直播毛片,国产成人精品福利站

關(guān)鍵詞： Trojan.PSW.QQPa autorun.inf

今天剛清除了sms.exe病毒(瑞星稱為 Trojan.PSW.QQPass.pqb 病毒)，現(xiàn)在將方法匯總一下，供大家參考：

特征：在每個盤根目錄下自動生成sxs.exe,autorun.inf文件，有的還在windows\system32下生成SVOHOST.exe 或 sxs.exe ，文件屬性為隱含屬性。自動禁用殺毒軟件。

傳染途徑：主要通過U盤，移動硬盤

迷惑性：

1、按ctrl+del+alt查看進程，可能多出svohost進程，他與系統(tǒng)自帶的svchost只差一字，大家要看清楚！

2、注冊表修改項隱蔽更強，如何修改我將在下面詳細說明。

3、自動修改注冊表，使系統(tǒng)“顯示所有隱藏文件”功能失效，從而達到隱藏自己病毒體文件的目的。

清除辦法：

建議到安全模式下，網(wǎng)上有許多網(wǎng)友說直接搜索sms.exe文件刪除是不可以的，因為一刪除后，只要你刷新就立刻出現(xiàn)。

1、關(guān)閉病毒進程

Ctrl + Alt + Del 任務(wù)管理器，在進程中查找 sxs 或 SVOHOST（不是SVCHOST，相差一個字母），有的話就將它結(jié)束掉（并不是所有的系統(tǒng)都顯示有這個進程，沒有的就略過此步）。

2、恢復(fù)注冊表（有的系統(tǒng)可能病毒沒有修改注冊表，檢驗辦法是，如果您的系統(tǒng)能看到隱藏文件那么這步可以省略，建議大家都看一下）

(刪除病毒自啟動項)打開注冊表運行——regedit

HKEY_LOCAL_MACHINE>;SOFTWARE>;Microsoft>;Windows>;CurrentVersion>;Run

SVOHOST.exe 或 sxs.exe

下找到 SoundMam（注意不是soundman,只差一個字母）鍵值，可能有兩個，刪除其中的鍵值為 C:\\WINDOWS\system32\SVOHOST.exe 的（顯示出被隱藏的系統(tǒng)文件）

HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL，將CheckedValue鍵值修改為1

這里要注意，病毒會把本來有效的DWORD值CheckedValue刪除掉，新建了一個無效的字符串值CheckedValue,類型為REG_SZ，并且把鍵值改為0！我們將這個改為1是毫無作用的。大家要看清楚CheckedValue后面的類型，正確的是“RED_DWORD”而不是“REG_SZ”（有部分病毒變種會直接把這個CheckedValue給刪掉，只需和下面一樣，自己再重新建一個就可以了）

方法：刪除此CheckedValue鍵值，單擊右鍵新建——Dword值——命名為CheckedValue，然后修改它的鍵值為1，這樣就可以選擇“顯示所有隱藏文件”和“顯示系統(tǒng)文件”。在文件夾——工具——文件夾選項中將系統(tǒng)文件和隱藏文件設(shè)置為顯示

3、刪除病毒體文件

在分區(qū)盤上單擊鼠標右鍵——打開，看到每個盤跟目錄下有 autorun.inf 和 sxs.exe 兩個文件，將其刪除。

最徹底的刪除辦法是：單擊開始--運行--cmd 確定后在dos狀態(tài)下寫如下命令(一般系統(tǒng)盤跟目錄下可能沒有病毒體文件，但是其他盤應(yīng)該都存在)

