我中了sxs.exe病毒变种。。。。求高手帮忙
这个问题我也碰到了,他有一个隐藏的进程,你到安全模式下把他(好像是在system32文件夹下吧)删除了,对于你说的注册表,你把后面的那一部分删除就可以了,这些最好是再安全模式下进行!
sxs.exe病毒手动删除方法
特征:在每个盘根目录下自动生成sxs.exe,autorun.inf文件,有的还在windows\system32下生成SVOHOST.exe 或 sxs.exe ,文件属性为隐含属性。自动禁用杀毒软件。
Ctrl + Alt + Del 任务管理器,在进程中查找 sxs 或 SVOHOST(不是SVCHOST,相差一个字母),有的话就将它结束掉(并不是所有的系统都显示有这个进程,没有的就略过此步)。
(显示出被隐藏的系统文件)
HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL,将CheckedValue键值修改为1
这里要注意,病毒会把本来有效的DWORD值CheckedValue删除掉,新建了一个无效的字符串值CheckedValue,类型为REG_SZ,并且把键值改为0!我们将这个改为1是毫无作用的。大家要看清楚CheckedValue后面的类型,正确的是“RED_DWORD”而不是“REG_SZ”(有部分病毒变种会直接把这个CheckedValue给删掉,只需和下面一样,自己再重新建一个就可以了)
方法:删除此CheckedValue键值,单击右键 新建——Dword值——命名为CheckedValue,然后修改它的键值为1,这样就可以选择“显示所有隐藏文件”和“显示系统文件”。
(删除病毒自启动项)打开注册表 运行——regedit
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Run
SVOHOST.exe 或 sxs.exe
下找到 SoundMam(注意不是soundman,只差一个字母) 键值,可能有两个,删除其中的键值为 C:\\WINDOWS\system32\SVOHOST.exe 的
然后:
删除各盘病毒文件的BAT
以下代码另存为bat
cd
c:
attrib sxs.exe -a -h -s
del /s /q /f sxs.exe
attrib autorun.inf -a -h -s
del /s /q /f autorun.inf
D:
attrib sxs.exe -a -h -s
del /s /q /f sxs.exe
attrib autorun.inf -a -h -s
del /s /q /f autorun.inf
E:
attrib sxs.exe -a -h -s
del /s /q /f sxs.exe
attrib autorun.inf -a -h -s
del /s /q /f autorun.inf
F:
attrib sxs.exe -a -h -s
del /s /q /f sxs.exe
attrib autorun.inf -a -h -s
del /s /q /f autorun.inf
G:
attrib sxs.exe -a -h -s
del /s /q /f sxs.exe
attrib autorun.inf -a -h -s
del /s /q /f autorun.inf
1.从瑞星官方网站下载"橙色八月"专杀工具;
2.启动机子,按F8,进入安全模式,用专杀工具查一下,过程可有点慢哟,稍安忽燥;
3.杀完后,再用杀毒软件查杀一遍,等等啊;
4.启动机子,进入正常模式
5.以后使用U盘时,注意养成良好习惯,插入U盘(含MP3,MP4等),记住:先按住shift键不放,再插入,然后右键点U盘,(切记:不要双击!!),先用瑞星杀毒软件查杀U盘,再打开U盘为好.
6.这种病毒多半是由于U盘带来的,你要小心.只要你不在意的话,说不定下次你用U后,病毒又来了.
