几个常见病毒的手动删除方法
刚才在网上找了几个常见病毒的手动删除方法#2.winlogon.exe病毒的查杀方法
#3.简单的三个步骤专杀logo1_.exe病毒
#4.lsass.exe病毒
#5.恶意程序smss.exe的查杀
#6.sxs.exe病毒
#7.查杀病毒spoolsv.exe -f
#8.恶意程序taskmrg.exe
#9.rose病毒
#10.msime.exe winmer.exe分析及删除方法
#11.关于"wincup.exe"与"aukld.exe"的分析
winlogon.exe病毒的查杀方法
这个进程是不是一个传奇世界程序的图标使用51破解版传家宝会生产一个WINLOGON.EXE进程 ,正常的winlogon系统进程,其用户名为“SYSTEM” 程序名为小写winlogon.exe。而伪装成该进程的木马程序其用户名为当前系统用户名,且程序名为大写的WINLOGON.exe。 进程查看方式 ctrl+alt+del 然后选择进程。正常情况下有且只有一个winlogon.exe进程,其用户名为“SYSTEM”。如果出现了两个winlogon.exe,且其中一个为大写,用户名为当前系统用户的话,表明可能存在木马。
这个木马非常厉害,能破坏掉木马克星,使其不能正常运行。目前我使用其他杀毒软件未能查出。那个WINDOWS下的WINLOGON.EXE确实是病毒,但是,她不过是这个病毒中的小角色而已,大家打开D盘看看是否有一个pagefile的DOS指向文件和一个autorun.inf文件了,呵呵,当然都是隐藏的,删这几个没用的,因为她关联了很多东西,甚至在安全模式都难搞,只要运行任何程序,或者双击打开D盘,她就会重新被安装了,呵呵,这段时间很多人被盗就是因为这个破解的传家宝了,而且杀毒软件查不出来,有人叫这个病毒为 ”落雪“ 是专门盗传奇传奇世界的木马,至于会不会盗其他帐号如QQ,网银 就看她高兴了,呵呵,估计也都是一并录制。不怕毒和要减少损失的最好开启防火墙阻止除了自己信任的几个常用任务出门,其他的全部阻挡,当然大家最好尽快备份,然后关门杀毒 包括方新等修改过的51pywg传家宝,和他们破解的其他一切外挂,这次嫌疑最大的是51PYWG,至于其他合作网站估计也逃不了关系,特别是方新网站,已经被证实过多次在网站放木马,虽然他解释是被黑了,但是不能排除其他可能,特别小心那些启动后连接网站的外挂,不排除启动器本身就有毒,反正一句话,这种启动就连接某网站的破解软件最容易放毒,至于什么时候放,怎么方,比如一天放几个小时,都要看他怎么爽,用也尽量用那种完全本地破解验证版的,虽然挂盟现在好像还没发现被放马或者自己放,但是千万小心,,最近传奇世界传奇N多人被盗号,目标直指这些网站,以下是最近特别毒的WINLOGON.EXE盗号病毒清除方法,注意这个假的WINLOGON.EXE是在WINDOWS下,进程里头表现为当前用户或ADMINISTRATOR.另外一个 SYSTEM的winlogon.exe是正常的,那个千万不要乱删,看清楚了,前面一个是大写,后面一个是小写,而且经部分网友证实,此文件连接目的地为河南。
解决“落雪”病毒的方法
症状:D盘双击打不开,里面有autorun.inf和pagefile.com文件
做这个病毒的人也太强了,在安全模式用Administrator一样解决不了!经过一个下午的奋战才算勉强解决。 我没用什么查杀木马的软件,全是手动一个一个把它揪出来把他删掉的。它所关联的文件如下,绝大多数文件都是显示为系统文件和隐藏的。 所以要在文件夹选项里打开显示隐藏文件。
D盘里就两个,搞得你无法双击打开D盘。C盘里盘里的就多了!
D:\autorun.inf
D:\pagefile.com
C:\Program Files\Internet Explorer\iexplore.com
C:\Program Files\Common Files\iexplore.com
C:\WINDOWS\1.com
C:\WINDOWS\iexplore.com
C:\WINDOWS\finder.com
C:\WINDOWS\Exeroud.exe(忘了是不是这个名字了,红色图标有传奇世界图标的)
C:\WINDOWS\Debug\*** Programme.exe(也是上面那个图标,名字忘了-_- 好大好明显非隐藏的)
C:\Windows\system32\command.com 这个不要轻易删,看看是不是和下面几个日期不一样而和其他文件日期一样,如果和其他文件大部分系统文件日期一样就不能删,当然系统文件肯定不是这段时间的。
C:\Windows\system32\msconfig.com
C:\Windows\system32\regedit.com
C:\Windows\system32\dxdiag.com
C:\Windows\system32\rundll32.com
C:\Windows\system32\finder.com
C:\Windows\system32\a.exe
对了,看看这些文件的日期,看看其他地方还有没有相同时间的文件还是.COM结尾的可疑文件,小心不
要运行任何程序,要不就又启动了,包括双击磁盘
还有一个头号文件!WINLOGON.EXE!做了这么多工作目的就是要干掉她!!!
C:\Windows\WINLOGON.EXE
这个在进程里可以看得到,有两个,一个是真的,一个是假的。
真的是小写winlogon.exe,(不知你们的是不是),用户名是SYSTEM,
而假的是大写的WINLOGON.EXE,用户名是你自己的用户名。
这个文件在进程里是中止不了的,说是关键进程无法中止,搞得跟真的一样!就连在安全模式下它都会
呆在你的进程里! 我现在所知道的就这些,要是不放心,就最好看一下其中一个文件的修改日期,然后用“搜索”搜这天修改过的文件,相同时间的肯定会出来一大堆的, 连系统还原夹里都有!! 这些文件会自己关联的,要是你删了一部分,不小心运行了一个,或在开始-运行里运行msocnfig,command,regedit这些命令,所有的这些文件全会自己补充回来!
