珞珈山水BBS -- 单文区文章阅读

搜索

单文区文章阅读 [返回]
发信人: DarkTemplar (黑暗圣堂武士◎偶像Party军委主席), 信区: Security 标题: 无法双击打开除C盘外其他分区的解决办法发信站: 珞珈山水BBS站 (Mon Aug 21 14:07:10 2006), 站内目前流行的sxs.exe病毒，通过移动存储设备传播，类似rose病毒变种，虽然暂时不会导致系统崩溃，但是会盗取你的QQ信息，十分烦人。病毒表现是： 1、在 %windows% (即windows系统目录，一般默认是c:\windows)\system32下多出一个隐藏的svohost.exe文件，同时系统进程中也多出一个大写的SVOHOST进程。 2、除了系统盘之外的每个磁盘分区下，多出隐藏的autorun.ini和sxs.exe文件，使得除了系统盘之外的分区都无法直接双击打开。 3、修改注册表，使得无论如何都无法显示隐藏文件，从而达到隐藏自身的目的。 4、限制杀毒软件运行。 5、盗取QQ信息。手动解决办法： 1、在任务管理器中中止SVOHOST进程。 2、在命令行模式（“开始”－“运行”，输入cmd）下输入以下命令： del /F/A:s c:\windows\system32\svohost.exe del /F/A:s d:\AUTORUN.INF del /F/A:s d:\sxs.exe del /F/A:s e:\AUTORUN.INF del /F/A:s e:\sxs.exe del /F/A:s f:\AUTORUN.INF del /F/A:s f:\sxs.exe del /F/A:s g:\AUTORUN.INF del /F/A:s g:\sxs.exe ……（根据各人盘符多少而定）也可以把上述命令copy到记事本中，另存为.bat批处理文件，直接双击执行即可。以上两步清除病毒 3、在注册表编辑器中（“开始”－“运行”，输入regedit）把HKEY_LOCAL_MACHINE\S oftware\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHO WALL 下被篡改为REG_SZ类型的CheckedValue键删除，重新建立一个类型为REG_DWORD的键，名称为CheckedValue，数值为1。这样就可以显示所有文件了。 4、将可能被感染的移动设备接上，不要选择自动打开设备，用资源管理器的树状目录打开，然后在文件夹选项中选择显示所有文件和文件夹，去掉隐藏被保护的操作系统文件，看看是否存在隐藏的autorun.ini和sxs.exe，如有，删除之。今后使用移动设备时也应当先这样检查一下。 -- 伟大领袖毛主席教导我们说：帝国主义亡我之心不死一切反动派都是纸老虎！革命不是请客吃饭，不是做文章，不是绘画绣花，不能那样雅致，那样从容不迫，文质彬彬，那样温良恭俭让。革命是暴动，是一个阶级推翻另一个阶级的暴烈的行动。 ※ 来源:·珞珈山水BBS站 bbs.whu.edu.cn·[FROM: 202.127.158.*]
[返回单文区目录]

单文区文章阅读 [返回]

发信人: DarkTemplar (黑暗圣堂武士◎偶像Party军委主席), 信区: Security
标题: 无法双击打开除C盘外其他分区的解决办法
发信站: 珞珈山水BBS站 (Mon Aug 21 14:07:10 2006), 站内

目前流行的sxs.exe病毒，通过移动存储设备传播，类似rose病毒变种，虽然暂时不会导
致系统崩溃，但是会盗取你的QQ信息，十分烦人。

病毒表现是：

1、在 %windows% (即windows系统目录，一般默认是c:\windows)\system32下多出一个
隐藏的svohost.exe文件，同时系统进程中也多出一个大写的SVOHOST进程。

2、除了系统盘之外的每个磁盘分区下，多出隐藏的autorun.ini和sxs.exe文件，使得除
了系统盘之外的分区都无法直接双击打开。

3、修改注册表，使得无论如何都无法显示隐藏文件，从而达到隐藏自身的目的。

4、限制杀毒软件运行。

5、盗取QQ信息。

手动解决办法：

1、在任务管理器中中止SVOHOST进程。

2、在命令行模式（“开始”－“运行”，输入cmd）下输入以下命令：

del /F/A:s c:\windows\system32\svohost.exe
del /F/A:s d:\AUTORUN.INF
del /F/A:s d:\sxs.exe
del /F/A:s e:\AUTORUN.INF
del /F/A:s e:\sxs.exe
del /F/A:s f:\AUTORUN.INF
del /F/A:s f:\sxs.exe
del /F/A:s g:\AUTORUN.INF
del /F/A:s g:\sxs.exe
……（根据各人盘符多少而定）
也可以把上述命令copy到记事本中，另存为.bat批处理文件，直接双击执行即可。

以上两步清除病毒

3、在注册表编辑器中（“开始”－“运行”，输入regedit）把HKEY_LOCAL_MACHINE\S
oftware\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHO
WALL 下被篡改为REG_SZ类型的CheckedValue键删除，重新建立一个类型为REG_DWORD的
键，名称为CheckedValue，数值为1。这样就可以显示所有文件了。

4、将可能被感染的移动设备接上，不要选择自动打开设备，用资源管理器的树状目录打
开，然后在文件夹选项中选择显示所有文件和文件夹，去掉隐藏被保护的操作系统文件
，看看是否存在隐藏的autorun.ini和sxs.exe，如有，删除之。今后使用移动设备时也
应当先这样检查一下。

--
伟大领袖毛主席教导我们说：帝国主义亡我之心不死
一切反动派都是纸老虎！
革命不是请客吃饭，不是做文章，不是绘画绣花，不能那样雅致，那样从容不迫，
文质彬彬，那样温良恭俭让。
革命是暴动，是一个阶级推翻另一个阶级的暴烈的行动。

※ 来源:·珞珈山水BBS站 bbs.whu.edu.cn·[FROM: 202.127.158.*]

[返回单文区目录]