ÏûÃð²þ¿ñµÄsxs.exe²¡¶¾
×÷Õߣº°²È«Öйú ÎÄÕÂÀ´Ô´£ºÈüµÏÍø µã»÷Êý£º3107
Õë¶ÔÒÔÉÏÖ¢×´£¬ÎÒÏÈÉÏÍøÕÒÁËÏà¹ØµÄ×ÊÁÏ£¬Ê×ÏÈ£¬ÒªÏÔʾÒþ²ØÎļþÔÚÕâ¸öHKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL£¬½«CheckedValue¼üÖµÐÞ¸ÄΪ1,»¹ÊÇûÓÐÓã¬Òþ²ØÎļþ»¹ÊÇûÓÐÏÔʾ£¬×Ðϸ¹Û²ì·¢ÏÖ²¡¶¾ËüÓиüºÝµÄÕÐÊý£ºËüÔÚÐÞ¸Ä×¢²á±í´ïµ½Òþ²ØÎļþÄ¿µÄÖ®ºó£¬ÎªÁËÎÈÍ×Æð¼û£¬°Ñ±¾À´ÓÐЧµÄDWORDÖµCheckedValueɾ³ýµô£¬Ð½¨ÁËÒ»¸öÎÞЧµÄ×Ö·û´®ÖµCheckedValue£¬²¢ÇҰѼüÖµ¸ÄΪ0,ÕâÑùÄãÒÔΪ°Ñ0¸ÄΪ1¾Í»áÍòÊ´󼪣¬¿ÉÊǹÊÕÏÒÀ¾ÉÈç´Ë£¡Ò²¾ÍÄѹֳöÏÖÒÔÉϵÄÏÖÏóÁË¡£
ÕýÈ·µÄ·½·¨ÊÇ£ºÏȼì²éCheckedValueµÄÀàÐÍÊÇ·ñΪREG_DWORD£¬Èç¹û²»ÊÇÔòɾµô¡°Àî¹í¡±CheckedValue£¨ÀýÈçÔÚ±¾¡°°¸Àý¡±ÖУ¬Ó¦¸Ã°ÑÀàÐÍΪREG_SZµÄCheckedValueɾ³ý£©¡£È»ºóµ¥»÷ÓÒ¼ü¡°Ð½¨¡±¨C¡µ¡°DwordÖµ¡±£¬²¢ÃüÃûΪCheckedValue£¬È»ºóÐÞ¸ÄËüµÄ¼üֵΪ1£¬ÕâÑù¾Í¿ÉÒÔÑ¡Ôñ¡°ÏÔʾËùÓÐÒþ²ØÎļþ¡±¡£
¾¹ý¸Õ²ÅÒ»·¬²Ù×÷£¬ÎҵĵçÄÔÀïµÄÒþ²ØÎļþ¿ÉÒÔ¿´µ½ÁË£¬¼ÙÈçÉÏÊö·½·¨ÎÞЧ£¬ÄÇô¿ÉÄÜÊÇ HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\HiddenµÄÊý¾Ý¶ªÊ§»òË𻵣¬Óöµ½ÕâÖÖÇé¿ö£¬ÇëÔÚWindows XP°²×°¹âÅÌÖÐÕÒµ½Hidden.reg£¬Ë«»÷Ëü£¬È»ºóµ¥»÷¡°È·¶¨¡±°´Å¥£¬½«¸ÃÍêÕûµÄ×¢²á±íÊý¾ÝÌí¼Óµ½µ±Ç°ÏµÍ³µÄ×¢²á±íÖм´¿É¡££¨±¸×¢£º¿ÉÊÇÎÒÊÖÍ·ÉϵÄXP°²×°¹âÅÌÕÒÀ´ÕÒÈ¥¶¼Ã»ÓÐÕâ¸ö¶«Î÷£¬¼ÙÈçÄã²»ÐÒÓöµ½ÕâÖÖÇé¿ö£¬¿ÉÒÔ³¢ÊÔʹÓÃÕâÖÖ·½·¨£ºÕÒÒ»²¿Ã»ÓÐÎÊÌâµÄµçÄÔ£¬°ÑHKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