知道了这些文件,首先关闭可以关闭的所有程序,打开程序附件里头的WINDOWS资源管理器,并在上面的工具里头的文件夹选项里头的查看里设置显示所有文件和文件假,取消隐藏受保护操作系统文件,然后打开开始菜单的运行,输入命令 regedit,进注册表,到
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
里面,有一个Torjan pragramme,这个明摆着“我是木马”,删!!
然后注销! 重新进入系统后,打开“任务管理器”,看看有没rundll32,有的话先中止了,不知这个是真还是假,小心为好。 到D盘(注意不要双击进入!否则又会激活这个病毒)右键,选“打开”,把autorun.inf和pagefile.com删掉,
然后再到C盘把上面所列出来的文件都删掉!中途注意不要双击到其中一个文件,否则所有步骤都要重新来过! 然后再注销。
我在奋战过程中,把那些文件删掉后,所有的exe文件全都打不开了,运行cmd也不行。
然后,到C:\Windows\system32 里,把cmd.exe文件复制出来,比如到桌面,改名成cmd.com 嘿嘿 我也会用com文件,然后双击这个COM文件
然后行动可以进入到DOS下的命令提示符。
再打入以下的命令:
assoc .exe=exefile (assoc与.exe之间有空格)
ftype exefile="%1" %*
这样exe文件就可以运行了。 如果不会打命令,只要打开CMD.COM后复制上面的两行分两次粘贴上去执行就可以了。
但我在弄完这些之后,在开机的进入用户时会有些慢,并会跳出一个警告框,说文件"1"找不到。(应该是Windows下的1.com文件。),最后用上网助手之类的软件全面修复IE设置
最后说一下怎么解决开机跳出找不到文件“1.com”的方法:
在运行程序中运行“regedit”,打开注册表,在中
把"Shell"="Explorer.exe 1"恢复为"Shell"="Explorer.exe"
大功告成!大家分享一下吧!
简单的三个步骤专杀logo1_.exe病毒
作者:独孤秋依
结合我在实际中清除病毒的经验特总结一下,给中此病毒的网友以参
考,我是参考了“网星”和其他网友的帖子综合的,不算我的原创哦,只能是帮助大家尽快清除这可恶的病毒
:
关于 Logo1_.exe
基本介绍
病毒名称 [email protected] (中文:威金)
病毒别名 Virus.Win32.Delf.62976 , W32/HLLP.Philis.j ,W32.Looked
Net-Worm.Win32.Zorin.a
病毒型态 Worm (网络蠕虫)
病毒发现日期 2004/12/20
影响平台 Windows 95/98/ME , Windows NT/2000/XP/2003
风险评估
散播程度:中
破坏程度:中
主要症状:
1、占用大量网速,使机器使用变得极慢。
2、会捆绑所有的EXE文件,只要一运用应用程序,在winnt下的logo1.exe图标就会相应变成应用程序图标。
3、有时还会时而不时地弹出一些程序框,有时候应用程序一起动就出错,有时候起动了就被强行退出。
4、网吧中只感梁win2k pro版,server版及XP系统都不感染。
5、能绕过所有的还原软件。
详细技术信息:
病毒运行后,在%Windir%生成Logo1_.exe同时会在windws根目录生成一个名为"virDll.dll"的文件。
%WinDir%\virDll.dll
该蠕虫会在系统注册表中生成如下键值:
"auto" = "1"
盗取密码
病毒试图登陆并盗取被感染计算机中网络游戏传奇2的密码,将游戏密码发送到该木马病毒的植入者手中。
阻止以下杀毒软件的运行
病毒试图终止包含下列进程的运行,这些多为杀毒软件的进程。 包括卡巴斯基,金山公司的毒霸。瑞星等
。98%的杀毒软件运行。
国产软件在中毒后都被病毒杀死,是病毒杀掉-杀毒软件。如金山,瑞星等。哪些软件可以认出病毒。但是
认出后不久就阵亡了。
通过写入文本信息改变"%System%\drivers\etc\hosts" 文件。这就意味着,当受感染的计算机浏览许多站点时
(包括众多反病毒站点),浏览器就会重定向到66.197.186.149。
病毒感染运行windows操作系统的计算机,并且通过开放的网络资源传播。一旦安装,蠕虫将会感染受感染计算
机中的.exe文件。
该蠕虫是一个大小为82K的Windows PE可执行文件。
通过本地网络传播
该蠕虫会将自己复制到下面网络资源:
ADMIN$;
IPC$;
症状
蠕虫会感染所有.exe的文件。但是,它不会感染路径中包含下列字符串的文件:
\Program Files
Common Files
ComPlus Applications
Documents and Settings
NetMeeting
Outlook Express
Recycled
system
System Volume Information
system32
windows
Windows Media Player
Windows NT
WindowsUpdate
winnt
蠕虫会从内存中删除下面列出的进程:
EGHOST.EXE
IPARMOR.EXE
KAVPFW.EXE
KWatchUI.EXE
MAILMON.EXE
Ravmon.exe
ZoneAlarm
遭此病毒破坏造成大面积的卡机,瘫痪。危害程度可以和世界排名前十的爱情后门变种相比。该病毒可以
通过网络传播,传播周期为3分钟。如果是新做的系统处于中了毒的网络环境内,只要那个机器一上网,3分钟
内必定中招。中招后你安装 rising SkyNet Symantec McAfee Gate Rfw.exe RavMon.exe killNAV 等杀
毒软件 都无法补救你的系统,病毒文件 Logo1_.exe 为主体病毒,他自动生成病毒发作所需要的的 SWS32.DLL
