本文目录一览:
木马病毒
sxs.exe是什么病毒
瑞星称为 Trojan.PSW.QQPass.pqb 病毒,sxs.exe 特点是可以通过可移动磁盘传播,主要危害是盗取QQ帐户和密码,并且会终止大量反病毒软件的进程,降低系统的安全等级,现在我发现有很多的电脑上每个磁盘都中了,重装系统也没有用,此毒危害性很大,该怎么办啊?
这是修改过的ROSE病毒,可以结束SXS的进程删除。记住,用鼠标右键进入硬盘,同时按下Ctrl+Shift+Del三个键打开windows任务管理器,选择里面的“进程”标签,在“映像名称”下查找“sxs.exe” 但击它 再选择“结束进程”,一定要结束所有的“sxs.exe”进程。
打开我的电脑,单击工具菜单下的“文件夹选项”单击“查看”标签把“高级设置”中的“隐藏受保护的操作系统文件(推荐)”前面的勾取消,并选择下面的“显示所有文件和文件夹”选项,单击“确定”。
用鼠标右键点C盘(不能双击!)选择 “打开”,删除C盘下的 “autorun.inf”文件 和“sxs.exe”文件,用鼠标右键点D盘选择“打开”,删除D盘下的“autorun.inf”文件和“sxs.exe”文件(另外有个文件也是,是个.exe 同样删了它)。
……
以此类推,删除所有盘上的 AUTORUN.INF文件和“rose.exe”文件。
单击“开始”,选择“运行” 输入 "regedit"(没有引号) ,依次展开注册表编辑器左边的“我的电脑”HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun 删除Run项中的 ROSE (c:\windows\system32\SXS.exe)这个项目。
关闭注册表编辑器,然后重新启动计算机。
删除移动硬盘或U盘上的ROSE:
按下shift键不放,插入U盘 直到电脑提示“新硬件可以使用”,打开我的电脑,这时在U盘的图标上点鼠标右键,选择“打开”(不要点自动播放或者是双击!),删除 SXS.exe和autorun.inf文件 病毒就没有了。
有史以来第一次遭遇如此顽固的病毒,网上找了找,没有统一的名字,瑞星称为 Trojan.PSW.QQPass.pqb 病毒,我就叫它 sxs.exe病毒吧。重装系统后,双击分区盘又中了,郁闷,瑞星无法安装,安装好的瑞星自动关闭无法打开,系统自带的防火墙也不能启动与关闭,决定手动将其删除。
现象:系统文件隐藏无法显示,双击盘符无反映,任务管理器发现 sxs.exe 或者 svohost.exe (与系统进程 svchost.exe 一字之差),杀毒软件实时监控自动关闭并无法打开。找了网上许多方法,无法有效删除,并且没有专杀工具。
手动删除“sxs.exe病毒”方法:
在以下整个过程中不得双击分区盘,需要打开时用鼠标右键——打开
一、关闭病毒进程
Ctrl + Alt + Del 任务管理器,在进程中查找 sxs 或 SVOHOST(不是SVCHOST,相差一个字母),有的话就将它结束掉 。
二、显示出被隐藏的系统文件
运行——regedit
HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL,将CheckedValue键值修改为1。
这里要注意,病毒会把本来有效的DWORD值CheckedValue删除掉,新建了一个无效的字符串值CheckedValue,并且把键值改为0!我们将这个改为1是毫无作用的。(有部分病毒变种会直接把这个CheckedValue给删掉,只需和下面一样,自己再重新建一个就可以了)。
方法:删除此CheckedValue键值,单击右键 新建——Dword值——命名为CheckedValue,然后修改它的键值为1,这样就可以选择“显示所有隐藏文件”和“显示系统文件”。
在文件夹——工具——文件夹选项中将系统文件和隐藏文件设置为显示
三、删除病毒
在分区盘上单击鼠标右键——打开,看到每个盘跟目录下有 autorun.inf 和 sxs.exe 两个文件,将其删除。
四、删除病毒的自动运行项
打开注册表 运行——regedit
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun 下找到 SoundMam 键值,可能有两个,删除其中的键值为 C:\\WINDOWS\system32\SVOHOST.exe 的。最后到 C:\\WINDOWS\system32\ 目录下删除 SVOHOST.exe 或 sxs.exe 。重启电脑后,发现杀毒软件可以打开,分区盘双击可以打开了。
五、后续
杀毒软件实时监控可以打开,但开机无法自动运行
最简单的办法,执行杀毒软件的添加删除组件——修复,即可。
另外已用GHOST备份系统盘的,那就简单了只需恢复系统盘,打开“我的电脑”文件夹选项里显示隐藏文件显示系统保护的文件,然后如上所说,将其他盘根目录的INI文件和EXE文件删除就可以了。有的软件点击不开,那是已经破坏了软件执行程序,执行软件的添加删除组件——修复,即可。
木马病毒是什么个情况?