\HiddenÕâ¸ö·ÖÖ§µ¼³ö£¨¼ÙÈçÃüÃûΪ1.reg£©£»È»ºó±¸·ÝÓÐÎÊÌâµÄµçÄԵĸÃ×¢²á±í·ÖÖ§£»×îºó°Ñ1.regµ¼Èë¿´ÄÜ·ñ½â¾öÎÊÌâ¡£ÎÒûÊÔ¹ýËùÒÔ²»ÖªµÀ»á²»»á³öÏÖʲôÒâÍ⣬ף¸÷λºÃÔË£¡¼ÙÈçijÈËÄܹ»ÔÚXP°²×°¹âÅÌÀïÕÒµ½Õâ¸ö¶«Î÷£¬Çë°ÑÎļþÀïÃæµÄÄÚÈݸ´ÖƵ½ÆÀÂÛÀïÃ棬²¢ÇÒ×¢Ã÷¸ÃXP°²×°¹âÅÌÓÐûÓдò¹ýSP1»òÕßÊÇSP2£¬Ð»Ð»£¡£©
ÎÒ¿´µ½ÔÚÎÒµÄD£ºE£ºF£ºÕâЩÅÌÖУ¨³ýÁËcÅÌ£©¶¼³öÏÖÁËautorun.infºÍsxs.exeÁ½¸öÎļþ£¬É¾³ýÓÖÔÙÉú.¶øÇÒUÅ̲å½øÈ¥Ò²³öÏÖÕâÁ½¸öÎļþ¡£´Ëʱɱ¶¾Èí¼þÒ»Ö±ÊÇÎÞ·¨Æô¶¯£¬ÎҰѽðɽµÄ»»³É½ÃñµÄ£¬»¹ÊÇûÓ㬿´À´ÊDz¡¶¾ÏÞÖÆÁËɱ¶¾Èí¼þµÄÔËÐУ¬ËùÒÔÊ×ÏÈÒª°Ñ²¡¶¾µÄ×Ô¶¯ÔËÐйصô£¬ÎÒÒ²ÕÒÁËÍøÉϵÄ×ÊÁÏ£¬²»¹ýÎÒÊÔÁË£¬Ã»ÓÐÓã¬ÕÒ²»µ½rous.exe,ÎÒÌṩ¸øÄãÃÇ£¬×Ô¼ºÈ¥ÊÔһϿ´¿´£¡
ÄãÕâÊÇÐ޸ĹýµÄROSE²¡¶¾,¿ÉÒÔ½áÊøSXSµÄ½ø³Ìɾ³ý£¬¼Çס£¬ÓÃÊó±êÓÒ¼ü½øÈëÓ²ÅÌ,ͬʱ°´Ctrl+Shift+EscÈý¸ö¼ü ´ò¿ªwindowsÈÎÎñ¹ÜÀíÆ÷,Ñ¡ÔñÀïÃæµÄ¡°½ø³Ì¡±±êÇ©ÔÚ¡°Ó³ÏñÃû³Æ¡±Ï²éÕÒ¡°sxs.exe¡± µ«»÷Ëü ÔÙÑ¡Ôñ¡°½áÊø½ø³Ì¡±
Ò»¶¨Òª½áÊøËùÓеġ°sxs.exe¡±½ø³Ì
´ò¿ªÎҵĵçÄÔ µ¥»÷ ¹¤¾ß²Ëµ¥Ïµġ°Îļþ¼ÐÑ¡Ï
µ¥»÷¡°²é¿´¡±±êÇ© °Ñ¡°¸ß¼¶ÉèÖá±ÖеÄ
¡°Òþ²ØÊܱ£»¤µÄ²Ù×÷ϵͳÎļþ£¨ÍƼö£©¡±Ç°ÃæµÄ¹´È¡Ïû
²¢Ñ¡ÔñÏÂÃæµÄ¡°ÏÔʾËùÓÐÎļþºÍÎļþ¼Ð¡±Ñ¡Ïî
µ¥»÷¡°È·¶¨¡±
ÓÃÊó±êÓÒ¼üµãCÅÌ£¨²»ÄÜË«»÷£¡£© Ñ¡Ôñ ¡°´ò¿ª¡±
ɾ³ýCÅÌÏ嵀 ¡°autorun.inf¡±Îļþ ºÍ¡°sxs.exe¡±Îļþ
ÓÃÊó±êÓÒ¼üµãDÅÌ Ñ¡Ôñ ¡°´ò¿ª¡±
ɾ³ýDÅÌÏ嵀 ¡°autorun.inf¡±Îļþ ºÍ¡°sxs.exe¡±Îļþ£¨ÁíÍâÓиöÎļþÒ²ÊÇ£¬ÊǸö.exe ͬÑùɾÁËËü£©
¡¡