SWS.DLLL KILL.EXE 等文件。这些文件一但衍生。他将迅速感染系统内EXPLORE等系统核心进程 及所以.exe
的可执行文件,外观典型表现症状为 传奇 ,泡泡堂,等游戏图标变色。 此时系统资源可用率极低,你每重新
启动一次,病毒就会发作一次。
该病毒对于防范意识较弱,还原软件未能及时装到位的网吧十分致命,其网络传播速度十分快捷有效。旧版
的杀毒软件无法检测,新版的无法彻底根杀。一但网吧内某台机器中了此病毒,那么该网吧所有未中毒的机器
都处于危险状态。由于病毒发作贮留于内存。且通过EXPLORE.exe 进行传播。因此即使是装了还原精灵,还原
卡的机器也同样会被感染。你重新启动后系统可以还原。但是你一但开机还是会被感染。
病毒发作会生成另外病毒 PWSteal.Lemir.Gen 和 trojan.psw.lineage 等等。都是些非常厉害的后门程序。和
外挂病毒相似,但是其威力是外挂病毒的50倍以上。在WIN98平台下,改病毒威害比较小。在WIN2000 /XP/2003
平台对于网吧系统是致命的
运行系统极度卡机。你重新启动后你会发现你所有游戏的.EXE 程序全部都感染了
最新杀毒软件杀完后。除了系统可以勉强运行。其他的你也别想运行了。
病毒清理办法
如果在病毒没有发作情况下杀毒是可以完全搞定的。如果发作了也不要杀毒了。直接克盘恢复吧。
一、找到注册表中
"auto" = "1"
删除auto键,默认的不要删除
二、找到
load键值
winlogo 项
把WINLOGO 项 后面的C:\WINNT\SWS32.DLL 删掉
接下来把HKEY_LOCAL_MACHINE]SOFTWARE/Microsoft/Windows/CurrentVersion/Run 键中/RunOnce/RunOnceEx
两个中其中有个是也是
C:\WINNT\SWS32.dll
把类似以上的全部删掉 注意不要删除默认的键值(删了的话后果自负)
打开%system%\drivers\etc下的hosts文件.删除"127.0.0.1 localhost"一行后的所有内容.
下载"Worm.Viking专杀工具"在安全模式中进行
下载地址:http://it.rising.com.cn/Channels ... 3119832d22607.shtml
如果没有以上键值,则直接跳过此步骤
三结束进程
按“Ctrl+Alt+Del”键弹出任务管理器,找到logo1_.exe ,rundl1(是数字1,不是L)32.exe等进程,结束进程,可以借助绿鹰的进程管理软件处
理更方便。找到EXPL0RER.EXE进程(注意第5个字母是数字0不是字母O),找到它后选中它并点击“结束进程”
以结束掉(如果EXPL0RER.EXE进程再次运行起来需要重做这一步)。
四 装杀毒软件
装完后不要重新启动(切记)直接升级病毒库,升级完后,把C:\winnt目录下所有带毒文件删除。然后运行
杀毒软件开始杀毒。
杀完后。还有几个杀毒软件无法删掉的东西要把名字记下来。因为不同的系统有不同的名字。所以这里说不清
楚了。自己记下来。,重新启动后再次杀毒。记的把可疑的进程的结束。否则杀毒软件无法干净杀毒。还有最重
要的一点记的把杀毒软件无法清除的病毒设置为删除文件。一般要重复杀毒3-5次才能杀干净。
五。看看杀毒后的系统。
缺少的了很多系统文件。系统处于危险状态。如果你有GHOST 备份。这个时候恢复一下。系统可以干净无损。
如果没有请运行 SFC 命令检查文件系统。具体操作为 运行-输入CMD 命令进入DOS 提示符。-输入SFC
/scannow --提示放入系统光盘。--放进去吧。然后慢慢等。
看看成果。杀毒效果显著。毒杀干净了。但是杀完毒后很多游戏都玩不了。忙了一圈都不知道自己在忙什么。
郁闷吧。然后重新做系统吧。
杀毒及重装系统后的防范
最后可以Winnt中建一个logo1_.exe的文件夹,将其设置为只读且隐藏..这样.当它传播进就不能建立logo1_.exe文件了.也可以再建一个rundl132.exe的文件.并同样设置为只读加隐藏..
lsass.exe病毒
解决方法:
1.结束进程:调出windows务管理器(Ctrl+Alt+Del),发现通过简单的右击当前用户名的lsass.exe来结束进程是行不通的.会弹出该进程为系统进程无法结束的提醒框;鼠标右键点击"任务栏",选择"任务管理器"。点击菜单"查看(V)"->"选择列(S)...",在弹出的对话框中选择"PID(进程标识符)",并点击"确定"。找到映象名称为"LSASS.exe",并且用户名不是"SYSTEM"的一项,记住其PID号.点击"开始"-》“运行”,输入"CMD",点击"确定"打开命令行控制台。输入"ntsd –c q -p (PID)",比如我的计算机上就输入"ntsd –c q -p 1064".
2.删除病毒文件:以下要删除的文件大多是隐藏文件所以要首先设置显示所有的隐藏文件、系统文件并显示文件扩展名;我的电脑-->工具(T)-->文件夹选项(O)...-->查看-->选择"显示所有文件和文件夹",并把隐藏受保护的操作系统文件(推荐)前的勾去掉,这时会弹出一个警告,选择是.至此就显示了所有的隐藏文件了.
删除如下几个文件:
C:\Program Files\Common Files\INTEXPLORE.pif
C:\Program Files\Internet Explorer\INTEXPLORE.com
C:\WINDOWS\EXERT.exe
C:\WINDOWS\IO.SYS.BAK
C:\WINDOWS\LSASS.exe
C:\WINDOWS\Debug\DebugProgram.exe
C:\WINDOWS\system32\dxdiag.com
C:\WINDOWS\system32\MSCONFIG.COM
C:\WINDOWS\system32\regedit.com
在D:盘上点击鼠标右键,选择“打开”。删除掉该分区根目录下的"Autorun.inf"和"command.com"文件.
