sxs.exe的Sxs.exe病毒的查杀
手动删除“sxs.exe病毒”方法:
在以下整个过程中不得双击分区盘,需要打开时用鼠标右键——打开 1、 了解了病毒的传播方式,我们发现,可以通过在每一个盘符下放一个空白的sxs.exe文件,这样,病毒就不会复制一个真正的sxs.exe病毒到硬盘上了。
2、免疫的方法:
新建一个文本文档,不用写入任何数据,重名为:sxs.exe。把这个假的sxs.exe复制到U盘的根目录下去就可以了。这样,就不会中真的sxs.exe了。
3、免疫有效期:
目前为止,还没有发现有新的变种可以躲过此种免疫方案。 1、关闭病毒进程
Ctrl + Alt + Del 任务管理器,在进程中查找 sxs 或 SVOHOST(不是SVCHOST,相差一个字母),有的话就将它结束掉
2、显示出被隐藏的系统文件
运行——regedit
HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL,将CheckedValue键值修改为1
这里要注意,病毒会把本来有效的DWORD值CheckedValue删除掉,新建了一个无效的字符串值CheckedValue,并且把键值改为0!我们将这个改为1是毫无作用的。(有部分病毒变种会直接把这个CheckedValue给删掉,只需和下面一样,自己再重新建一个就可以了)
方法:删除此CheckedValue键值,单击右键 新建——Dword值——命名为CheckedValue,然后修改它的键值为1,这样就可以选择“显示所有隐藏文件”和“显示系统文件”。
在文件夹——工具——文件夹选项中将系统文件和隐藏文件设置为显示
3、删除病毒
在分区盘上单击鼠标右键——打开,看到每个盘跟目录下有 autorun.inf 和 sxs.exe 两个文件,将其删除。
4、删除病毒的自动运行项
打开注册表 运行——regedit
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Run
下找到 SoundMam 键值,可能有两个,删除其中的键值为 C:\\WINDOWS\system32\SVOHOST.exe 的
最后到 C:\\WINDOWS\system32\ 目录下删除 SVOHOST.exe 或 sxs.exe
重启电脑后,发现杀毒软件可以打开,分区盘双击可以打开了。
前言:看到一个毒,动作非常简单,但有一点却算是有点创新精神的 字串7
=================================================================
字串5
sxs.exe样本信息: 字串7
反病毒引擎 版本 最后更新 扫描结果
AhnLab-V3 2007.9.14.0 2007.09.14 -
AntiVir 7.6.0.10 2007.09.14 BDS/Graybird. GN.462336
Authentium 4.93.8 2007.09.15 -
Avast 4.7.1043.0 2007.09.14 Win32:Hupigon-BQO
AVG 7.5.0.485 2007.09.14 -
BitDefender 7.2 2007.09.15 -
CAT-QuickHeal 9.00 2007.09.14 -
ClamAV 0.91.2 2007.09.15 Trojan.Downloader.Adload-130
DrWeb 4.33 2007.09.14 -
eSafe 7.0.15.0 2007.09.13 -
eTrust-Vet 31.1.5136 2007.09.14 -
Ewido 4.0 2007.09.15 Backdoor.BlackHole.j
FileAdvisor 1 2007.09.15 -
Fortinet 3.11.0.0 2007.09.15 Generic.A!tr.bdr
F-Prot 4.3.2.48 2007.09.15 -
F-Secure 6.70.13030.0 2007.09.15 Trojan-Dropper.Win32.Agent.bvs
Ikarus T3.1.1.12 2007.09.15 Trojan-PWS.Win32.Lmir
Kaspersky 4.0.2.24 2007.09.15 Trojan-Dropper.Win32.Agent.bvs
McAfee 5120 2007.09.14 BackDoor-CGX
Microsoft 1.2803 2007.09.15 Backdoor:Win32/Blackhole.T
NOD32v2 2531 2007.09.15 -
Norman 5.80.02 2007.09.14 W32/Malware.APNA
Panda 9.0.0.4 2007.09.14 Suspicious file
Prevx1 V2 2007.09.15 Heuristic: Suspicious File Which Interferes With Vulnerable Files Like The HostsFile
Rising 19.40.51.00 2007.09.15 -
Sophos 4.21.0 2007.09.15 Mal/Generic-A
Sunbelt 2.2.907.0 2007.09.15 Backdoor.Win32.Blackhole.T
Symantec 10 2007.09.15 W32.SillyFDC
TheHacker 6.2.5.060 2007.09.14 -
VBA32 3.12.2.4 2007.09.15 suspected of Embedded.Backdoor.Win32.BlackHole.j
VirusBuster 4.3.26:9 2007.09.14 -