ÒÔ´ËÀàÍÆ É¾³ýËùÓÐÅÌÉ쵀 AUTORUN.INFÎļþ ºÍ¡°rose.exe¡±Îļþ
µ¥»÷¿ªÊ¼ Ñ¡Ôñ¡°ÔËÐС± ÊäÈë ¡°regedit¡±(ûÓÐÒýºÅ) £¬»Ø³µ
ÒÀ´ÎÕ¹¿ª×¢²á±í±à¼Æ÷×ó±ßµÄ ÎҵĵçÄÔ>HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Run
ɾ³ýRunÏîÖÐµÄ ROSE £¨c:\windows\system32\SXS.exe)Õâ¸öÏîÄ¿
¹Ø±Õ×¢²á±í±à¼Æ÷
È»ºóÖØÐÂÆô¶¯¼ÆËã»ú
ɾ³ýÓ²ÅÌÉÏÊÇROSE£º
°´ÏÂshift¼ü²»·Å ²åÈëUÅÌ Ö±µ½µçÄÔÌáʾ¡°ÐÂÓ²¼þ¿ÉÒÔʹÓá±
´ò¿ªÎҵĵçÄÔ
ÕâʱÔÚUÅ̵Äͼ±êÉϵãÊó±êÓÒ¼ü Ñ¡Ôñ¡°´ò¿ª¡± £¨²»Òªµã×Ô¶¯²¥·Å»òÕßÊÇË«»÷£¡£©
ɾ³ý SXS.exeºÍautorun.infÎļþ ²¡¶¾¾ÍûÓÐÁË
ÉÏÃæÎÒ˵ÁËÕâ¸ö·½·¨¶ÔÎÒûÓÐÓã¡sxs.exeûÓÐרɱ,ÏÖÔÚÖ»ÄÜͨ¹ý×¢²á±íɱ¶¾
´ò¿ª×¢²á±í¡°regedit¡±,ÕÒµ½HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
ÓÐЩÍøÓÑ˵ɾ³ýRunÏîÖÐµÄ ROSE £¨c:\windows\system32\SXS.exe)Õâ¸öÏîÄ¿
ÎÒÕÒÁËÒ»ÏÂûÕÒµ½Õâ¸öRunÏîÄ¿£¬µ«ÊÇÎÒ¿´ÁËÒ»ÏÂÔÚRunÀïÃæÓÐÁ½¸ö¡±SoundMam¡±£¬¶øÇÒºóÃæ¸øµÄÊýÖµ²»Ò»Ñù£¬Ò»¸ö¸øµÄÊÇ¡°C:\\WINDOWS\\system32\\SVOHOST.exe¡±ÁíÒ»¸öÊÇ¡°SOUNDMAN.EXE¡±ÎÒÏë´ó¼ÒÒ²·¢ÏÖÁË£¬¿Ï¶¨ÓÐÎÊÌ⣬ÎÒ¿´ÁËһϣ¬Ö»ÓкóÃæÒ»¸öÊÇÕýÈ·µÄ£¬Ç°Ò»¸öÊǺÀ½Ü³¬¼¶½â°ÔµÄ¡°×Ô¶¯²¥·ÅËÅ·þÆ÷¡±µÄ³ÌÐò£¬¿´À´²¡¶¾ÊǼӵ½Õâ¸öÀïÃæÁË£¬½èÖú×Ô¶¯²¥·Åµ½´¦´«²¥£¡£¨ÕâÊÇÎÒÈÏΪµÄ£¬²»ÖªµÀ¶Ô²»¶Ô£©ÓÚÊǾÍɾ³ýÁËÕâ¸öÏÍ˳ö×¢²á±í£¬´ò¿ªÉ±¶¾Èí¼þ£¬¿ÉÒÔʹÓÃÁË£¬Ö»ÊÇÔÚÒ»°ãɱ¶¾Ê±£¬»¹ÊÇÕÒ²»µ½sxs.exeµÄ£¬ÎÒÓõÄÊǽÃñµÄ£¬ËûÓÐδ֪²¡¶¾É¨Ã裬ÔÚÄÇÀïÀïÃæ¿ÉÒÔ·¢Ïֵģ¬ËûÊÇÒ»ÖÖ¡°Ó²ÅÌÈä³æ²¡¶¾¡±£¬É¾µô¾ÍÐÐÁË£¬±¾À´ÎÒÊÇÏë½ØÆÁ¸ø´ó¼Ò¿´¿´µÄ£¬¿ÉϧÎÒÖØÆôÁË£¬Ã»¸´ÖÆÏÂÀ´£¬ÄÄλÅóÓѲ¹³äÒ»ÏÂÔÚÏÂÃ棡¸Ðл£¡