目前流行的sxs.exe病毒,通过移动存储设备传播,类似rose病毒变种,虽然暂时不会导
致系统崩溃,但是会盗取你的QQ信息,十分烦人。
病毒表现是:
1、在 %windows% (即windows系统目录,一般默认是c:\windows)\system32下多出一个
隐藏的svohost.exe文件,同时系统进程中也多出一个大写的SVOHOST进程。
2、除了系统盘之外的每个磁盘分区下,多出隐藏的autorun.ini和sxs.exe文件,使得除
了系统盘之外的分区都无法直接双击打开。
3、修改注册表,使得无论如何都无法显示隐藏文件,从而达到隐藏自身的目的。
4、限制杀毒软件运行。
5、盗取QQ信息。
手动解决办法:
1、在任务管理器中中止SVOHOST进程。
2、在命令行模式(“开始”-“运行”,输入cmd)下输入以下命令:
del /F/A:s c:\windows\system32\svohost.exe
del /F/A:s d:\AUTORUN.INF
del /F/A:s d:\sxs.exe
del /F/A:s e:\AUTORUN.INF
del /F/A:s e:\sxs.exe
del /F/A:s f:\AUTORUN.INF
del /F/A:s f:\sxs.exe
del /F/A:s g:\AUTORUN.INF
del /F/A:s g:\sxs.exe
……(根据各人盘符多少而定)
也可以把上述命令copy到记事本中,另存为.bat批处理文件,直接双击执行即可。
以上两步清除病毒
3、在注册表编辑器中(“开始”-“运行”,输入regedit)把HKEY_LOCAL_MACHINE\S
oftware\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHO
WALL 下被篡改为REG_SZ类型的CheckedValue键删除,重新建立一个类型为REG_DWORD的
键,名称为CheckedValue,数值为1。这样就可以显示所有文件了。
4、将可能被感染的移动设备接上,不要选择自动打开设备,用资源管理器的树状目录打
开,然后在文件夹选项中选择显示所有文件和文件夹,去掉隐藏被保护的操作系统文件
,看看是否存在隐藏的autorun.ini和sxs.exe,如有,删除之。今后使用移动设备时也
应当先这样检查一下。
最新的调查报告显示了反间谍软件软件工具的不足,“间谍”仍在网络上肆无忌惮地活动。但也不必垂头丧气,学习并遵循以下的十招办法,间谍软件将对你束手无策。
有的时候,真理和善良总是受到伤害,我们刚刚在反垃圾资讯中心" 邮件上取得了一些进展,然而,间谍软件却又将填补这项空白。未来几年里,你将不得不耗费宝贵的时间,在工作中、在家里与间谍软件作斗争。
虽然市面上有数十种新的反间谍软件工具供我们使用,而且这些资讯中心" 程序确实很有帮助,但是,运行反间谍软件实用程序只是解决方案的一部分,还有很多其他事情需要你做,请按照我们提供的10个步骤指南开始行动吧。
1. 了解你的敌人
如果天真地把间谍软件定义为Web网站留下来的小cookie文件的话,那么你的挫折将永无止境。所有类型的变脸软件(Scumware)都将为你带来不幸,主要的四大类型是:
间谍软件(Spyware)是一种可以秘密地收集有关你计算机信息的软件,并可能向未知网站发送数据,包括“键盘记录软件”或“按键捕获寄生虫”(不要与“恶意软件(malware)”混淆,恶意软件包括病毒、蠕虫和特洛伊木马程序)。
广告软件(Adware):一种可以随机或者根据当前浏览器内容弹出广告和条幅的软件。
劫持软件(Hijackers):可以改变浏览器主页、缺省搜索引擎,甚至改变你的方向,使你无法到达你想到达的网站。
小甜饼文件(Cookies):可以跟踪Web网站参数选择和口令的小型文件。软件可以在用户不知道的情况下收集和扩散该信息。
以上四种类型中,广告软件最讨厌,而劫持软件和间谍软件却是危害最大的。
