|
文谷技术人员在工作中为别人解决过如下问题:
诺顿报TRojan.PSW.QQPASS,infotealer病毒, 对象为c:\windows\system32\winscok.exe,但是清除失败,删除失败,隔离失改。
此病毒相当棘手,重装机器后想使用D盘文件,双击D盘无反映,这时双击其它盘也相同情况,包括C盘。
重启后可以打开,但诺顿又报警感染相同病毒。机器运行速度变得极慢。
参考网上其他文章,最后解决如下:
开机按F8,进入安全模式
在开始——运行中运行regedit,检查注册表,在、HKEY——LOCAL——MACHINE\SOFTWARE\Microsoft\windows\CurrentVersion\run发现一项:
SoundMam c:\windows\system32\SVOHOST.EXE
删除此键值
检查对应目录下这个文件,图标居然是一个小孩头。
删除这个文件。
在我的电脑的工具——文件夹选项——查看中,显示所有系统文件和隐藏文件
如果不能设置,运行——regedit
HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL
删除此下的CheckedValue键值,新建——Dword值——命名为CheckedValue,然后修改它的键值为1。
右键D盘,打开(这时千万不能双击打开各个从盘),发现D盘后有两个隐藏文件,一个为autorun.inf,另一个为sxs.exe,
sxs.exe与c:\windows\system32\SVOHOST.EXE文件相同,图标为一个戴眼镜的小孩头。
而autorun.inf文件的内容如下:
[AutoRun]
open=sxs.exe
shellexecute=sxs.exe
shell\Auto\command=sxs.exe
所以,双击D盘,就会运行病毒程序,从而感染机器,并在系统目录下产生SVOHOST.exe,作为进程运行,因为与SVCHOST非常相近,难于被人发现。
开机时也会产生Winscok.exe,被诺顿发现当不能处理。
清空autorun.inf,删除sxs.exe文件。
搜索全机的sxs.exe,svohost文件,还发现
c:\windows\prefetch\sxs.exe-14d3a72.pf
c:\windows\prefetch\sxs.exe-154a360b.pf
c:\windows\prefetch\svohost.exe-2fa3eb46.pf
删除c:\windows\system32\winscok.DLL
检查所有平时使用的优盘、移动硬盘,同样右击打开,删除目录下的sxs.exe文件,清空Autorun.inf
开机重启,一切正常
| 