ÄÇ»¹Ê£ÏÂautorun.inf£¬Ö±½Óµ½¸÷¸öÓ²ÅÌɾ¾Í¿ÉÒÔÁË£¬ÔÙÇå¿Õ»ØÊÕÕ¾¾Í¿ÉÒÔÁË£¬ÆäËûµÄ¶¼Õý³£ÁË£¬¿ÉÄÜ»¹ÓÐЩÍøÓÑϵͳ¿ÉÄܳöÏÖЩÎÊÌ⣬ÈçºÀ½Ü³¬¼¶½â°ÔµÄ¡°×Ô¶¯²¥·ÅËÅ·þÆ÷¡±²»ÄÜʹÓÃÁË£¬ÎҵĽ¨ÒéÊÇ£º²»ÒªÓÃÁË£¬¾ÍÊÇËû»µµÄÊ£¡ÒªÊÇÄã·ÇÒªÓþÍÖØÐÂ×°°É£¡×îºóÖØÐÂÆô¶¯£¬¿ÉÒÔÁË£¡
¡ª¡ª¡ª¡ª¡ª¡ª¡ª¡ª¡ª¨C´«ËµÖеķָîÏߣ¡¡ª¡ª¡ª¡ª¡ª¡ª
ÄãûÓаÑ×¢²á±íÖеÄÆô¶¯ÏîºÍCÅÌÖеIJ¡¶¾Ä¸ÌåÈ¥µô£¬ËùÒÔÖØÆðµçÄÔÓÖ»á¸ÐȾ£¬ÊÖ¶¯Äã¿ÉÒÔ°´ÕÕÉÏÃæ²½Öèɾ³ý×¢²á±íÏµ±È»ÏÖÔÚÒѾÓÐרɱ¹¤¾ßÁË£¬Ï¸öÔÚ°²È«Ä£Ê½ÏÂɱ³ý°É
¡ª¡ª¡ª¡ª¡ª¡ª¡ª¡ª¡ª¡ªÕâÒ²ÊÇ·Ö¸îÏߣ¡¡ª¡ª¡ª¡ª¡ª¡ª-
ÒÔÏÂÕª×ÔE-liuzd Blog ¡ª ÁõÖ¾µ¤µÄBLOG
sxs.exe²¡¶¾ÊÖ¶¯É¾³ý·½·¨
ÓÐÊ·ÒÔÀ´µÚÒ»´ÎÔâÓöÈç´ËÍç¹ÌµÄ²¡¶¾£¬ÍøÉÏÕÒÁËÕÒ£¬Ã»ÓÐͳһµÄÃû×Ö£¬ÈðÐdzÆΪ Trojan.PSW.QQPass.pqb ²¡¶¾£¬ÎҾͽÐËü sxs.exe²¡¶¾°É
ÖØװϵͳºó£¬Ë«»÷·ÖÇøÅÌÓÖÖÐÁË£¬ÓôÃÆ£¬ÈðÐÇ×Ô¶¯¹Ø±ÕÎÞ·¨´ò¿ª£¬¾ö¶¨ÊÖ¶¯½«Æäɾ³ý
ÏÖÏó£ºÏµÍ³ÎļþÒþ²ØÎÞ·¨ÏÔʾ£¬Ë«»÷ÅÌ·ûÎÞ·´Ó³£¬ÈÎÎñ¹ÜÀíÆ÷·¢ÏÖ sxs.exe »òÕß svohost.exe £¨Óëϵͳ½ø³Ì svchost.exe Ò»×ÖÖ®²î£©£¬É±¶¾Èí¼þʵʱ¼à¿Ø×Ô¶¯¹Ø±Õ²¢ÎÞ·¨´ò¿ª
ÕÒÁËÍøÉÏÐí¶à·½·¨£¬ÎÞ·¨ÓÐЧɾ³ý£¬²¢ÇÒûÓÐרɱ¹¤¾ß
ÊÖ¶¯É¾³ý¡°sxs.exe²¡¶¾¡±·½·¨£º
ÔÚÒÔÏÂÕû¸ö¹ý³ÌÖв»µÃË«»÷·ÖÇøÅÌ£¬ÐèÒª´ò¿ªÊ±ÓÃÊó±êÓÒ¼ü¡ª¡ª´ò¿ª
Ò»¡¢¹Ø±Õ²¡¶¾½ø³Ì
