诡秘下载器变种XOK(Trojan.DL.Delf.xok)”病毒
木马下载器,通过恶意网站、优盘、移动硬盘等传播,依赖系统:WIN9X/NT/2000/XP/2003。
该病毒采用文本文件的图标,诱骗用户点击运行。它运行后会将自身复制到系统的多个目录下,同时互相保护,防止被用户以及杀毒软件删除。该病毒会在硬盘的各个分区以及优盘、移动硬盘的根目录下生成名为OSO.exe和Autorun.inf的文件,当用户的计算机插入这些带有病毒的优盘时就会被感染。该病毒会将系统日期修改为2004年1月22日,以使一些国外杀毒软件立即失效,无法抵御病毒的入侵。同时,它会造成多种主流杀毒软件无法正常使用。该病毒还会从黑客指定的网站下载其它的木马病毒,这些病毒会窃取用户的帐号、密码等隐私信息,使用户遭受损失。
这有三种说法,大家根据自己的实际情况看哦,核对好后再处理!
第一种:由于sxs.exe变种病毒引起的.
一、关闭病毒进程
Ctrl + Alt + Del 任务管理器,在进程中查找 sxs 或 SVOHOST(不是SVCHOST,相差一个字母),有的话就将它结束掉
二、显示出被隐藏的系统文件
运行——regedit
HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL,将CheckedValue键值修改为1
这里要注意,病毒会把本来有效的DWORD值CheckedValue删除掉,新建了一个无效的字符串值CheckedValue,并且把键值改为0!我们将这个改为1是毫无作用的。(有部分病毒变种会直接把这个CheckedValue给删掉,只需和下面一样,自己再重新建一个就可以了)
方法:删除此CheckedValue键值,单击右键 新建——Dword值——命名为CheckedValue,然后修改它的键值为1,这样就可以选择“显示所有隐藏文件”和“显示系统文件”。
在文件夹——工具——文件夹选项中将系统文件和隐藏文件设置为显示
三、删除病毒
在分区盘上单击鼠标右键——打开,看到每个盘跟目录下有 autorun.inf 和 sxs.exe 两个文件,将其删除。
四、删除病毒的自动运行项
打开注册表 运行——regedit
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Run
下找到 SoundMam 键值,可能有两个,删除其中的键值为 C:\\WINDOWS\system32\SVOHOST.exe 的
最后到 C:\\WINDOWS\system32\ 目录下删除 SVOHOST.exe 或 sxs.exe
重启电脑后,发现杀毒软件可以打开,分区盘双击可以打开了。
五、后续
最简单的办法就是进入DOS或用其它文件删除软件把每个分区根目录下的autorun.inf 和 sxs.exe文件删除,然后再把系统盘格式化恢复系统或重新安装。sxs.exe用江民的未知病毒查杀工具可以删除;autorun.inf 用智能杀毒伴侣可以在windows下删除
第二种说法:这个病毒应该是autorun的变种
通过U盘传播的,随机启动项中会加载sxs2.exe,中招之后系统时间改为1980年4月1日,卡巴斯基也提醒系统时间错误而出错。而且双击打不开硬盘,右键可以。
这种情况请建议客户按如下操作:
1、显示出被隐藏的系统文件
运行——regedit
HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL,将CheckedValue键值修改为1
这里要注意,病毒会把本来有效的DWORD值CheckedValue删除掉,新建了一个无效的字符串值CheckedValue,并且把键值改为0!我们将这个改为1是毫无作用的。(有部分病毒变种会直接把这个CheckedValue给删掉,只需和下面一样,自己再重新建一个就可以了)
方法:删除此CheckedValue键值,单击右键 新建——Dword值——命名为CheckedValue,然后修改它的键值为1,这样就可以选择“显示所有隐藏文件”和“显示系统文件”。
在文件夹——工具——文件夹选项中将系统文件和隐藏文件设置为显示。
2、在搜索中查找本地硬盘下的名为sxs2.exe和sxs.dll和_desktop.ini和Autorun.inf的文件,删除之。(sxs.dll在%root%/system32下也有一个同名文件,这个文件是系统的正常文件。除此之外,都是不正常的。)
3、同时清除注册表的HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\run下包含sxs2.exe的启动项
HKEY_LOCAL_USER\Software\Microsoft\windows\CurrentVersion\run下包含sxs2.exe的启动项
4、重起计算机系统应该就恢复正常了。
另外需要注意:仔细看看其它分区根目录下会产生一个或多个exe文件及一个ini文件,在ghost后一定要用资源管理器打开其它分区,然后删除这些文件,切忌不可双击直接进入其它分区,要不还会感染。
还有一些变种病毒和木马,会将系统时间改成1980年的某一天,并且bios时间变成2080或者2078,可以建议客户用奇虎360安全卫士来清除,或者系统还原可以解决。
-------
附上关闭AutoRun功能方法:
关闭AutoRun功能:也是防范黑客入侵的有效方法之一。
在“开始”菜单的“运行”中输入Regedit,打开注册表编辑器,展开到HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Exploer主键下,在右侧窗格中找到“NoDriveTypeAutoRun”,就是这个键决定了是否执行CDROM或硬盘的AutoRun功能。
禁止光盘AutoRun功能:数值数据改为B5后关闭注册表编辑器,重启电脑后就会关闭CDROM的Autorun功能
仅想禁止软件光盘的AutoRun功能,但又保留对CD音频碟的自动播放能力:
右键修改“NoDriveTypeAutoRun”键值为:BD,00,00,00即可
关闭硬盘的AutoRun功能:改为9D,00,00,00
第三种说法:时间病毒
1、先在状态栏里点右键选任务管理器。在进程标签下找到Timer.exe进程,点
击这个进程,然后点下面的结束进程。那样这个进程应该不在进程管理器中
显示了。
2、用搜索文件的方法找出Timer.exe文件,然后删除。
3、打开注册表管理器,打开方法如下:点开始->运行>键入REGEDIT后回车
在左边目录树点HKEY_CURRENT_USER主键前的加号,打开该键的目录,找到
Software键再点该键前的加号,以下类似,Microsoft->Windows->
CurrentVersion->Run 到这里后找到右边的Youngsoft Corporation在它上面点
右键后删除掉,重启系统再看看进程管理器还有没有Timer.exe这个进程。如果没
有的话应该是删除掉了吧。
4、这是个恶意木马“时间器”(Win32.Troj.Timer)
传播方式 :被动安装,被期骗安装。
木马安装完以后会在激活的窗体右上角使用红色字体显示当前系统时间。每到整时点弹出对话框报时
木马会严重影响系统速度和网络速度,每小时的报点会影响正常的工作。
时间被改为1987某月某日的专杀:
sos.exe专杀:
sxs2.exe专杀:为附件.
结合一个autorun专杀:
本文来自: 中国网管论坛(bbs.bitsCN.com) 详细出处参考:[url]http://bbs.bitscn.com/95809[/url]
