关于U盘病毒sxs.exe的通用查杀

中国IT动力,最新最全的IT技术教程

最新100篇 | 推荐100篇 | 专题100篇 | 排行榜 | 搜索 | 在线API文档 | 网通镜像

当前位置：> 网络应用 > 网络安全 > 查杀预防

关于U盘病毒sxs.exe的通用查杀

作者:佚名时间:2007-12-08 17:42 出处:51cto 责编:月夜寒箫

摘要：关于U盘病毒sxs.exe的通用查杀

最近很多人都中了盘病毒 sxs.exe,我在最近写了一篇Wm.Pag.a的分析 http:s.2dai.mthead-469644-1-1.htm 这只是sxs.exe的一个变种，并且最近变种逐渐增多，而且病毒的作案手段愈加恶劣，下面我在原贴的基础上总结一下此类病毒的通用查杀方法。

病毒分析

一、生成物：

病毒运行后，一般生成如下几个文件
:\WINDWS\system32\xxxxxx.exe
:\WINDWS\system32\xxxxxx.d
:\WINDWS\system32\QQhx.dat

在每个磁盘分区下生成atn.inf 和sxs.exe文件
其中sxs.exe和上面的:\WINDWS\system32\xxxxxx.exe都是柯南的头像
注意其中xxxxxx.exe为随机的名称，不过一般是六个字母，我见过的如jvmts.exe，yat.exe等。下面那个xxxxxx.d与上面那个xxxxxx.exe同名如jvmts.d，yat.d

二、注册表行为：

2.1一般在HKEY_A_MAHINE\Sftwae\Misft\Windws\entVesin\n下面添加自启动项
:\WINDWS\system32\xxxxxx.exe
如上面的例子在HKEY_A_MAHINE\Sftwae\Misft\Windws\entVesin\n 下面添加:\WINDWS\system32\yat.exe

2.2修改HKM\SFTWAE\Misft\Windws\entVesin\Expe\Advaned\Fde\Hidden\SHWA\hekedVae的键值为"0
达到系统显示不了隐藏文件的目的

三、其他行为

结束杀毒软件及一些常用辅助杀毒工具的运行
经过对一个病毒变种的反汇编，我发现该病毒会结束带有如下文字的窗口：毒霸，瑞星，江民，木马。
结束常见杀毒软件如卡巴斯基江民瑞星金山的进程并且删除他们的服务

病毒处理：

1.下载Ieswd 1.20和 seng
地址[]http:www.sky.msft6947.htm
http:www.kztehs.msengseng2.zip

2.确定可疑的病毒文件 :\WINDWS\system32\xxxxxx.exe
有两种方法推荐给大家一是用seng扫描系统在HKEY_A_MAHINE\Sftwae\Misft\Windws\entVesin\n下面查找6个字母的项目

比如下面的例子
[HKEY_A_MAHINE\Sftwae\Misft\Windws\entVesin\n]
[(Veified)Misft patin]
[(Veified)Misft patin]
[(Veified)Misft patin]
[eaNetwks, In.]
[Kaspesky a]
[NA]
[NA]
里面的则是病毒
然后即可推断还应该存在一个:\WINDWS\system32\yat.d
二是开始运行输入msnfig 启动选项卡然后在里面找路经文件名为6位字母的启动项

3.打开Ieswd.exe-进程找到xxxxxx.exe 右键结束他 (xxxxxx.exe就是你刚才找到的那个六位字母的文件)

4.点击Ieswd左下角的文件找到:\WINDWS\system32\xxxxxx.exe
:\WINDWS\system32\QQhx.dat
右键删除掉他们

5.打开seng 启动项目注册表
删除 :\WINDWS\system32\xxxxxx.exe这个项目

6.把下面的代码拷入记事本中然后另存为1.eg文件
Windws egisty Edit Vesin 5.00

[HKEY_A_MAHINE\SFTWAE\Misft\Windws\entVesin\Expe\Advaned\Fde\Hidden\SHWA]
"egPath"="Sftwae\\Misft\\Windws\\entVesin\\Expe\\Advaned"
"Text"="@she32.d,-30500"
"Type"="adi"
"hekedVae"=dwd:00000001
"VaeName"="Hidden"
"DefatVae"=dwd:00000002
"HKeyt"=dwd:80000001
"HepID"="she.hp#51105"

双击1.eg把这个注册表项导入
此时隐藏文件就可以显示了

7.重启计算机

8.双击我的电脑工具文件夹选项
查看选中显示所有文件和文件夹并且把隐藏受保护的操作系统文件的钩和隐藏文件的扩展名的钩挑下去然后确定
右击打开盘
找到:\WINDWS\system32\xxxxxx.d删除掉

9.[]右击打开其他磁盘分区删除每个分区根目录下的 sxs.exe和atn.inf文件
注意一定不要双击打开否则病毒又会被激活！
另：[]建议大家禁用 windws 的自动播放功能方法是在“开始”菜单的“运行”框中运行“gpedit.ms”命令，在“组策略”找到“计算机配置”和“用户配置”下的“管理模板”功能，打开其中的“系统”菜单中的“关闭自动播放”的设置，在其属性里面选择“已启用”，接着选择“所有驱动器”，最后确定保存即可。

另外插入盘等可移动存储设备后一定不要双击要用右键打开
有条件的话最好右键用最新的反病毒软件扫描一遍
这样可以最大限度的减少被类似盘病毒感染的机会

关闭本页