2. 退出Internet Explorer
我们无法指控资讯中心微软公司犯下了生成间谍软件的罪行。但是,Windows的设计,而且尤其是Internet Explorer却肯定使微软公司成了“间谍”的“同谋”。我们鼓励用户转向其他产品,例如Firefox或者Opera,两者均缺省设置封锁弹出文字。Firefox是免费的且已很普及,Opera则需要花几美元。
需要证据来证明Internet Explorer存在着问题?在笔者运行Windows XP Home的主要测试PC上,使用Internet Explorer和Outlook Express,结果发现了739个间谍软件。
而在笔者的个人PC上,运行Firefox和Mozilla公司的Thunderbird电子邮件应用,结果才发现了11个间谍软件范例。而且,这11个间谍软件均是在笔者不得不使用Internet Explorer进入某些Web网站的时候,偷偷溜进这台PC的。
然而,不幸的是,有些网站却需要Internet Explorer,而那些与微软公司的Outlook电子邮件客户端有密切联系的用户也必须使用它。不过,还是有办法可以把感染Internet Explorer间谍软件的速度降下来。首先,禁止微软 ActiveX支持。在Internet Explorer里,点击Tools→Internet Options→Security→Custom Level,然后,点击迫使ActiveX控制在运行之前请求允许的检查框。
其次,安装Google Toolbar,它也可以封锁弹出文字。它适用于Internet Explorer 5.5及更高级产品,因此,你或许还需要升级浏览器。同样地,也可以运行只在Internet Explorer之内工作的弹出文字封锁软件,如StopZilla、12资讯中心" 3Ghosts Popup Killer、Ad Killer、Ad Muncher以及Anti Popup Pro。
3. 阻止下载
仔细遵守如下要求:千万不要让技术新手尝试下载任何东西。然后,为他们下载并安装Google Toolbar。
用户希望从Web上下载“免费”程序,但是,请教会他们如何区分为了获得实用程序而访问的网站(如PCWorld.com或Tucows.com ),与出现在弹出广告和垃圾邮件里的网站。
下定决心,千万别泄气,接受教育是不完善的这个事实。间谍软件传播者在说服人们下载间谍软件方面通常做的比你更好。所以,有必要对用户解释清楚,在浏览器页面旁边看起来象广告或朋友发给他们的那些链接,实际上是间谍软件散播的最常见方式。
提醒你的用户对一些危险信号一定要敏感,如弹出的条幅广告说可以提供免费间谍软件检查(这是对信任的最残酷的滥用)。
4. 教授备份和恢复的基本知识
由于许多用户不会留意你的警告,因此,应该教会他们如何从灾难当中恢复过来。如今,人们在计算机上有太多的东西,以致于他们懒得做各种备份选择。 存满备份数据的外部磁盘、磁带系统或CD可以减轻充斥着间谍软件的系统所带来的麻烦,并使其回到早期没有间谍软件的情况,从而使一切恢复正常。
教会用户如何在XP里生成恢复点,以及如何在每次从非知名网站下载之前设置一个恢复点。在大多新式的PC上,磁盘空间不是问题,而且,即使它们的资讯中心" 硬盘存满了东西,创造一些恢复点也比清除间谍软件感染容易得多。
5. 制作一张 反间谍软件CD
把反间谍软件实用程序烧录到你的CD上,制作自己的间谍软件工具集也是个不错的办法。当你需要清除间谍软件时,寻找和等待工具软件的下载很浪费时间,CD-ROM磁盘目前价格很低廉,因此,多制作一些拷贝并把它们送给你的用户也是有效的手段。
就笔者自己而言,有三个免费的实用程序,还有三个商业实用程序的测试版本。这些程序的容量为2M至10M字节,因此,标准CD上有足够的空间容纳它们。
6. 运行至少两种间谍软件清除程序