attrib -h -r -s c:\sxs.exe

del c:\sxs.exe

attrib -h -s -r c:\autorun.inf

del c:\autorun.inf

attrib -h -r -s d:\sxs.exe

del d:\sxs.exe

attrib -h -s -r d:\autorun.inf

del d:\autorun.inf

如果大家還有其他的盤符可以參考我上面的寫一下就可以，如果有E盤，那就是

attrib -h -r -s e:\sxs.exe

del e:\sxs.exe

attrib -h -s -r e:\autorun.inf

del e:\autorun.inf

=============建議大家可以寫成一的批處理，然后運行一下就ok了。

最后到 C:\\WINDOWS\system32\ 目錄下刪除 SVOHOST.exe 或 sxs.exe

為了方便大家我寫了一個批處理刪除病毒體文件，運行的時候如果提示“沒有發(fā)現(xiàn)該文件”說明找不到病毒體文件，沒有關(guān)系的。因為有些目錄病毒可能沒有復(fù)制到里面去。

大家把這個復(fù)制后用文本文件保存，然后改名為delsxs.bat,最后雙擊運行就ok了,我只寫到G盤的，估計就夠用的，另外加了個h（u）盤的

attrib -h -r -s c:\sxs.exe

del c:\sxs.exe

attrib -h -s -r c:\autorun.inf

del c:\autorun.inf

attrib -h -r -s d:\sxs.exe

del d:\sxs.exe

attrib -h -s -r d:\autorun.inf

del d:\autorun.inf

attrib -h -r -s e:\sxs.exe

del e:\sxs.exe

attrib -h -s -r e:\autorun.inf

del e:\autorun.inf

attrib -h -r -s f:\sxs.exe

del f:\sxs.exe

attrib -h -s -r f:\autorun.inf

del f:\autorun.inf

attrib -h -r -s g:\sxs.exe

del g:\sxs.exe

attrib -h -s -r g:\autorun.inf

del g:\autorun.inf

attrib -h -r -s h:\sxs.exe

del h:\sxs.exe

attrib -h -s -r h:\autorun.inf

del h:\autorun.inf

最后提醒大家的是：使用u盤或者是移動硬盤的時候要在插入后，立刻按住shift鍵，防止自動運行程序啟動，打開的時候要點右鍵--打開，這樣病毒就不會運行（如果存在病毒文件sxs.exe和autorun.inf直接刪除就ok了），否則如果你的u盤上有此病毒，你雙擊后，非但打不開u盤，還運行了病毒程序，呵呵上面做的一切都要重做了哦。

至于殺毒軟件不能自動啟動的問題，那可以重新安裝或者參考各殺毒軟件的處理辦法了，這里就不一一列舉了

最簡單的方法：
sxs.exe病毒專殺工具之“橙色八月專殺工具.bat”

