt
解决方案-歪门邪道版解决方案-正规版:
方法一:针对以上症状,寒冰先上网找了相关的资料
1.显示隐藏病毒文件
开始-运行-输入regedit,打开注册表编辑器,找到以下键值HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL,将CheckedValue键值修改为1
如果有些机子没效果,隐藏文件还是没有显示的话,应该就是病毒它用了更狠的招数:它在修改注册表达到隐藏文件目的之后,为了稳妥起见,把本来有效的DWORD值CheckedValue删除掉,新建了一个无效的字符串值CheckedValue,并且把键值改为0!这样你以为把0改为1就会万事大吉,可是故障依旧如此!也就难怪出现以上的现象了。
正确的方法是:先检查CheckedValue的类型是否为REG_DWORD,如果不是则删掉“李鬼”CheckedValue(例如在本“案例”中,应该把类型为REG_SZ的CheckedValue删除)。然后单击右键“新建”--〉“Dword值”,并命名为CheckedValue,然后修改它的键值为1,这样就可以选择“显示所有隐藏文件”。
2.清楚病毒文件
现在可以看到在我的D:E:F:G:这些盘中(除了c盘)都出现了autorun.inf和sxs.exe两个文件,删除又再生.而且杀毒软件一直是无法启动,看来是病毒限制了杀毒软件的运行,所以首先要把病毒的自动运行关掉了。
据说这是修改过的ROSE病毒,可以先结束SXS和SVOHOST(记住不是系统的svchost哦)的进程删除
打开我的电脑,单击工具菜单下的“文件夹选项”,单击“查看”标签 把“高级设置”中的“隐藏受保护的操作系统文件(推荐)”前面的勾取消掉,并选择下面的“显示所有文件和文件夹”选项,单击确定
用鼠标右键点C盘(不能双击!) 选择 “打开”,删除C盘下的 “autorun.inf”文件 和“sxs.exe”文件(寒冰好像c盘还未在此看见过他的病毒文件)
据寒冰所知,该病毒在c盘留下的文件为%SystemRoot%\System32\WINSCOK.DLL和%SystemRoot%\System32\SVOHOST.EXE,至于是否有其他病毒文件,寒冰技术有限也无法获知,如果以后有进一步变种或者新发现,一定会及时发布新的批处理文件。
至于其他盘,以d盘为例,用鼠标右键点D盘 选择 “打开”,删除D盘下的 “autorun.inf”文件 和“sxs.exe”文件
……
以此类推 删除所有盘上的 AUTORUN.INF文件 和“rose.exe”文件
3.清理启动项
单击开始-“运行” 输入 "regedit"(没有引号) ,回车
依次展开注册表编辑器左边的HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Run
删除Run项中的 ROSE (c:\windows\system32\SXS.exe)和soundmam这个项目(不一定有的)
然后重新启动计算机
上面我说的这个方法不一定奏效!sxs.exe没有专杀,一来建议各位使用瑞星和江民查杀,而在此重复提醒,正常模式是无法启动杀软的,只能在安全模式下进行;二来建议处理完其他盘的病毒文件后重新安装系统,寒冰所整理的批处理文件基本能清除c盘以外的所有病毒及在c盘发现的病毒文件,但是对于c盘的残留文件,恐怕病毒变种会进一步生成新文件,所以,建议各位保持杀软更新,及时查杀!!!
方法二:以上方法步骤已经集合在批处理文件中,使用寒冰在一楼提供的批处理文件,双击运行即可,呵呵
解决方案-歪门邪道版:
寒冰版一:该病毒可是寒冰见过的最顽固之一,针对频频在非系统盘复制autorun.inf和sxs.exe两个文件,寒冰曾经试过在安全模式下删除后新建两个同名文件,可是被病毒发觉,重启后又变成了他的手下,5555,不过寒冰建议ntfs格式的网友不烦试试新建后把两个文件的权限改为完全控制,相信可能会奏效也不一定,如果真的可以到时记得跟帖告诉寒冰哦
寒冰版二:昨晚突然想到一个方法,既然病毒是通过自动播放放毒的,那么禁止系统的自动播放功能不就一定程度上可以禁止病毒发作了(这叫带毒运作而不触发病毒,呵呵),所以希望中毒的朋友试试以下操作:(当然,这样你光盘的自动播放功能也无法实现,只能以后单击了,不过这是防范措施啦,可以有效防止病毒的自我复制)
开始-运行(也可使用快捷键win+R)-gpedit.msc,然后选择“管理模板”-“系统”-“关闭自动播放”
打开后选择“已启动”,在下面选择“所有驱动器”,单击确定即可。
寒冰版三:(10月27日更新)寒冰在此补充多一个限制该病毒运作的方法,也是运用强大的助策略功能,希望以后各位在碰到类似问题时,可以参考一些常见的做法,以多种途径达到目的是学习的最佳途径:
同方法二,开始-运行(也可使用快捷键win+R)-gpedit.msc,然后选择“管理模板”-“系统”-“不要运行指定的windows应用程序”,相信看到这点就应该有不少网友知道应该怎么做了吧,没错,把该病毒运行的程序全部加入列表,然后就可以起到"限制"的作用了,具体操作如下:
点击“添加”
双击打开后选择"已启用"激活策略,,然后点击显示,在弹出的窗口中点击添加,分别输入"SVOHOST.exe "、“sxs.exe”,同理只要知道病毒运作的程序,以后通过这个方法就可以限制其发作了,对于最近流行的威金病毒,也可以通过只要通过本方法限制其运作,暂时知道的威金病毒程序有:(虽不是万能,但却是一个不错的缓解方案)
Logo1_.exe、logo_1.exe、kill.exe、rundl132.exe、0Sy.exe、vDll.dll、1Sy.exe、2Sy.exe、3Sy.exe、5Sy.exe、1.com、exerouter.exe、EXP10RER.com、finders.com、Shell.sys
此方法麻烦一点的就是只能一个个添加,呵呵,得加点耐性哦
jeehua 版:我用咖啡和ewido解决sxs.exe感染的。GHOST系统到C盘,先在麦咖啡设置规则“禁止在任何地方写入、创建任何文件”,然后用ewido40查杀。保住了除系统盘以外的所有文件。(可惜很多杀毒软件都没有这个卖咖啡的这个选项啊,郁闷ing~~)
题外话:
引用:
昂翼的诺顿大师:
如果那一天flashget公司利用他的广泛的使用度!在你运行的时候自动的去下载他的服务器上预先放的病毒或木马!