3.删除注册表中的其他垃圾信息.这个病毒该写的注册表位置相当多,如果不进行修复将会有一些系统功能发生异常。
将Windows目录下的"regedit.exe"改名为"regedit.com"并运行,删除以下项目:
HKEY_CLASSES_ROOT\WindowFiles
HKEY_CURRENT_USER\Software\VB and VBA Program Settings
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
下面的 Check_Associations项
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\INTEXPLORE.pif
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
下面的ToP项
将HKEY_CLASSES_ROOT\.exe的默认值修改为
"exefile"(原来是windowsfile)
将HKEY_CLASSES_ROOT\Applications\iexplore.exe\shell\open\command
的默认值修改为
"C:\Program Files\Internet Explorer\iexplore.exe" %1"
(原来是intexplore.com)
将HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}
\shell\OpenHomePage\Command 的默认值修改为
"C:\Program Files\Internet Explorer\IEXPLORE.EXE"(原来是INTEXPLORE.com)
将HKEY_CLASSES_ROOT \ftp\shell\open\command
和HKEY_CLASSES_ROOT\htmlfile\shell\opennew\command
的默认值修改为"C:\Program Files\Internet Explorer\iexplore.exe" %1"
(原来的值分别是INTEXPLORE.com和INTEXPLORE.pif)
将HKEY_CLASSES_ROOT \htmlfile\shell\open\command
HKEY_CLASSES_ROOT\HTTP\shell\open\command的默认值修改为
"C:\Program Files\Internet Explorer\iexplore.exe" –nohome”
将HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet
的默认值修改为"IEXPLORE.EXE".(原来是INTEXPLORE.pif)
恶意程序smss.exe的查杀
今天同事电脑中毒, 所有可执行文件不能打开, 上网查了一下资料:
浏览网页的时候(具体而言是某个绿色软件下载站,汗!!),看见“提示命令符”闪了一下,下意识的知道--中毒了!
打开进程管理器一看 多了个smss.exe,不过隶属于用户进程,不是系统进程。关闭它的时候提示“系统关键进程”,无法关闭!使用taskkill也无法关闭,于是下载金山毒霸安装杀毒,没有查出来与之相关的病毒(不过其他的隐藏病毒倒是扫出来两个),最奇怪的金山毒霸的组件马上就开始运行错误-要求发送错误报告,这不能不让我想其以前碰到了一个木马,使杀毒软件和防火墙不能正常运行!
接下来使用金山的进程管理器查看到smss.exe关联的程序使c:\windows\smss.exe,不过正常的系统进程smss.exe是在c:\windows\system下的,到这个时候已经是凌晨2点多钟,于是挂上毒霸杀毒,自己便去睡觉!
第二天早上起来的时候,想到软件杀毒是不行的,只有手工杀毒!要杀毒第一件要做的事就是停止病毒进程,但windows自带的进程管理器和金山的管理都停止不了,于是上网搜索下载了一个荷兰学生编写的病毒木马的铺助工具HijackThis。使用这个工具才中止了smss.exe,不过单独删除掉c:\windows\smss.exe过会又有相同的进程出现在内存中--定是有什么程序,操作于之相关联,此时 想起了前些时候杀rose.exe的时候,要打开隐藏,系统文件的查看,这时才看到在d盘的底下有autorun.ini和一个msdos应用程序command。用记事本查看autorun.ini发现关联的是d:\command,这样就知道了只要我双击d盘,就会自动运行d:\command,如果d:\command这个小程序执行的就是一些病毒操作的话,即使我单独删除了c:\windows\smss.exe也无济于事,这时候就要考虑到这个病毒到底在进入我电脑的时候进行了哪些操作-这很重要,如果不清楚它于哪些文件“发生了关系”,就无法进行彻底的清楚工作!
很明显,这工作已不是我这样的菜鸟能够应付的,于是又要上网查看资料!
于是在一个网站找到如是资料:
1.灭掉进程smss.exe--◎用户◎
2. 删除相关文件:
C:\MSCONFIG.SYS
%Windows%\1.com
%Windows%\ExERoute.exe
%Windows%\explorer.com
%Windows%\finder.com
%Windows%\smss.exe
%Windows%\Debug\DebugProgram.exe
%System%\command.pif
%System%\dxdiag.com
%System%\finder.com
%System%\MSCONFIG.COM
%System%\regedit.com
%System%\rundll32.com
%ProgramFiles%\Internet Explorer\iexplore.com
%ProgramFiles%\Common Files\iexplore.pif
3. 恢复EXE文件关联
删除项
4. 删除病毒启动项:
"Torjan Program"="%Windows%\smss.exe"
修改下
"shell"="Explorer.exe 1"
为
"shell"="Explorer.exe"
5. 恢复病毒修改的注册表信息:
(1)分别查找“command.pif”、“finder.com”、“rundll32.com”的信息,将“command.pif”、“finder.com”、“rundll32.com”修改为“rundll32.exe”
(2)查找“explorer.com”的信息,将“explorer.com”修改为“explorer.exe”
(3)查找“iexplore.com”的信息,将“iexplore.com”修改为“iexplore.exe”
(4)查找“iexplore.pif”的信息,将找到的“%ProgramFiles%\Common Files\iexplore.pif”修改为“%ProgramFiles%\Internet Explorer\iexplore.exe”
在注册表编辑器中定位到“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon”,编辑右边“Shell”的内容,修改为“Explorer.exe”。
在进行过第二项操作后,exe关联出现了错误,每当开打exe执行文件的时候就会出现“执行操作关联”的对话框,因为我的系统里以前下载过一些系统优化的注册表文件,执行修复exe后还是不行。于是点开windows自带的搜索程序搜索regedit.exe,将c:\windows\ 底下的regedit.exe修改后缀regedit.com。(还有一个方法就 如果“文件夹选项”能打开的话,就在“关联里面”添加exe关联“应用程序”),接着就可以继续进行修复工作!