打開記事本將以下代碼復(fù)制后另存為“橙色八月sxs專殺工具.bat”文件，然后運行！

echo.
@echo::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
@echo::停止正在運行的SXS.EXE和SVOHOST.EXE進程，請稍侯......
@echo::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
TASKKILL /F /T /IM SXS.EXE
TASKKILL /F /T /IM SVOHOST.EXE
TASKKILL /F /T /IM ROSE.EXE
color 4F
color 0C
color 4F
color 0C
color 4F
color 0C
echo.
echo.
@echo::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
@echo::恢復(fù)注冊表中不給設(shè)置顯示隱藏文件的項目,請稍侯
@echo::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
ECHO Windows Registry Editor Version 5.00>SHOWALL.reg
ECHO [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]>>SHOWALL.reg
ECHO "CheckedValue"=->>SHOWALL.reg
ECHO [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]>>SHOWALL.reg
ECHO "CheckedValue"=dword:00000001>>SHOWALL.reg
@echo::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
@echo::刪除系統(tǒng)目錄下的SXS.EXE、SVOHOST.EXE和WINSCOK.DLL文件,請稍侯......
@echo::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
ATTRIB -R -H -S -A %SystemRoot%\System32\SXS.EXE
ATTRIB -R -H -S -A %SystemRoot%\System32\SVOHOST.EXE
ATTRIB -R -H -S -A %SystemRoot%\System32\WINSCOK.DLL
DEL /F /Q /A -R -H -S -A %SystemRoot%\System32\SXS.EXE
DEL /F /Q /A -R -H -S -A %SystemRoot%\System32\SVOHOST.EXE
DEL /F /Q /A -R -H -S -A %SystemRoot%\System32\WINSCOK.DLL
ATTRIB -R -H -S -A %SystemRoot%\SXS.EXE
ATTRIB -R -H -S -A %SystemRoot%\SVOHOST.EXE
ATTRIB -R -H -S -A %SystemRoot%\WINSCOK.DLL
DEL /F /Q /A -R -H -S -A %SystemRoot%\SXS.EXE
DEL /F /Q /A -R -H -S -A %SystemRoot%\SVOHOST.EXE
DEL /F /Q /A -R -H -S -A %SystemRoot%\WINSCOK.DLL
ATTRIB -R -H -S -A %SystemRoot%\System\SXS.EXE
ATTRIB -R -H -S -A %SystemRoot%\System\SVOHOST.EXE
ATTRIB -R -H -S -A %SystemRoot%\System\WINSCOK.DLL
DEL /F /Q /A -R -H -S -A %SystemRoot%\System\SXS.EXE
DEL /F /Q /A -R -H -S -A %SystemRoot%\System\SVOHOST.EXE
DEL /F /Q /A -R -H -S -A %SystemRoot%\System\WINSCOK.DLL
ATTRIB -R -H -S -A %SystemRoot%\System32\dllcache\SXS.EXE
ATTRIB -R -H -S -A %SystemRoot%\System32\dllcache\SVOHOST.EXE
ATTRIB -R -H -S -A %SystemRoot%\System32\dllcache\WINSCOK.DLL
DEL /F /Q /A -R -H -S -A %SystemRoot%\System32\dllcache\SXS.EXE
DEL /F /Q /A -R -H -S -A %SystemRoot%\System32\dllcache\SVOHOST.EXE
DEL /F /Q /A -R -H -S -A %SystemRoot%\System32\dllcache\WINSCOK.DLL
@echo::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
@echo::刪除每個分區(qū)下的SXS.EXE和AUTORUN.INF文件，請稍侯.......
@echo::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
FOR %%a IN ( C: D: E: F: G: H: I: J: K: L: M: N: O: P: Q: R: S: T: U: V: W: X: Y: Z: ) DO ATTRIB -R -H -S -A %%a\SXS.EXE & DEL /F /Q /A -R -H -S -A %%a\SXS.EXE & ATTRIB -R -H -S -A %%a\AUTORUN.INF & DEL /F /Q /A -R -H -S -A %%a\AUTORUN.INF
@echo::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
@echo::刪除注冊表中自啟動項，請稍侯......
@echo::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
ECHO Windows Registry Editor Version 5.00>SoundMam.reg
ECHO [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SoundMam]>>SoundMam.reg
ECHO [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]>>SoundMam.reg
ECHO "SoundMam"=->>SoundMam.reg
REGEDIT /S SoundMam.reg
DEL /F /Q SoundMam.reg

REGEDIT /S SHOWALL.reg
DEL /F /Q SHOWALL.reg
color 3f
echo.
@echo 病毒文件已清除!
echo.
echo.
echo.
@echo
@echo
@echo
@echo
@echo
@echo
@echo
echo.
@echo
echo.
@echo
echo.
@echo
echo.
@echo
echo.
echo.
echo.
echo.
pause
echo.
echo.
echo.
echo.
echo.
echo.
echo.