但是因为大家一直以来对它的信任!肯定会让它访问网络(你想让你下载你肯定会让它访问网络,废话嘛!),而这时候(正常运行一段时间后)flashget才开始做我所说的坏事!
你说放火墙和杀毒软件这时候对它还有用吗?
因为:1.你的防火墙已经自动对它畅开大门!
2.它自己本身不携带病毒(而它主动下载的东西才是病毒或木马)!
这时候不管什么软件防火墙和杀毒软件对它都不管用了!
只能说你的防火墙和杀毒软件对它主动下载的东西才有作用!
所以说现在病毒和木马的概念是越来越模糊了!
因为有几点:
1不常规的(新出来的,或者说不是自动运行的)木马(或病毒)不会完全被检测为木马(或病毒)! 像sxs.exe等程序!
2.常规的,专一功能的,没明显搞其它功能(跟专一功能比)操作的、广受大家使用的程序("木马"带引号)也不被检测为病毒(或木马)! 想flashget IE浏览器等
PS:最近听说台湾那边闹盗版检查风波! 微软会扫描注册码而识别正版和盗版! 因为好多人都在用IE浏览器,靠大家对它的广泛使用度,所以微软可以利用这机会能做好多事!----说白了也是木马啊!
3 .它(指第一,第二说的程序)可以访问网络后下载新的木马或(和)病毒,产生连锁反映!发动新一轮的攻击!它自己可以只做为一个下载机,可以不停的下载预先设定的服务器上的病毒和木马! 把自己做为一条通道!通道是不分好坏的! 只能看通道那边的是"好"还是"坏"的东西跟它无关! 就像FLASHGET,IE浏览器一样!通道那边是"好东西"还是"坏东西"只能看通道那边的控制者了!
4.病毒发作后产生木马等文件,再利用木马访问网络! 或者再有连锁反映等!
根据以上几点,所以说现在大家对病毒和木马应该有一个新的认识!
他们二者的概念已经是越来越模糊了!
总的一句话:大家网上傲游!小心为妙! 武装好自己,用强有力的杀度软件和防火墙武装自己!
把损失减到最小! 没有百分百安全的! 再好的软件有时候也只能发现问题!操作还在你自己手里!
所以我门要清楚认识问题!采取正确操作!
姚鉴洋:
1、 杀毒软件永远是病毒的“跟屁虫”,著名杀软与一般杀软的区别无非就是大“跟屁虫”与小“跟屁虫”的分别罢了;
2、在未知的病毒(木马)作恶时,著名杀软和一般杀软所能做到的基本上一样:眼睁睁地看着所保护的系统惨遭病毒蹂躏,甚至自己率先殉职;
世事往往就是这样无奈,天才和白痴有时是同一回事,比方说,天才的数学家和天生的白痴都一样,到现在为止都不能证明1加1为什么等于2;
3、即便如此,杀毒软件还是要用的,至少可以帮我们对付那些可以杀掉的病毒;至于用什么杀软,要看你的喜好,喜欢著名的就用大“跟屁虫”,支持小“跟屁虫”就用不怎么著名的罢。
寒冰:
的确,现在的病毒已经发展到可以杀死杀毒软件的地步了,终其原因,就是各个杀软一直只是重视研究病毒,而忘记了自我保护,在此病毒横行的前提下,至少当今之急应该在内存进程模块下点功夫,不过纵观杀软,似乎除了天网有先见之明,在新版本加入了进程保护外,其他尚未听闻,也许,他们是太自信了!!!
同时,通过这个病毒,也验证了寒冰一个观点,国内的杀软并不比国外差,听说卡吧现在还是无法查杀这个病毒,只有“被杀”的机会,也是有幸第一次遇见过卡吧的无奈。(不知现在能查杀不)
而江民和瑞星的9月18版本已经可以查杀了,所以在此奉劝那些一位贬低国内软件的“无知者”,国内的水平不是你们坐井观天所能想像的,至少,人家比你快!!!也请不要再进一步误导菜菜们了!!!
在此欢迎各位网友对此病毒一起研究、分享方法和最新变种特征原贴转自雨林木风-蓝色寒冰
[ 本帖最后由 sansa520 于 2006-11-21 06:44 PM 编辑 ] |
评分
-
查看全部评分
|
IP卡
狗仔卡
发表于 2006-11-21 18:27:45
收藏
支持
反对
提升卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡
楼主