后记:一直认为自己的高手,上网的丰富经验可以让我将大多数病毒拒之门外,所有除了弹出窗口之外杀毒软件都没有装,本来只以为只中了这一个病毒,不想用杀毒软件却扫出了其他的病毒,想来惭愧!
不过这次的杀毒经历,让我成长了很多,也通过查阅大量的资料后了解了中毒之后所应该进行的深入操作!也让我知道杀毒软件也不能太过依赖!更值得一提的就是网页浏览器自身的漏洞,我使用的APPLE出品的Longator2005(因为电脑的配置很差,所有就只能用这样的低资源消耗的程序,我个人比较喜欢使用firefox,只可惜它的内存占用太大),它是使用的IE内核,最重要的就是这次的病毒(smss.exe)会修改IE的快捷方式,在IE的安装目录下新建另一个类似IE名字的程序,想来也是即使病毒进程被软件中止也可以恢复的一种方式!
于是在此写下杀毒日记,希望能过帮助中毒而无能为力的人们!
注:!).最后还有点指出的是,windows的系统进程中也含有关键进程smss.exe,不过它们一般存在于c:\windows\system 或\system32目录下,恶意程序有时候会伪装称系统进程,这点也不奇怪!
还有这里的smss.exe感染,也可能是木马!(病毒和木马本应仔细区分,不过这里称病毒是对恶意程序的统称,如果用词还有什么不妥当的地方--敬请执教
Sxs.exe病毒处理方法
症状:隐藏文件失效。杀毒软件无法运行,被自动关闭。 原因:中了Sxs.exe病毒。 现象:在修复好后会发现在每个盘符的根目录下都有autorun.inf和sxs.exe文件 解决办法:首先要显示隐藏文件。
针对以上症状,我先上网找了相关的资料,首先,要显示隐藏文件
在这个:HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\
Advanced\Folder\Hidden\SHOWALL,将CheckedValue键值修改为1
还是没有用,隐藏文件还是没有显示,仔细观察发现病毒它有更狠的招数:它在修改注册表达到隐藏文件目的之后,为了稳妥起见,把本来有效的DWORD值CheckedValue删除掉,新建了一个无效的字符串值CheckedValue,并且把键值改为0(如图)!这样你以为把0改为1就会万事大吉,可是故障依旧如此!也就难怪出现以上的现象了。
正确的方法是:先检查CheckedValue的类型是否为REG_DWORD,如果不是则删掉“李鬼”CheckedValue(例如在本“案例”中,应该把类型为REG_SZ的CheckedValue删除)。然后单击右键“新建”--〉“Dword值”,并命名为CheckedValue,然后修改它的键值为1,这样就可以选择“显示所有隐藏文件”。
经过刚才一番操作,我的电脑里的隐藏文件可以看到了,假如上述方法无效,那么可能是 HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden的数据丢失或损坏,遇到这种情况,请在Windows XP安装光盘中找到Hidden.reg,双击它,然后单击“确定”按钮,将该完整的注册表数据添加到当前系统的注册表中即可。(备注:可是我手头上的XP安装光盘找来找去都没有这个东西,假如你不幸遇到这种情况,可以尝试使用这种方法:找一部没有问题的电脑,把
HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden这个分支导出(假如命名为1.reg);然后备份有问题的电脑的该注册表分支;最后把1.reg导入看能否解决问题。我没试过所以不知道会不会出现什么意外,祝各位好运!假如某人能够在XP安装光盘里找到这个东西,请把文件里面的内容复制到评论里面,并且注明该XP安装光盘有没有打过SP1或者是SP2,谢谢!)
我看到在我的D:E:F:这些盘中(除了c盘)都出现了autorun.inf和sxs.exe两个文件,删除又再生.而且U盘插进去也出现这两个文件。此时杀毒软件一直是无法启动,我把金山的换成江民的,还是没用,看来是病毒限制了杀毒软件的运行,所以首先要把病毒的自动运行关掉,我也找了网上的资料,不过我试了,没有用,找不到rous.exe,我提供给你们,自己去试一下看看!
你这是修改过的ROSE病毒
可以结束SXS的进程删除,记住,用鼠标右键进入硬盘
同时按下Ctrl+Shift+Esc三个键 打开windows任务管理器
选择里面的“进程”标签
在“映像名称”下查找“sxs.exe” 但击它 再选择“结束进程”
一定要结束所有的“sxs.exe”进程
打开我的电脑 单击 工具菜单下的“文件夹选项”
单击“查看”标签 把“高级设置”中的
“隐藏受保护的操作系统文件(推荐)”前面的勾取消
并选择下面的“显示所有文件和文件夹”选项
单击“确定”
用鼠标右键点C盘(不能双击!) 选择 “打开”
删除C盘下的 “autorun.inf”文件 和“sxs.exe”文件
用鼠标右键点D盘 选择 “打开”
删除D盘下的 “autorun.inf”文件 和“sxs.exe”文件(另外有个文件也是,是个.exe 同样删了它)
……
以此类推 删除所有盘上的 AUTORUN.INF文件 和“rose.exe”文件
单击开始 选择“运行” 输入 "regedit"(没有引号) ,回车
依次展开注册表编辑器左边的 我的电脑>HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Run
删除Run项中的 ROSE (c:\windows\system32\SXS.exe)这个项目
关闭注册表编辑器
然后重新启动计算机
删除硬盘上是ROSE:
按下shift键不放 插入U盘 直到电脑提示“新硬件可以使用”
打开我的电脑
这时在U盘的图标上点鼠标右键 选择“打开” (不要点自动播放或者是双击!)