大家試試看！絕對管用，我用過的。

新建一個文本文檔，復(fù)制以下內(nèi)容并保存。然后將后面的.txt改為.bat然后成為一個批處理文件，運行即可殺除。

@echo on
taskkill /im explorer.exe /f
taskkill /im wscript.exe
start reg add HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\EXplorer\Advanced /v ShowSuperHidden /t REG_DWORD /d 1 /f
start reg import kill.reg
del c:\autorun.* /f /q /as
del %SYSTEMROOT%\system32\autorun.* /f /q /as
del d:\autorun.* /f /q /as
del e:\autorun.* /f /q /as
del f:\autorun.* /f /q /as
del g:\autorun.* /f /q /as
del h:\autorun.* /f /q /as
del i:\autorun.* /f /q /as
del j:\autorun.* /f /q /as
del k:\autorun.* /f /q /as
del l:\autorun.* /f /q /as
start explorer.exe

回答者：baoren9665 - 助理二級 1-3 18:49

玩轉(zhuǎn) autorun.inf 字號 [大中小] 玩轉(zhuǎn)Autorun.inf 前文，我發(fā)了一篇關(guān)于autorun.inf的病毒文章，那么是不是所有的autorun.inf都是病毒呢？當然不是了，其實這個文件如果用好了還是對用戶大有用處的。了解Autorun.inf 什么是Autorun.inf文件呢，嚴格的說它是一個必須存放在驅(qū)動器根目錄下的有一定格式的文本文件，它是由一個或多個“節(jié)”組成，每個“節(jié)”民須以節(jié)名作為開始的一行，節(jié)名必須用中括號[]括起來，節(jié)名之下則為本節(jié)中的命令。其中Autorun.inf一共支持三個節(jié)，它們分雖為[autorun]、[autorun.alpha]、[Deviceinstall]，其中只有[autorun]是必須存在的。實例應(yīng)用現(xiàn)在我們就來以實例的方式來詳細了解Autorun.inf文件到底有哪些慶用。 (1)自動運行自動運行在前文有所接觸，即使用Open命令進行，要注意的是“Open=”指定的文件必須為可執(zhí)行文件，例如com、exe、bat；如果指定的文件不在根目錄下，則需要指定其路徑，例如Open=soft .bat，這就表示運行光盤根目錄下soft文件夾中的1.bat文件。小提示：如果要運行的文件不是com、exe、bat，那么也沒關(guān)系，我們可以手工編寫一個bat文件，將要打開的文件所在路徑和文件名添加在bat之中即可。 (2)自定義光盤圖標在Autorun節(jié)中，還有一個比較好玩的命令行，那就是icon，一般情況下指定的圖標文件可以是ico和bmp格式，當然也可以是包含圖標資源的exe和dll文件，如果exe和dll文件中包含多個圖標文件，那么就必須指定希望使用的圖標索引號，要注意的是圖標索引號是從0開始編號的，例如“icon=icon.dll,1”，那么就表示將使用icon.dll文件中的第二個圖標。小提示：icon不僅可以應(yīng)用在光盤上，我們也可以將該命令編寫進autorun.inf文件放置在硬盤根目錄自定義硬盤的圖標。 (3)自定義卷標雖然說光盤刻錄軟件中一般都可以設(shè)置光盤卷標，但是如果要批量刻錄的話，那就會顯的很麻煩，不如使用命令定義的快捷。定義卷標是利用Label命令來完成的，它的語法和Open、Icon是一樣的，在這里不再多述。 (4)添加右鍵菜單當我們右擊刻錄的光盤時，經(jīng)常會在右鍵菜單中發(fā)現(xiàn)一個自動播放的選項，其實這主要是利用Autorun.inf中的Open命令來實現(xiàn)的，其實我們還可以根據(jù)需要添加其它菜單命令。