Webwasher-Gateway 6.0.1 2007.09.14 Trojan.Graybird. G N.462336
附加信息
File size: 505733 bytes
MD5: b3bc73a0649c097457099d1d8363213d
SHA1: 2d1f758d85321b8396212edd7942048fd1f03c2e
packers: BINARYRES
Prevx info: http://fileinfo.prevx.c om/fileinfo.asp?PX5=798BC273002A9C2C8493080EEBA3E6003F867310
字串9
字串6
=================================================================
字串5
文件改动: 字串4
创建: 字串4
C:\WINDOWS\system32\sysclient.exe
C:\WINDOWS\system\services.exe
C:\WINDOWS\winstart.dlll (注意是dlll而不是dll)
字串9
-----------------------------------------------------------------
字串5
注册表改动:
字串7
添加:
字串2
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden Type: REG_DWORD, Length: 4, Data: 0 字串9
HKCR\.dlll Desired Access: All Access
HKCR\.dlll\(Default) Type: REG_SZ, Length: 30, Data: dlll_Auto_File 字串2
HKCR\dlll_Auto_File Desired Access: All Access
HKCR\dlll_Auto_File\(Default) Type: REG_SZ, Length: 2, Data:
HKCR\dlll_Auto_File\shell\open\command Desired Access: All Access
HKCR\dlll_Auto_File Desired Access: Maximum Allowed
HKCR\dlll_Auto_File\shell Desired Access: Maximum Allowed
HKCR\dlll_Auto_File\shell\open Desired Access: Maximum Allowed
HKCR\dlll_Auto_File\shell\open\command Desired Access: All Access
HKCR\dlll_Auto_File\shell\open\command\(Default) Type: REG_SZ, Length: 68, Data: C:\WINDOWS\system\services.exe %1 字串3
HKCR\.dlll Desired Access: All Access
HKCR\.dlll\(Default) Type: REG_SZ, Length: 30, Data: dlll_auto_file
字串8
HKCR\dl1_auto_file\shell\open\command Desired Access: All Access
HKCR\dl1_auto_file Desired Access: Maximum Allowed
HKCR\dl1_auto_file\shell Desired Access: Maximum Allowed
HKCR\dl1_auto_file\shell\open Desired Access: Maximum Allowed
HKCR\dl1_auto_file\shell\open\command Desired Access: All Access
HKCR\dl1_auto_file\shell\open\command\(Default) Type: REG_SZ, Length: 62, Data: C:\WINDOWS\system\services.exe 字串4
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run Desired Access: All Access
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\soundman Type: REG_SZ, Length: 48, Data: C:\WINDOWS\WinStar.dlll 字串4
================================================================= 字串9
创建了新的文件类型,把打开方式指向病毒主文件,在run键值里面直接写入C:\WINDOWS\WinStar.dlll;
字串7
且不论这种加载方式是否高明,这个病毒是否厉害,相比于现在许许多多的使用生成器弄出来的“标准”病毒和一些用烂了的手法来说,这个东西算是有创新精神了;
字串2
*制作病毒始终是犯法的,取其创新精华吧。 字串7
P.S.很久没有上传样本到VT检测,今天居然发现它有中文版了,呵呵!
字串4
================================================================= 字串3
原创文件文章,作者dikex(六翼刺猬),转载请注明出处;
文章地址:http://hi.baidu.c om/dikex/blog/item/102881097eddec276b60fb9d.html
sxs.exe病毒怎样杀?