Ctrl + Alt + Del ÈÎÎñ¹ÜÀíÆ÷£¬ÔÚ½ø³ÌÖвéÕÒ sxs »ò SVOHOST£¨²»ÊÇSVCHOST£¬Ïà²îÒ»¸ö×Öĸ£©£¬ÓеĻ°¾Í½«Ëü½áÊøµô
¶þ¡¢ÏÔʾ³ö±»Òþ²ØµÄϵͳÎļþ
ÔËÐСª¡ªregedit
HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL£¬½«CheckedValue¼üÖµÐÞ¸ÄΪ1
ÕâÀïҪעÒ⣬²¡¶¾»á°Ñ±¾À´ÓÐЧµÄDWORDÖµCheckedValueɾ³ýµô£¬Ð½¨ÁËÒ»¸öÎÞЧµÄ×Ö·û´®ÖµCheckedValue£¬²¢ÇҰѼüÖµ¸ÄΪ0£¡ÎÒÃǽ«Õâ¸ö¸ÄΪ1ÊǺÁÎÞ×÷Óõġ££¨Óв¿·Ö²¡¶¾±äÖÖ»áÖ±½Ó°ÑÕâ¸öCheckedValue¸øɾµô£¬Ö»ÐèºÍÏÂÃæÒ»Ñù£¬×Ô¼ºÔÙÖØн¨Ò»¸ö¾Í¿ÉÒÔÁË£©
·½·¨£ºÉ¾³ý´ËCheckedValue¼üÖµ£¬µ¥»÷ÓÒ¼ü н¨¡ª¡ªDwordÖµ¡ª¡ªÃüÃûΪCheckedValue£¬È»ºóÐÞ¸ÄËüµÄ¼üֵΪ1£¬ÕâÑù¾Í¿ÉÒÔÑ¡Ôñ¡°ÏÔʾËùÓÐÒþ²ØÎļþ¡±ºÍ¡°ÏÔʾϵͳÎļþ¡±¡£
ÔÚÎļþ¼Ð¡ª¡ª¹¤¾ß¡ª¡ªÎļþ¼ÐÑ¡ÏîÖн«ÏµÍ³ÎļþºÍÒþ²ØÎļþÉèÖÃΪÏÔʾ
Èý¡¢É¾³ý²¡¶¾
ÔÚ·ÖÇøÅÌÉϵ¥»÷Êó±êÓÒ¼ü¡ª¡ª´ò¿ª£¬¿´µ½Ã¿¸öÅ̸úĿ¼ÏÂÓÐ autorun.inf ºÍ sxs.exe Á½¸öÎļþ£¬½«Æäɾ³ý¡£
ËÄ¡¢É¾³ý²¡¶¾µÄ×Ô¶¯ÔËÐÐÏî
´ò¿ª×¢²á±í ÔËÐСª¡ªregedit
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Run
ÏÂÕÒµ½ SoundMam ¼üÖµ£¬¿ÉÄÜÓÐÁ½¸ö£¬É¾³ýÆäÖеļüֵΪ C:\\WINDOWS\system32\SVOHOST.exe µÄ
×îºóµ½ C:\\WINDOWS\system32\ Ŀ¼ÏÂɾ³ý SVOHOST.exe »ò sxs.exe
ÖØÆôµçÄԺ󣬷¢ÏÖɱ¶¾Èí¼þ¿ÉÒÔ´ò¿ª£¬·ÖÇøÅÌË«»÷¿ÉÒÔ´ò¿ªÁË¡£
Îå¡¢ºóÐø
ɱ¶¾Èí¼þʵʱ¼à¿Ø¿ÉÒÔ´ò¿ª£¬µ«¿ª»úÎÞ·¨×Ô¶¯ÔËÐÐ
×î¼òµ¥µÄ°ì·¨£¬Ö´ÐÐɱ¶¾Èí¼þµÄÌí¼Óɾ³ý×é¼þ¡ª¡ªÐÞ¸´£¬¼´¿É
²¹³ä£º·¢ÏÖÐí¶àÅóÓѶ¼Åöµ½Õâ¸ö²¡¶¾£¬»ØÍ·À´½«±¾ÎÄÖØв¹³äÁËÏ£¬Ï£Íû¶Ô¸÷λÓÐÓá£
2006-8-19