添加其它菜單命令的格式是“Shell<菜單命令名>Command=<要執(zhí)行的文件>”，例如我們編寫了一個文件內(nèi)容如下： [autorun] shell打開記事本command=notepad.exe 這樣當我們將該文件刻錄進光盤時，右擊光盤時在彈出菜單中就會有一個“打開記事本”的命令了。 (5)改變?nèi)笔〔僮?一般情況下應(yīng)用autorun.inf的光盤雙擊缺省操作大多是自動播放，即執(zhí)行open后面的文件操作。其實我們也可以改變這種情況，而這同樣是利用shell命令來完成。我們先來看一個典型雙擊安裝軟件的示例： [autorun] shellsetupcommand=softsetup.exe shell eadme=安裝軟件 shell=setup 要看懂這段語句，我們可以從下向上看，當我們雙擊光盤時，將調(diào)用最后一句Shell=setup，因為設(shè)置了該句，那么雙擊時將查找對應(yīng)Shellsetupcommand后面指定的命令來作為默認操作，因此默認的操作將變成執(zhí)行光盤根目錄下的soft文件夾中的setup.exe文件。在這里主要介紹的是autorun節(jié)內(nèi)容的應(yīng)用，而對于autorun.alpha來說我們很少用到，而Deviceinstall只能在Windows XP下使用，可以利用它指定硬件向?qū)нM行遞歸搜索的子目錄。理論基礎(chǔ) 經(jīng)常使用光盤的朋友都知道，有很多光盤放入光驅(qū)就會自動運行，它們是怎么做的呢？光盤一放入光驅(qū)就會自動被執(zhí)行，主要依靠兩個文件，一是光盤上的AutoRun.inf文件，另一個是操作系統(tǒng)本身的系統(tǒng)文件之一的Cdvsd.vxd。Cdvsd.vxd會隨時偵測光驅(qū)中是否有放入光盤的動作，如果有的話，便開始尋找光盤根目錄下的AutoRun.inf文件。如果存在AutoRun.inf文件則執(zhí)行它里面的預(yù)設(shè)程序。 AutoRun.inf不光能讓光盤自動運行程序，也能讓硬盤自動運行程序，方法很簡單，先打開記事本，然后用鼠標右鍵點擊該文件，在彈出菜單中選擇“重命名”，將其改名為AutoRun.inf，在AutoRun.inf中鍵入以下內(nèi)容： [AutoRun] //表示AutoRun部分開始，必須輸入 Icon=C:\C.ico //給C盤一個個性化的盤符圖標C.ico Open=C:\1.exe //指定要運行程序的路徑和名稱，在此為C盤下的1.exe 保存該文件，按F5刷新桌面，再看“我的電腦”中的該盤符（在此為C盤），你會發(fā)現(xiàn)它的磁盤圖標變了，雙擊進入C盤，還會自動播放C盤下的1.exe文件！解釋一下：“[AutoRun]”行是必須的固定格式，“Icon”行對應(yīng)的是圖標文件，“C:\C.ico”為圖標文件路徑和文件名，你在輸入時可以將它改為你的圖片文件所在路徑和文件名。另外，“.ico”為圖標文件的擴展名，如果你手頭上沒有這類文件，可以用看圖軟件ACDSee將其他格式的軟件轉(zhuǎn)換為ico格式，或者找到一個后綴名為BMP的文件，將它直接改名為ICO文件即可。 “Open”行指定要自動運行的文件及其盤符和路徑。要特別說明的是，如果你要改變的硬盤跟目錄下沒有自動播放文件，就應(yīng)該把“OPEN”行刪掉，否則就會因為找不到自動播放文件而打不開硬盤，此時只能用鼠標右鍵單擊盤符在彈出菜單中選“打開”才行. 相信大家學(xué)了之后一定會大開眼界，其實除了本文所介紹之外，還有很多精彩的應(yīng)用等著你來挖掘。要知道學(xué)習(xí)是師傅領(lǐng)進門，修行靠個人。

本站僅提供存儲服務(wù)，所有內(nèi)容均由用戶發(fā)布，如發(fā)現(xiàn)有害或侵權(quán)內(nèi)容，請點擊舉報。

九色国产,午夜在线视频,新黄色网址,九九色综合,天天做夜夜做久久做狠狠,天天躁夜夜躁狠狠躁2021a,久久不卡一区二区三区