根据我们的经验,没有任何一种间谍软件清除程序能够清除恶意代码的每一部分。所有实用程序都有盲点,而间谍软件编程人员却正好可以利用这些盲点。每家厂商都称其产品可以捕获所有的东西,但是,不管何时人们用一种反间谍工具清除100项威胁的时候,另一个工具还能再找出另外十几项威胁。
每一种间谍软件清除程序都会检查注册表,但是,由于间谍软件遵循微软的注册表词条规则,因此,它根本不可能完全清除间谍软件。
定期运行多个不同的实用程序,并确信它们都是最新的,做到这一点十分重要。付费清除程序可以提供更持续的文件更新,即使免费件也会定期增加一些新功能。运行,更新,再运行,再更新,对付间谍软件就要不断重复上述步骤。笔者的一般做法是:清除系统,重新启动进入安全模式,然后,使用另一种工具进行清除,然后,再重新启动。
7. 封堵桌面通信漏洞
每一次间谍软件上传信息都意味着更多的未来问题,因为间谍软件可以进行自我更新,并增加新“性能”。封锁出站信息可以提高用户安全等级。
有一些(但不是全部)常驻反间谍软件实用程序可以封锁间谍软件上载,商用产品更好一些。不过,安装个人防火墙同样可以封锁上载。ZoneAlarm和Sygate Personal Firewall都很棒。
如今出售的几乎所有品牌路由器都包括防火墙保护。寻找可以对入站和出站信息包进行全状态检查的产品。个人防火墙和路由器控制的组合并非大材小用,尤其是对于那些无法抵制各种新鲜网站诱惑的用户来说更有必要。
8. 处理DRM
在未来几年里,间谍软件还将继续存在的一个原因就是,各公司都在增加数字权利管理(DRM)在娱乐文件以及授权许可文件之上的使用。为这些应用留下的漏洞还将被间谍软件利用好几年的时间。跟踪诸如在线商店回头客之类的Cookie文件使得Web网站更人性化。但问题是,这些Cookie文件看起来很像间谍软件,从而很难在不杀死正常文件的情况下做出分辨。
对于新出现的娱乐播放应用情况也是一样,你下载的MP3音乐文件需要确认你有在移动设备上播放这些文件的权力,而新的反间谍软件有可能封锁对授权数据库进行的DRM查询,因为这不就是符合未经许可把系统信息发送给第三方的间谍软件定义吗?这一定义适用于商业应用许可文件和DRM应用许可文件等,至少在应用接口水平是这样。
一种解决办法就是避免音乐播放程序之类的DRM应用,如果喜欢音乐,那么寻找一种能够定期更新其间谍数据库的反间谍软件,因为它可以协调好保护与音乐服务。
9. 充分发挥AOL成员资格的优势
供AOL成员免费下载的间谍软件保护是另一项非常有用的添加产品,笔者发现其扫描速度虽然比其他许多间谍软件清除程序慢,但是,该程序却在CounterSpy和SpyBot进行清除之后又发现了另外7个间谍软件范例。
AOL还为用户提供一些非常有价值的保护,包括为其成员提供免费的技术支持。
10. 推荐Macintosh或Linux系统
间谍软件主要攻击微软操作系统,通过Internet Explorer漏洞进入并隐藏在Windows的薄弱之处。有些间谍软件,尤其是恶意Cookie文件,可以在任何浏览器之内发生作用,但是,这只是间谍软件当中很小的一部分。
微软的一些软件产品,如Internet Explorer、Word、Outlook和Media Player,一旦下载就将自动执行,从而使间谍软件很容易乘虚而入。Linux和Mac操作系统不允许这种自动执行,从而使它们更易抵制间谍软件。
更重要的是,Windows允许任何用户(或间谍软件)把动态链接库装载至内核之中,Linux的系统访问却要求拥有与之相对应的管理员特权。虽然这个办法不适合大多数人,但是,如果确实因为间谍软件变得太痛苦的话,那么,Apple和Linux将会非常欢迎你
去下载卡巴斯基杀毒看看
很好用
sxs.exe变种了,怎么办?
答:打开我的电脑 工具 文件夹选项 文件类型 找到“驱动器” 点下方的“高级” 点选“编辑文件类型”里的“新建” 操作里填写“open”(这个可随意填写) 用于执行操作的应用程序里填写explorer.exe 确定 随后返回到“编辑文件类型”窗口,选中open 设为默认值 确定 现在再打开分区看下,是不是已恢复正常?