删除 SXS.exe和autorun.inf文件 病毒就没有了
上面我说了这个方法对我没有用!sxs.exe没有专杀,现在只能通过注册表杀毒
打开注册表“regedit”,找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
有些网友说删除Run项中的 ROSE (c:\windows\system32\SXS.exe)这个项目
我找了一下没找到这个Run项目,但是我看了一下在Run里面有两个"SoundMam",而且后面给的数值不一样,一个给的是“C:\\WINDOWS\\system32\\SVOHOST.exe”另一个是“SOUNDMAN.EXE”我想大家也发现了,肯定有问题,我看了一下,只有后面一个是正确的,前一个是豪杰超级解霸的“自动播放伺服器”的程序,看来病毒是加到这个里面了,借助自动播放到处传播!(这是我认为的,不知道对不对)于是就删除了这个项,退出注册表,打开杀毒软件,可以使用了,只是在一般杀毒时,还是找不到sxs.exe的,我用的是江民的,他有未知病毒扫描,在那里里面可以发现的,他是一种“硬盘蠕虫病毒”,删掉就行了,本来我是想截屏给大家看看的,可惜我重启了,没复制下来,哪位朋友补充一下在下面!感谢!
那还剩下autorun.inf,直接到各个硬盘删就可以了,再清空回收站就可以了,其他的都正常了,可能还有些网友系统可能出现些问题,如豪杰超级解霸的“自动播放伺服器”不能使用了,我的建议是:不要用了,就是他坏的事!要是你非要用就重新装吧!最后重新启动,可以了!
查杀病毒spoolsv.exe -f
最近突发诚心,想学学编程。好容易找到一个vb,delphi等速打熟练的软件,却要注册。想想随便搜个破解或者注册码得了,无奈垃圾站和垃圾软件太多。下载一个默认一安装,什么yaho,BAIDU搜索,桌面背景天气一股脑被安装上去。NND,我清。
按老思路,一般把启动项和新服务k掉就可以,结果 C:\windows\system32\spoolsv\spoolsv.exe -f 删了好几次怎么都会自动恢复。上网查一下,是个新东西,怪不得NORTON不杀呢。网上多是安全模式进去云云,xp下进一次安全模式慢的跟猪似的。想想有什么新鲜办法,仔细分析了下关联的那些程序:
%System%\wmpdrm.dll
%System%\1116\
%System%\msicn\msibm.dll
%System%\msicn\ube.exe
%System%\msicn\plugins\ ?
%System%\spoolsv\spoolsv.exe
%System%\spoolsv\spoolsv.exe,启动项:
"spoolsv"="%System%\spoolsv\spoolsv.exe -printer" 开机启动
一般来说一定是dll做鬼,icesword查了半天,没监到什么新鲜进程和东西。那就一个一个手工删除吧rd xxx目录 /s
或者rm /s /Q xxx目录都可以,当删到c:\windows\system32\msicn\msibm.dll 的时候,被禁止了,看来就是它。级别最高,当是"老板"。如果NTFS分区,给它分配下权限,guest组丢过去,重启一下应该就可以。可俺是FAT32,想一想硬盘里还有个宝贝降级/删除的东西CopyLock(宝贝啊,大家可以自己google)msibm.dll一删,默认重启动。接着把%sysroot%下的那些关联文件/目录一删除,msconfig里的启动项里spoolsv\spoolsv.exe -printer一停。
hoho,世界终于清净了~~~
微软的病毒警告,对服务器影响较大
微软公司安全小组这几天发现了一个新的蠕虫病毒,该病毒会对微软操作系统造成严重的影响,请仔细阅读以下信息并联系您的安全供应商,升级您的防病毒特征代码。如有问题您也可以直接联系微软全球技术支持中心安全小组获得技术支持。
目前研究结果
IRCBOT会造成如下症状:
管理共享丢失。
域控制器出现问题,管理员无法登陆域控制器。
域组策略丢失。
%SystemRoot%\taskmrg.exe是一个恶意程序。
该病毒会造成:
a. 系统管理共享被定时删除;
b. 组策略中策略被定时修改或清空;
c. 恶意程序已经被加密,多数防病毒软件无法检测
d. 通过系统漏洞和管理共享进行传播;
e. 该蠕虫刚感染时会试图连接以下外网地址:
202.12.27.33
http.fire-servers.net
128.9.0.107
192.33.4.12
128.8.10.90
192.203.230.10
http.***dis0rder.com
192.58.128.30
连通后,会采取一系列措施比如修改某些注册表项、启动后门、继续传播等。
注:
该蠕虫利用的是已知的安全漏洞,该漏洞已经在微软发布的安全更新中修复。请将系统升级到最新的安全更新。
请您在外网边界防火墙上设置规则过滤以上地址的所有内外通信,这将会在很大程度上遏制该蠕虫病毒的传播。防火墙配置方法,请联系您的防火墙厂商。
f. 目前可以查杀该病毒的防病毒软件为Norton 10.0(必须是20日后最新特征库)和卡巴斯基Kaspersky
需要注意的是:
a. 不能完全确定病毒最早感染日期,即在安装补丁之前,系统即可能已感染;
b. 在未完全安装系统补丁之前,系统仍然可能再次被其他已感染主机再次感染;
c. 该病毒在网络内传播时,可能造成大量网络流量,造成网络速度减慢;
应对方法
a. 使用下面手工操作步骤对每台系统进行清除;
b. 使用Windows Update安装系统所有安全补丁,并修改本地和域管理员口令;这是根本的预防方法,可以确保系统不被再次感染;
c. 再次检查系统感染情况;
服务名称:Task Manager或TskSheduler或其他,或数字型service name
病毒主程序名称:taskshed.exe或taskmrg.exe或其他;隐藏的系统文件,大小199KB
驱动名称:rofl.sys或remon.sys或其他;大小7KB-10KB
注意:由于该病毒会定期从IRC服务器(该服务器由病毒作者控制)更新攻击指令,因此上面特征可能发生变化。根据不同主机,请修改下面的注册表、文件修改项发送给客户。
单机清除步骤(如果可以,请在安全模式下操作):
打开注册表,备份注册表。
如果以下注册表存在,删除包括子项在内的整个项:
如果以下注册表值存在,从注册表中删除:
“Autoshareserver”
“Autosharewks”
“Autoshareserver”
“Autosharewks”
“Autoshareserver”
“Autosharewks”
“Autoshareserver”
“Autosharewks”
“restrictanonymous”
“restrictanonymous”
修改以下注册表值:
“EnableDCOM” = Y
重启系统,显示隐藏文件和系统文件,删除C:\winnt\taskmrg.exe和C:\Winnt\System32\ rofl.sys;
注:由于蠕虫破坏了域组策略,需要重新配置组策略或者从备份里恢复。
关于rose病毒的初步分析报告
病毒特点分析:
1.启动方式多样:有注册表启动、盘符启动文件启动
