SXS.EXE病毒完全查杀+预防方案常见AUTORUN病毒和双击盘符打不开的情况

时间:2007-03-10 14:08:59   来源:雨林木风  作者:蓝色寒冰  点击:次  出处:技术无忧
关键字:查杀 病毒 注册表 IceSword 江民

同时,其实在第三步骤,除了运用查看时间的方法找出同党,其实还可以通过病毒加载的文件进行查找蛛丝马迹,比如下图列出了dappvk.exe所加载的所有dll,其中可以发现,dappvk.exe和dappvk.dll两个文件是没有公司版本的(当然,也会有一些病毒假装为Microsoft的,引用荆无命斑竹的话,需要经验去判断,呵呵)

 

6f5f5108b9b6cb2431c230233af835ab.jpg

方案二:IceSword查找法(推荐).

  感觉sreng的报告可以查找出不少蛛丝马迹,可是就如同dos命令行一样专业有效但是难懂,如果喜欢windows的可视化操作这一类型的,相信这个方案会更加适合你.


1.跟上面所述一样,通过查看--"启动组"一样可以查看到病毒的启动项目

 53197c9f5006a55e05ec54b6203e2412.jpg


2.通过Icesword,我们不仅可以轻易地在进程中看到病毒进程(柯南头像),有利于直观判断,而且可以轻易使用该工具强大的功能结束进程,只需点击右键,选择"强制删除"即可

 bba8984169ea52c79d23bf6595e63ebd.jpg


3.运用其文件菜单,免去了修复注册表的步骤,通过在进程看到的路径C:\WINDOWS\system32,可以轻易找到隐藏文件,并且无需切换到安全模式,直接点击右键选择删除即可.

c4dc85437094189caa2f270b00c62f86.jpg

4.同样是导入"显示隐藏文件注册表修复",恢复系统正常,同时运行批处理,把其他盘符的antorun.inf和sxs.exe这两个文件删除即可.

查杀后续:感觉这个变种还不算厉害,寒冰见过一次是启动项目无法查看,而且进程在资源管理器中也是无法查看到的,可惜忘记保留样本,如有谁可以提供,麻烦发动到white850101@163.com,
所以建议各位以后查看病毒时,推荐使用Icesword,因为通过他可以监控到很多隐藏进程的创建和运行,而且,其强大的删除能力不得不让人敬佩,实属杀毒武器之绝宝啊,居家旅行,常年必备,呵呵!!!

同时,sxs在c盘生成的程序具有很多的随机性,不知道是版本变异还是生成随机,至少寒冰见过有ig***开头的,也有p**开头的,而文章的dappvk.exe可能只是冰山一角,所以各位记得发挥自我观察力,继续努力,不过惟一不变的,几乎所有变种都是用了柯南的图标,呵呵,可能是作者的呕呕吧

简单补充说明:我们虎专门写了针对型的程序来代替批处理方便不太会操作的朋友
地址为 http://soft.ylmf.com/downinfo/928.html BY荆无命


12.12更新:
还有一些病毒常见的加载方式,在此一并列举:

1.通过explorer.exe,rundll32.exe等系统程序加载运行
如下图,可以看到explorer.exe后面紧跟着一个qqbmyv.exe程序,意味着只需要启动explorer,rundll32这一类程序自然也把病毒一起运行了,一般类似这种行为的很大机会就是病毒程序,记住相应目录就可以对其进行查杀了.
这类病毒的高明之处就是关联了系统正常进程,无须通过像上诉病毒通过启动项加载那么轻易,从而让你无法第一时间发现他的蛛丝马迹,从而延长他在你机子的留宿期,的确很符合"木马"的本意--隐蔽性.


2.通过修改系统*.ini文件进行加载
一般而言,系统userinit.exe,win.ini中的load,run等都是背后留白的,如果发现背后紧跟一个进程(如下图),就十分可疑了,基本可以确定他们就是病毒程序,同时由于这几个地方都是系统启动文件之所在,一开机就意味着加载,可用"抢先一步"来形容.
这个途径也可以说是相当高级的一种加载方式,潜入电脑于无影无踪,可是通过Sreng仍然可以轻易查探出来,同时暂时还真的没有遇见过什么正常程序是需要通过他们加载的,所以这些"背后"程序判断为病毒的概率是非常高的


针对以上两种情况,建议在清毒之后再回到界面进行编辑修复,因为病毒本身会不断检验自身踪迹的完整性,不断进行操作和窜改,不清毒,所作的一切也是白劳.
同时需要注意,尤其是第二项,由于其关系到系统的启动过程,如果编辑不当随时会导致系统进入死循环,因此,请各位谨慎行之
同时,如果雨林的网友不能自我解决的请提供截图或者日志,让大家来帮忙参考

a16b903a896ced1f871ff2e7a6ee36aa.jpg

第三部分:初步预防方案


在此寒冰针对该病毒行径重新整理了一下预防的思路,不过不能保证百分百的有效,仅作参考:


方案一:禁止硬盘自动播放

这次发现的变种虽然会多点"技巧"会通过修改注册表取消硬盘右键菜单的"Auto"选项,进一步起到隐藏作用,可是,其途径还是通过硬盘的自动播放模式进行,因此,禁止自动播放功能是预防的第一方案,防止"误双击"!


步骤一:开始-运行(也可使用快捷键win+R)-gpedit.msc,然后选择“管理模板”-“系统”-“关闭自动播放”

 

5a68dcc9346c621b2e0c434425018dc5.jpg
步骤二:打开后选择“已启动”,在下面选择“所有驱动器”,单击确定即可。

 42a668ff16fdb620f9572b67004c4621.jpg

方案二:禁止病毒程序运行

各位应该了解了卖咖啡的多功能监控,而禁止某个程序运行更是他的拿手好戏,不过其实这项功能在windows系统早已经存在,只是了解的人不多,虽然我们知道每次病毒在c盘生成的文件很有随机性,可是在其他盘下的autorun.inf和sxs.exe却是不变的永恒,所以,通过禁止他们运行,自然可以在一定程度上阻止病毒的运作:

步骤一:开始-运行(也可使用快捷键win+R)-gpedit.msc,然后选择“管理模板”-“系统”-“不要运行指定的windows应用程序”,:

5f72b53f7f22fef900c97fc3b5e813c4.jpg

步骤二:点击""已启动",然后点击"显示"进行添加讨论 http://bbs.pc51.net


顶一下

文章评论

共有 0 位网友发表了评论 此处只显示部分留言 点击查看完整评论页面

特别推荐
300x250广告位招租

最新信息