有能帮助我的,再加分.... 有能帮助我的,再加分.sxs.exe病毒手动删除方法
有史以来第一次遭遇如此顽固的病毒,网上找了找,没有统一的名字,瑞星称为 Trojan.PSW.QQPass.pqb 病毒,我就叫它 sxs.exe病毒吧
重装系统后,双击分区盘又中了,郁闷,瑞星自动关闭无法打开,决定手动将其删除
现象:系统文件隐藏无法显示,双击盘符无反映,任务管理器发现 sxs.exe 或者 svohost.exe (与系统进程 svchost.exe 一字之差),杀毒软件实时监控自动关闭并无法打开
找了网上许多方法,无法有效删除,并且没有专杀工具
手动删除“sxs.exe病毒”方法:
在以下整个过程中不得双击分区盘,需要打开时用鼠标右键——打开
一、关闭病毒进程
Ctrl + Alt + Del 任务管理器,在进程中查找 sxs 或 SVOHOST(不是SVCHOST,相差一个字母),有的话就将它结束掉
二、显示出被隐藏的系统文件
运行——regedit
HKEY_LOCAL_MACHINE"Software"Microsoft"windows"CurrentVersion"
explorer"Advanced"Folder"Hidden"SHOWALL,
将CheckedValue键值修改为1
这里要注意,病毒会把本来有效的DWORD值CheckedValue删除掉,新建了一个无效的字符串值CheckedValue,并且把键值改为0!我们将这个改为1是毫无作用的。(有部分病毒变种会直接把这个CheckedValue给删掉,只需和下面一样,自己再重新建一个就可以了)
方法:删除此CheckedValue键值,单击右键 新建——Dword值——命名为CheckedValue,然后修改它的键值为1,这样就可以选择“显示所有隐藏文件”和“显示系统文件”。
在文件夹——工具——文件夹选项中将系统文件和隐藏文件设置为显示
三、删除病毒
在分区盘上单击鼠标右键——打开,看到每个盘跟目录下有 autorun.inf 和 sxs.exe 两个文件,将其删除。
四、删除病毒的自动运行项
打开注册表 运行——regedit
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Run
下找到 SoundMam 键值,可能有两个,删除其中的键值为 C:""WINDOWS"system32"SVOHOST.exe 的
最后到 C:""WINDOWS"system32" 目录下删除 SVOHOST.exe 或 sxs.exe
重启电脑后,发现杀毒软件可以打开,分区盘双击可以打开了。
下面分享相关内容的知识扩展:
电脑无法启动软件提示使用命令行工具sxstrace的解决方法
电脑中出现了软件无法运行的问题,弹出提示:“应用程序无法启动,因为并行配置不正确,请参阅应用程序事件日志会I、或使用命令行sxstrace.exe工具”。一般这样的问题是由于系统服务未开启或框架程序未安装造成的。具体可以参考下面提供的方法来解决。
推荐:电脑最新系统下载
1、按Win+R打开运行,输入services.msc并点击回车;
2、找到WindowsModulesInstaller,点击“启用”按钮,启动该服务,然后双击打开将启动类型改为自动或手动,再重启电脑;
3、如果运行时还是出错,则下载最新的MicrosoftVisualC++运行库,安装到电脑上,重启后再运行软件。
如果电脑无法启动软件并提示使用命令行工具axstrace,可以通过以上解决方法来处理。
Windows7升级.netframework提示错误0x800F0906解决方法
NETFramework是用于Windows的新托管代码编程模型,功能非常强大。有时候在Windows7中打开程序会提示升级.netframework,但是在升级.netframework过程中出现错误0x800F0906的提示,导致很多软件无法正常使用怎么办?针对此问题,小编告诉大家具体的解决方法。
具体解决方法:
1、*打开安装盘,找到sources\sxs文件夹,并将其复制到本地硬盘中,例如d:\sources\sxs;
2、打开c:\windows\system32文件夹,找到cmd.exe,右键点击该文件,选择以管理员身份运行;
3、键入并执行以下命令:di*.exe/online/enable-feature/featurename:NetFX3/Source:d:\sources\sxs。
4、等待命令运行完成就大功告成了!
以上就是Windows7升级.netframework提示错误0x800F0906的解决方法,解决方法是不是比较简单,希望可以帮助到大家!
c\ windows system32\ipseccmd.exe不是有效的win32应用程序
玩传世私服。打开下载的登陆器就弹出这个东西。。还有360的提示:HOSTS文件指定了域名和IP的对应关系,木马经常利用此位置劫持网络访问。
360建议:如果您不是主动修改,请阻止。
影响:修改HOSTS可能造成网络被劫持。
这个东西要怎么搞一下啊!!!
解决方法如下:
1,安全模式下.删除 瑞星杀毒软件 金山毒霸 江民杀毒软件 卡巴斯基杀毒软件 360安全卫士 等文件夹下名为ws2_32.dll的文件夹
2,清除系统垃圾文件(主要是临时文件夹)