2.破坏特点:使中毒计算机到规定时间之后不停的重新启动
3.产生文件类型多样:inf、ini、exe、com、reg五种之多
4.清理不当将导致:所有盘符无法双击打开。
病毒运行过程分析:
一、产生文件:
C:\WINDOWS\system32\run.reg
C:\WINDOWS\system32\systemdate.ini
C:\autorun.inf
C:\rose.exe
D:\autorun.inf
D:\rose.exe
D:\systemfile.com
E:\autorun.inf
E:\rose.exe
F:\autorun.inf
F:\rose.exe
G:\autorun.inf
G:\rose.exe
附注:autorun.inf、rose.exe将生成到你所有的硬盘分区中。ystemfile.com文件只存在D盘中。
二、启动项目
1.注册表启动项目:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
Dll= "c:\system32\rose.exe"
2.盘符启动文件(autorun.inf)
Shellexecute=rose.exe
运行机理:
1.运行rose.exe将会生成
C:\WINDOWS\system32\run.reg
C:\autorun.inf
C:\rose.exe
D:\autorun.inf
D:\rose.exe
D:\systemfile.com
E:\autorun.inf
E:\rose.exe
F:\autorun.inf
F:\rose.exe
G:\autorun.inf
G:\rose.exe
2.双击所有盘符将会重新生成上述所有文件,不过当双击D盘时其中的systemfile.com文件会将在C:\WINDOWS\system32\下生成systemdate.ini
systemdate.ini文件的内容:
#2006-4-18 9:06:14#(当时日期是4月15日)
3.病毒发作模拟(以下思路仅作参考)
病毒可能会修改:
C:\ NTDETECT.COM文件破坏计算机启动过程导致计算机无法正常启动
产生重要时间文件:
systemdate.ini文件被病毒判断运行发作的日期。
计算机被无故重起原因:
如果systemdate.ini文件中的内容和日期符合就调用shutdown命令
附注:shutdown –s –t 0 –f (解释:-s重新启动、–t 0 设置时间0秒后就启动、-f强制运行的应用程序关闭而没有警告)
msime.exe winmer.exe分析及删除方法
档案编号:CISRT2006011
病毒名称:msime.exe:Trojan-PSW.Win32.Lmir.ate(AVP)
winmer.exe:N/A(AVP)
病毒别名:
病毒大小:20,361 字节 (msime.exe)
9,525 字节 (winmer.exe)
加壳方式:FSG
样本MD5:c915639c0723393318873341abfc3a5c (msime.exe)
0d30b166735c6c7a7acf3adbbd716378 (winmer.exe)
发现时间:2006.4
更新时间:2006.6.4前
关联病毒:
传播方式:通过恶意网站传播,其它病毒下载
技术分析
==========
病毒运行后复制自身到:
%Windows%\update.exe
并创建启动项:
"ScanRegistry"="%Windows%\update.exe"
尝试访问网络下载并运行木马程序:
http://www.6ydy.com/down/muma.exe
下载后保存为:
%Windows%\cq.exe
cq.exe尝试下载:
http://www.6ydy.com/1/host.txt
host.txt用于覆盖系统HOSTS文件,里面的重定向信息是:
127.0.0.1 localhost
218.85.132.38 www.bastong.com
218.85.132.38 cool889987.bigwww.com
127.0.0.1 www.3721see.com
218.85.132.38 ert0003.e76.163ns.com
218.85.132.38 www.mir5173.com
218.85.132.38 www.se911.com
尝试下载并运行:
http://www.6ydy.com/1/muma.exe
下载后保存为:
%System%\msime.exe
msime.exe创建启动项:
"KernelFaultCheck"="%System%\msime.exe"
设置注册表信息:
下载并运行:
http://www.3721see.com/Run.exe
保存为:
%System%\winmer.exe
winmer.exe创建启动项:
"KernelCheck"="%System%\winmer.exe"
设置关机脚本:
%System%\GroupPolicy\Machine\Scripts\scripts.ini
scripts.ini内容为:
0CmdLine=%System%\winmer.exe
0Parameters=AVP
创建配置文件:
%Windows%\vbarun.dll
设置注册表信息:
病毒在第一次运行时会尝试结束一些安全相关软件的进程:
apvxdwin.exe
assistse.exe
avengine.exe
avp.exe
ccapp.exe
ccenter.exe
ccevtmgr.exe
ccsetmgr.exe
defwatch.exe
filmsg.exe
frogagent.exe
fygtcleaner.exe
iparmor.exe
isafe.exe
kav.exe
kavpfw.exe
kavstart.exe
kavsvc.exe
kmailmon.exe
kpfwsvc.exe
kregex.exe
kvmonxp.kxp
kvsrvxp.exe
kvxp.kxp
kwatch.exe
mantispm.exe
mcshield.exe
mcvsescn.exe
mcdetect.exe
mcmnhdlr.exe
pavsrv51.exe
pccguide.exe
pcclient.exe
pcctlcom.exe
psimsvc.exe
pavprsrv.exe
pavprsrv.exe
ravmond.exe
ravmon.exe
rfwmain.exe
rfwsrv.exe
rtvscan.exe
srvload.exe
tmpfw.exe
tmproxy.exe
tmntsrv.exe
tpsrv.exe
trojanwall.exe
trojdie.kxp
vsmon.exe
webproxy.exe
xfilter.exe
zlclient.exe
删除安全软件的服务信息:
AVP
CAISafe
kavsvc
KPfwSvc
KVSrvXP
KVWSC
KWatchSvc
McTskshd.exe
McDetect.exe
PAVFNSVR
PavPrSrv
PAVSRV
PcCtlCom
pmshellsrv
PNMSRV