您好:
木马病毒主要是一些爱好编程的高手自己写的一个主控端黑客软件,然后使用主控端生成被控端的木马病毒,然后为生成的木马加壳加伪装让病毒换一个样子(如变成照片或者绑定到软件中),然后发送到别人的电脑中或者挂到一些不安全的网站导致其他人中毒,如果有人不小心打开或启动了这个木马病毒,那么在黑客的主控端上就会显示病毒被控端登陆,黑客就可以对中毒的电脑进行随意的远程后台控制或者盗取文件资料,为了保护您电脑的安全,建议您使用腾讯电脑管家保护您的电脑吧,腾讯电脑管家专杀这些恶劣病毒预防病毒入侵,您可以点击这里下载最新版的腾讯电脑管家:最新版腾讯电脑管家下载
如果有其他问题,欢迎继续到电脑管家企业平台提问
木马病毒是怎为事
木马程序是目前比较流行的一类病毒文件,它与一般的病毒不同,它不会自我繁殖,也并不刻意地去感染其他文件。它通过将自身伪装吸引用户下载执行,或以捆绑在网页中的形式,当用户浏览网页时受害。木马程序向施种木马者提供打开被种者电脑的门户,使施种者可以任意毁坏、窃取被种者的文件和隐私,甚至远程操控被种者的电脑。木马的原理和计算机网络中常常要用到的远程控制软件相似,但由于远程控制软件是“善意”的控制,因此通常不具有隐蔽性;而木马程序则完全相反,木马要达到的是“偷窃”性的远程控制,如果没有很强的隐蔽性的话,那就是毫无价值的。
木马通常有两个可执行程序:一个是客户端,即控制端,另一个是服务端,即被控制端。木马的设计者为了防止木马被发现,而采用多种手段隐藏木马。木马的服务一旦运行,电脑就会有一个或几个端口被打开,黑客就可以利用控制端进入运行了服务端的电脑,甚至可以控制被种者的电脑,所以被种者的安全和个人隐私也就全无保障了!
随着微软的操作系统从Win9X过渡到WinNT系统(包括2000/xp/2003),微软的任务管理器也一下子“脱胎换骨”,变得“火眼金睛”起来 (在Win9X中,只需要将进程注册为系统服务就能够从进程查看器中隐形,可是这一切在WinNT中却完全不同,无论木马从端口、启动文件上如何巧妙地隐藏自己,始终都不能欺骗WinNT的任务管理器),这使得以前在win9X操作系统下靠将进程注册为系统服务就能够从任务管理器中隐形的木马面临前所未有的危机,所以木马的开发者及时调整了开发思路,转入了开发可以躲避WinNT的任务管理器的进程查询的动态嵌入式DLL木马。
要弄清楚什么是动态嵌入式DLL木马,我们必须要先了解Windows系统的另一种“可执行文件”——DLL,DLL是Dynamic Link Library(动态链接库)的缩写,DLL文件是Windows的基础,因为所有的API函数都是在DLL中实现的。DLL文件没有程序逻辑,是由多个功能函数构成,它并不能独立运行,DLL文件一般都是由进程加载并调用的。
因为DLL文件不能独立运行,所以在进程列表中并不会出现DLL。所以木马的开发者就通过编写动态嵌入式DLL木马,并且通过别的进程来运行它,那么无论是入侵检测软件还是进程列表中,都只会出现那个进程而并不会出现那个DLL木马。如果那个进程是可信进程(例如资源管理器Explorer.exe),那么就没人会怀疑DLL文件也是个木马了。从而木马就又实现了自己的隐蔽性的功能,所以,预防DLL木马也是相当重要的。
在WinNT系统,DLL木马一般都藏在System32目录下(因为System32是系统文件存放的目录,里面的文件很多,在里面隐藏当然很方便了),针对这一点我们可以在安装好系统和必要的应用程序后,对该目录下的EXE和DLL文件作一次记录:点击开始—运行—输入cmd回车—出现DOS命令行模式—输入cd\回车,再输入cd C:\Windows\System32回车,这就转换目录到了System32目录(要还是不知道怎么进入的,请参看DOS的cd命令的使用),输入命令:dir *.exeexebackup.txt dir *.dlldllbackup.txt回车。
这样,我们就把System32目录下所有的exe文件和所有的dll文件都记录在exebackup.txt和dllbackup.txt里面了。日后如发现系统异常而用传统的方法又查不出问题时,则要考虑是不是系统中已经潜入了DLL木马。
这时我们用同样的方法将System32目录下的EXE和DLL文件记录到另外exebackup1.txt和dllbackup1.txt中,然后运行 CMD—fc exebackup.txt exebackup1.txtdifferent.txt fc dllbackup.txt dllbackup1.txtdifferent.txt(使用FC命令比较前后两次的DLL和EXE文件,并将结果输入到 different.txt中),这样我们就能发现一些多出来的DLL和EXE文件,然后通过查看创建时间、版本、是否经过压缩等就能够比较容易地判断出是不是已经被DLL木马光顾了。
没有是最好,如果有的话也不要直接删除掉,可以先把它移到回收站里,若系统没有异常反应再将之彻底删除,或者把DLL文件上报给反病毒研究中心检查。
最后,防治木马的危害,专家建议大家应采取以下措施:
第一,安装反病毒软件和个人防火墙,并及时升级。
第二,把个人防火墙设置好安全等级,防止未知程序向外传送数据。
第三,使用安全性比较好的浏览器和电子邮件客户端工具。
第四,操作系统的补丁要经常进行更新。
第五,不要随便打开陌生网友传送的文件和下载、使用破解软件。
相信大家只要做好安全防护工作,防治木马并不是那么可怕的。
我QQ以前有木马,被人登陆过,我扫描过没有木马,也修改了密码,可怎么还有人在异地登陆?
也许是你没中毒。
你的网络连接 要通过网络服务提供商ISP的服务器实现的。你每次上网的时候。由服务器提供连接。他会以某种方式分配给你服务的服务器。 有时候就是在异地的服务器。 而QQ就会提醒你上次是在别处登陆。 我们这里就老是这样。我在芜湖,就老是在阜阳登陆。
一般都是在附近的地方。不会太远。 如果太远的话,你要考虑木马病毒咯。