急救:硬盘各驱出现sos.exe
|
昨天家里电脑突然360安全卫士和瑞星杀毒都瘫了,打不开。C、D、E、F盘下均有sos.exe文件,其它后缀为.exe安装软件全部不能运行。。盼高手指点!不胜感激!-------- 中毒了,用sos.exe病毒专杀 sos.exe专杀工具试试。http://dubanet.org.cn/sosexezhuansha/2007-11-12/-------- 非常感谢!但装了360安全卫士,为什么木马还能接连一次性连续攻击呢?昨天下午一下子就中10几个木马(大多是游戏盗号木马),显示注册表被连续修改的,是不是和系统版本有关?-------- 360在杀毒领域不是很强,刚起步,需另外安个杀毒软件-------- 这个毒我也中过,结果是重装了事-------- 重装对有些病毒是不行的。我以前中过sxs病毒,郁闷得不行-------- 360只能杀木马,对病毒效果不好... 你病毒都运行了,360和很多软件都被关闭了. 进安全模式, 用autoruns和sreng进行修改吧. 先恢复注册表.再用杀毒软件杀.-------- 昨天遇到个机器中了sos.exe,重做系统后,windows下看不见,但dos下可见,用 del 删除不掉。双击盘符后病毒再次发作,杀毒软件用的是瑞星2008,正在尝试进一步杀毒-------- 12346456465-------- sos.exe我后来用360杀掉了。因为系统同时装的瑞星2007根本启动不了,E盘的.exe执行文件全部破坏,病毒一直茶不出。后来干脆将E盘也格式化。好了许多,但还是跳出cvehost.exe出错,连续跳出相同窗口(IE窗口或者就是系统普通的对话框),不知是不是什么病毒的缘故?这两天被这个搞死了,郁闷ing。请大虾们指点!-------- 重做系统,然后尽快删-------- 用98起动盘进入DOS. 用命令删除此文件,! ,,但C盘必须恢复备份.!-------- 这是一个可以通过U盘传播的感染下载者,对系统有一定的破坏作用,是之前流行的crsss.exe病毒系列的一个新变种。File: sos.exe Size: 26624 bytes Modified: 2007年11月11日, 13:32:04 MD5: 6955C9DE365BEDA81390DE069D5A67F5 SHA1: 4087A6F44E81F907F0DE0FB31C15E359A90680B5 CRC32: 870BA6FE 加壳方式:upx AV命名:Worm.Win32.Agent.yzg(瑞星)技术细节: 1.病毒运行后,衍生如下副本: %systemroot%\system32\auToRun.inf %systemroot%\system32\Systom.exe 在每个分区根目录下面生成auToRun.inf和Systom.exe,达到通过U盘等移动存储传播的目的。2.调用reg.exe执行相应注册表操作: (1)ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /V crsss /T REG_SZ /D 添加自身启动项目(2)add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WindowsUpdate /v DisableWindowsUpdateAccess /t REG_dword /d 00000001 /f 禁用windows自动更新(3)add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /t REG_dword /d 00000001 /f 禁用任务管理器(4)add "HKCU\Software\Microsoft\Windows\CurrentVersion\EXPlorer\Advanced" /v Hidden /t reg_dWord /d 00000000 /f add "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" /v ShowSuperHidden /t reg_dword /d 00000000 /f add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL" /v CheckedValue /t REG_SZ /d 0 /f 破坏显示隐藏文件的功能(5)add "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" /v HideFileExt /t reg_dword /d 00000001 /f 不显示文件的扩展名(6)add "HKCU\Software\Microsoft\Internet Explorer\Main" /v "Start Page" /t REG_EXPAND_SZ /d 锁定主页(7)add "HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel" /v "HomePage" /t REG_DWORD /d 00000001 /f 使得IE的主页设定选项不可选3.检测带有如下字样的窗口并将其关闭 病毒 木马 检测 wpe4.遍历所有磁盘分区删除*.gho文件,使得用户中毒后无法使用ghost恢复系统5.遍历所有磁盘分区的INDEX.ASP,.HTM,INDEX.PHP,DEFAULT.ASP,DEFAULT.PHP,CONN.ASP文件 并在其尾部加入的代码6.调用IE连接网络通过http://www.*.cn/cj/tj/tj.asp进行感染统计7.自身连接网络下载http://www.*.cn/cj/xiao.txt http://www.*.cn/cj/table.txt 和http://www.*.cn/cj/IEURL.txt 到%systemroot%\system32下面命名为h1.dll~h5.dll三个文件均为网页文件中毒后的sreng日志如下: 启动项目 注册表 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] Autorun.inf [C:\] [AuToRun] open=sos.exe shell\open=打开(&O) shell\open\Command=sos.exe shell\open\Default=1 shell\explore=资源管理器(&X) shell\explore\Command=sos.exe [D:\] [AuToRun] open=sos.exe shell\open=打开(&O) shell\open\Command=sos.exe shell\open\Default=1 shell\explore=资源管理器(&X) shell\explore\Command=sos.exe ... 解决办法: 下载sreng:http://download.kztechs.com/files/sreng2.zip启动计算机 进入 安全模式下(开机后不断 按F8键 然后出来一个高级菜单 选择第一项 安全模式 进入系统)1.打开sreng 启动项目 注册表 删除如下项目 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] 勾选如下选项允许在Windows 2000/XP/Server 2003中使用任务管理器 设置主页为"about:blank" 允许Internet Explorer选项窗口和选项窗口的所有内容 显示隐藏文件然后点击“修复”按钮2.重启计算机双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。在提示确定更改时,单击“是” 然后确定 点击 菜单栏下方的 文件夹按钮(搜索右边的按钮) 在左边的资源管理器中单击打开系统所在盘 删除如下文件 %systemroot%\system32\auToRun.inf %systemroot%\system32\Systom.exe %systemroot%\system32\h1.dll~h5.dll在左边的资源管理器中单击打开每个分区 删除每个分区根目录下面的sos.exe和auToRun.inf-------- 试试USBKiller。前两天,帮朋友搞电脑,就是用这个软件搞定的。 |
》热 点 关 注
》编 辑 推 荐
》相 关 图 文