SXS.EXE病毒完全查杀+预防方案常见AUTORUN病毒和双击盘符打不开的情况

第一部分:病毒作恶行径(本楼)
第二部分:简易查杀方案(一楼)
第三部分:初步预防方案(二楼)

第一部分:病毒作恶行径

    寒冰通过ssm监控,总算看清楚了病毒发作的作恶途径与行为,虽然可能由于病毒版本不同而有所差别,但是下面这些截图基本是该病毒的通用行为:

 
病毒启动前先检查进程中的常用防毒软件程序,寒冰的天网被病毒终结了

 
病毒启动另一程序dappvk.exe

 
生成病毒同名dll文件:dappck.all

 
病毒dappvk.exe修改注册表启动项,实现开机自启动

 
病毒dappvk.exe运行C:\WINDOWS\system32下的noruns.reg,内容如下:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:bd

意思是实现硬盘的自动播放功能,此时如果先禁用硬盘的自动播放功能,除了应用寒冰在3楼提供的助策略修改方法外,也可以通过找到上述位置,把NoDriveTypeAutoRun的值设为ff即可

 
这时候可以在系统的资源管理器看到病毒进程,好像也有点不高明之处哦,寒冰发现的很多都是会自动隐藏进程的

 
net.exe stop srservice 表示又一病毒程序试图终止系统的自动还原服务

 
sc.exe 配置系统的自动还原服务为禁止,所以自动还原功能将无法正常使用

 
net.exe又同样尝试结束江民的服务

 
sc.exe配置江民服务为禁止,这就是很多常见杀软中毒后无法正常启动的原因

 
这个寒冰就不大懂,sharedaccess好像是系统的防火墙服务,yahoo了一下大致解释如下(不知道是否还涉及局域网传播):

SharedAccess(Intemet连接共享和防火墙服务)。
为家庭或小型办公网络提供网络地址转换，定址以及名称解析和/或防止入侵服务

 
结束江民控制台进程技术无忧.net