PSIMSVC
RfwService
RsCCenter
Tmntsrv
TmPfw
tmproxy
TPSrv
vsmon
关闭窗口:
Jiangmin Registry Monitor Ex
KVXP_Monitor
清除步骤
==========
1. 结束病毒进程:
%System%\msime.exe
%System%\winmer.exe
2. 删除病毒文件:
%Windows%\cq.exe
%Windows%\update.exe
%Windows%\vbarun.dll
%System%\msime.exe
%System%\winmer.exe
3. 删除启动项:
"KernelFaultCheck"="%System%\msime.exe"
"KernelCheck"="%System%\winmer.exe"
4. 删除关机脚本:
%System%\GroupPolicy\Machine\Scripts\scripts.ini
也可以从“开始”>>“运行”,输入“gpedit.msc”,打开“组策略”编辑器,依次到“计算机配置”>>“Windows 设置”>>“脚本(启动/关闭)”,双击右边框里“关机”,打开“关机属性”,删除里面的关机脚本。
5. 恢复被修改的HOSTS文件,删除被添加的信息:
218.85.132.38 www.bastong.com
218.85.132.38 cool889987.bigwww.com
127.0.0.1 www.3721see.com
218.85.132.38 ert0003.e76.163ns.com
218.85.132.38 www.mir5173.com
218.85.132.38 www.se911.com
6. 删除其它注册表信息:
7. 修复或重新安装被破坏的安全软件
关于"wincup.exe"与"aukld.exe"的分析
------------------------------------------------------
卡卡社区 mopery
前几天分析了C:\WINDOWS\wincup\wincup.exe ...这俩天又跑出个同名的文件夹..路径为C:\WINDOWS\Temp\wincup\wincup.exe和C:\WINDOWS\Temp\aukld\aukld.exe 前俩天卡巴就报了..瑞星好象昨天才报..病毒名:Trojan.DL.adload.io和Trojan.DL.adload.ip ...
这俩天关于此求助的人也多了..今天拿到样本就分析..
运行wincup.exe ..释放文件aucup和extern.ini .. 还有~de5.tmp (文件名中的数字会不同)..创建服务O23 - NT 服务: aucup - Unknown owner - C:\WINDOWS\Temp\wincup\wincup.exe ... 访问网络..
运行aukld.exe ..释放文件inskld和~de5.tmp(文件中的数字会不同) ...创建服务O23 - NT 服务: aukld - Unknown owner - C:\WINDOWS\Temp\aukld\aukld.exe ..访问网络..
访问网络后..下载WinKalendar ...HijackThis的021项会体现出来..O21 - SSODL: SysTime - {724C75F1-B757-408D-A50A-4CF99DA35D73} - C:\PROGRA~1\WinKld\WinKld.dll ...此项可能出现也有可能不出现...
【解决】
结束进程
C:\WINDOWS\wincup\wincup.exe(可能会有我这一俩次测试都出现这项..)
开始-控制面板-添加与删除程序
卸载WinKalendar,winwrcup,vision communicate ....(有的会没有..)
开始-控制面板-管理工具-服务
禁用掉 aucup , aukld , WinWrCup ,JMediaService 这四个服务..(有的会没有..)
开始-运行-regedit
注册表
展开
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\
删除aucup , aukld , JMediaService , WinWrCup 这四个文件夹...(这三处地方仔细检查..有的有..有的没有..)
展开
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\
删除LEGACY_AUKLD , LEGACY_AUCUP , LEGACY_JMEDIASERVICE , LEGACY_WINWRCUP这四个文件夹...(同上..仔细找找..必须使用Icesword来删除..)
展开
HKEY_CLASSES_ROOT\CLSID\
删除{724C75F1-B757-408D-A50A-4CF99DA35D73} 这文件夹...(有可能没有这项..)
重启后删除..
C:\WINDOWS\Temp\wincup
C:\WINDOWS\Temp\aukld
C:\PROGRA~1\WinKld
C:\WINDOWS\Temp\inskld(文件夹内是同时释放的一个.exe文件)
C:\WINDOWS\Temp\inscup(文件夹内是同时释放的一个.exe文件)
C:\WINDOWS\wincup
------------------------------------------------------------------------
删除注册表的时候还是得借助 Icesword 来删除..
下载地址:http://forum.ikaka.com/topic.asp?board=28&artid=6979213(二楼)
------------------------------------------------------------------------
这俩文件访问网络时..如果防火墙阻止了不会生成C:\PROGRA~1\WinKld ..
------------------------------------------------------------------------
这俩个文件与C:\WINDOWS\wincup\wincup.exe 有关系..还有彩信助手...
建议在处理完后用超级兔子清理王安全模式卸载一下...
超级兔子下载地址:http://www.pctutu.com/srmsdown.asp
-------------------------------------------------------------------------
再做个补充:C:\PROGRA~1\WinKld 是微软的日历..如果有需要的朋友不必卸载...
长知识了
。。。。。。。。 好帖要顶! 最好有更新~~内容~ 顶一下~~ 好麻烦啊,有没有专杀啊????????????????????? 预防是关键,装个诺顿吧!
https://www.gdutbbs.com/thread-75815-1-1.html 顶一下
`````` 顶一下
呵呵
页:
[1]
2