baohe - 2006-9-17 21:13:00
这个sxs.exe是木马“QQ通行证”。
sxs.exe运行后,释放下列文件:
C:\windows\system32\SVOHOST.exe
C:\windows\system32\winscok.dll
系统分区以外的各个分区根目录下:autorun.inf和sxs.exe。
在注册表中HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run分支下添加启动项:
SoundMam(指向C:\windows\system32\SVOHOST.exe)。
winscok.dll插入资源管理器、Tiny防火墙、影子系统ShadowTip.exe以及染毒后运行的所有应用程序进程。
查杀流程:
1、结束木马进程C:\windows\system32\SVOHOST.exe。
2、删除木马的启动项。
3、重启系统。
4、显示隐藏文件。
5、删除下列文件:
C:\windows\system32\SVOHOST.exe
C:\windows\system32\winscok.dll
系统分区以外的各个分区根目录下:autorun.inf和sxs.exe。
注意:删除系统分区以外的autorun.inf和sxs.exe前,不要双击分区盘符。应该右击盘符、点击“打开”。切记!!!
绝不重装系统 - 2006-9-17 21:19:00
| 引用: |
【baohe的贴子】这个sxs.exe是木马“QQ通行证”。
原来你在呀,能再帮忙看看我的贴子吗,日志扫上来了 |
deadmanzj - 2006-9-17 21:48:00
猫叔,我也搞了一下。。。发现他产生的注册表垃圾很多。。。
附件:
7162552006917214035.BMP
baohe - 2006-9-17 21:52:00
| 引用: |
【deadmanzj的贴子】猫叔,我也搞了一下。。。发现他产生的注册表垃圾很多。。。
……………… |
那些垃圾,我用这个处理(图)。
不处理,问题也不大。
附件:
1558472006917214359.jpg
deadmanzj - 2006-9-17 21:52:00
另问猫叔,把这图里的注册表项目能不能搞到记事本的啊,把那清理注册表的工具发到gudugd@yahoo.com.cn好吗
baohe - 2006-9-17 22:00:00
| 引用: |
【deadmanzj的贴子】另问猫叔,把这图里的注册表项目能不能搞到记事本的啊,把那清理注册表的工具发到gudugd@yahoo.com.cn好吗
……………… |
目前,Tiny还没这个功能。
如果想要文本内容,可用Word打开它的log文件,自己去拷贝一下。
它的log在:
C:\Program Files\Tiny Firewall Pro\Log
deadmanzj - 2006-9-17 22:01:00
谢谢猫叔。。受教,tiny真的不是一般的难。。。
苍寒 - 2006-9-18 20:19:00
斑竹,对这个“QQ通行证”为什么瑞星没反应那???
怕病毒! - 2006-10-21 1:40:00
猫叔 问下sxs.exe的图标是一个柯南吗??
怕病毒! - 2006-10-21 1:41:00
猫叔 问下sxs.exe的图标是一个柯南吗??
horseluke11 - 2006-11-16 11:14:00
现在这个病毒看来有新变种了......sxs.exe的图标是不是一个柯南了,而且在运行初期它并没有在System32下创建svohost.exe,而是改为在Windows文件夹下创建了wuauclt.exe......
© 2000 - 2026 Rising Corp. Ltd.