SXS.EXE病毒完全查杀+预防方案常见AUTORUN病毒和双击盘符打不开的情况
同样,又把该服务设置为"禁用"
配置卡吧服务为"禁止"
结束瑞星进程RsRavmon
设置瑞星的RsRavmon服务为"禁用"
结束瑞星监控进程
同样配置瑞星监控服务为"禁用"
过河拆桥,把自己的兄弟也灭了,免得被人发现,起到更好的隐藏作用
这个步骤就有点莫名了
同时通过Filemon监控,或者其运作过程中会生成qqhx.dat,noruns.reg,net.exe,net1.exe和sc.exe,等文件,可是运作后会把这些文件一一删除,同时不停的往C:\windows\system32\写入dappvk.exe和其他非系统盘写入anrun.inf和sxs.exe,如果此时你插入U盘,相信就中招了,所以也是为什么删除后马上又有的缘故.
好像伴随的他还会把信息写入C:\windows\system32\下的qqhx.dat文件,据荆无命斑竹说明后是一个qq文件的保护程序,删除与否都不紧要的
第二部分:简易查杀方案
注:关于本查杀方案使用的两个工具,荆无命斑竹已经提供了一个很完整教程并置顶处理,建议更多的新手去学习,详细请看
方案一:SRENG查找法.
通过查看系统的启动项目是发现病毒一个最基本的查找方法,也是查找病毒的第一步,而使用的工具是SReng,从截图可以看到,我们本次用到的样本已经在"启动项目"看到了他的可疑足迹了(之所以判断这个是其生成的病毒文件,是因为其版本和公司号均显示为N/A,意味着不存在或者未知,十分可疑)
附荆无命斑竹查杀体验:
其实对于如何判断一个可疑程序是否病毒的方法有很多,也需要一定的经验,除了上述说的从"N/A"判断,像本次从截图中可以看到,该病毒时间为11-8 14:32(寒冰运行病毒是在11月8日这一天的),因此荆无命斑竹也提供了一个判断经验:
从SRENG的启动项目文件日期如果是当天或者最近1-2开机天的,那个启动项目就应该多加注意了,同时, 图标和日期是判断病毒体的依据
在此,明白了时间,运行了注册表修复后,就可以去相应目录(比如这次是C:\WINDOWS\system32目录)查找这个时间创建的所有文件,如果时间相同或者相近几秒的,相信那就是你要找的宝物了
因此,我们特采取以下步骤:
1.使用Sreng去除该启动项,勾选后点击"删除"
2.运行寒冰在附件提供的注册表,双击导入.因为该病毒文件是隐藏属性的,而注册表此时被病毒破坏后无法查看隐藏文件,所以需要先运行寒冰在附件提供的注册表导入后,再在"文件夹选项"--显示所有文件,才能查看隐藏文件(或者查看四楼的方法,手动修复)
3.运行了注册表修复后,就可以去相应目录(比如这次是C:\WINDOWS\system32目录)查找这个文件,同时,通过右键属性查看其创建时间,再通过搜索功能搜索同一时间创建的文件,如果发现时间相同或者相近几秒的,相信那就是你要找的宝物了,
查找后发现有一个同名的dll为dappvk.dll,另外新发现的还有一个qqhx.dat文件
4.进入安全模式把三个文件一并删除(正常状态下无法删除dappvk.dll,因为通过其报告分析,dappvk.dll已经几乎注入了所有的系统进程)
5.运行寒冰之前的批处理清理其他盘符下的autorun.inf和sxs.exe两个文件即可.
文章评论
共有 0 位网友发表了评论 此处只显示部分留言 点击查看完整评论页面