我中了sxs.exe病毒变种。。。求高手帮忙
答:1.从瑞星官方网站下载"橙色八月"专杀工具;2.启动机子,按F8,进入安全模式,用专杀工具查一下,过程可有点慢哟,稍安忽燥;3.杀完后,再用杀毒软件查杀一遍,等等啊;4.启动机子,进入正常模式 5.以后使用U盘时,注意养成良好习惯,插入U盘(含MP3,MP4等),记住:先按住shift键不放,再插入,然后右键点U盘,(...
服务器中了sxs.exe病毒了怎么办?
答:一、关闭病毒进程 Ctrl + Alt + Del 任务管理器,在进程中查找 sxs 或 svohost(不是svchost,相差一个字母),有的话就将它结束掉 二、显示出被隐藏的系统文件 运行—>regedit HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL,将CheckedValue键值...
有的进程为什么结束不了呢,我昨天中了SXS.EXE病毒,然后进程都结束不了...
答:这是修改过的ROSE病毒,可以结束SXS的进程删除。记住,用鼠标右键进入硬盘,同时按下Ctrl+Shift+Del三个键打开windows任务管理器,选择里面的“进程”标签,在“映像名称”下查找“sxs.exe” 但击它 再选择“结束进程”,一定要结束所有的“sxs.exe”进程。打开我的电脑,单击工具菜单下的“文件夹选项”...
我中了sxs.exe病毒,救命!
答:一定要结束所有的“sxs.exe”进程,之后在每个盘找到这个文件,将其删除.当然还有一个autorun.inf,这是个老奸巨滑的家伙,一般情况下是看不到它的,但是当我们运行WinRAR软件,在界面中点击地址栏右侧下拉列表,将路径切换到D盘根目录,这个时候发现D盘下面的隐藏文件“autorun.inf”终于出现了,不用多说了...
中病毒 求助
答:sxs病毒,我遇到过,病毒可以使硬盘双击打不开,sxs.exe病毒清理办法 可以用WINRAR软件打开D: E: F:等盘 看看 , 是不是每个盘都有sxs.exe文件?如果是的话 那么中的是修改过的ROSE病毒 解决方法是这样的:在安全模式下进行手动杀毒,另外,在注册表里,手动搜索与病毒有关的文件:sxs.exe、svohost、...
我电脑中了sxs.exe病毒。。。
答:sxs.exe病毒手动删除方法 特征:在每个盘根目录下自动生成sxs.exe,autorun.inf文件,有的还在windows\system32下生成SVOHOST.exe 或 sxs.exe ,文件属性为隐含属性。自动禁用杀毒软件。Ctrl + Alt + Del 任务管理器,在进程中查找 sxs 或 SVOHOST(不是SVCHOST,相差一个字母),有的话就将它结束掉(...
我知道我中了sxs.exe病毒,但还没有发作.我该怎么办?
答:如果是中了释放后门病毒exe.exe,即“Backdoor.Rbot.ame”。由于该病毒集黑客,蠕虫,后门功能于一体。运行后连接特定IRC服务器的特定频道,接受黑客控制,发送本地信息。接收黑客发来的命令在本地执行。并将执行结果发回IRC聊天频道。黑客通过该后门可以记录键盘操作、窃取游戏密码、上传新病毒、在局域网...
我的系统中了sxs.exe病毒怎么办呀?
答:完毕后,你会发现你已经很容易删除病毒文件。8、至此,计算机恢复正常。删除各盘病毒文件的BAT 以下代码另存为bat cd c:attrib sxs.exe -a -h -s del /s /q /f sxs.exe attrib autorun.inf -a -h -s del /s /q /f autorun.inf D:attrib sxs.exe -a -h -s del /s /q /f ...
中了SXS.EXE病毒怎么办???
答:手动删除“sxs.exe病毒”方法:在以下整个过程中不得双击分区盘,需要打开时用鼠标右键——打开 一、关闭病毒进程 Ctrl + Alt + Del 任务管理器,在进程中查找 sxs 或 SVOHOST(不是SVCHOST,相差一个字母),有的话就将它结束掉 二、显示出被隐藏的系统文件 运行——regedit HKEY_LOCAL_MACHINE\...
