Ⅰ 急啊!怎麼清除內存里的Trojan.PSW.QQPass.pxx病毒啊!
Trojan.PSW.QQPass.pxx??????
又有個名字叫sxs.exe
網上有詳細的刪除方法
這是我昨天幫朋友找時找到的,哪裡的忘記了~~~~~~
大家小心最新的病毒sxs.exe!!!
我剛才中了還不知道,因為NOD 32沒有反應!!!
只是因為我剛才想查看一下某個隱藏文件夾,發現在文件夾選項裡面點了「顯稿讓滑示所有文件和文件夾」居然沒有任何效果,又回到了「不要顯示隱藏文件和文件夾」上面。我很納悶,就進入注冊表查看,居然發現關於這個選項的注冊表鍵值有一項「checkedvalue」居然變成了字元串值。我是個很敏感的人,意識到可能中了毒。這才發現QQ也自動關閉了!!!經過上網查資料,找到了手動查殺該病毒的方法,現在給大家看看。
這是一個盜取QQ帳號密碼的木馬病毒,特點是可以通過可移動磁碟傳播。該病毒的主要危害是盜取QQ帳戶和密碼;該病毒還會結束大量反病毒軟體,降低系統的安全等級。
1,生成文件
%system%\SVOHOST.exe
%system%\winscok.dll
2,添加啟動項
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"SoundMam" = "%system%\SVOHOST.exe"
3,盜取方式
鍵盤記錄,包括軟體盤;將盜取的號碼和密碼通過郵件發送到指定郵箱。
4,傳播方式
檢測系統是否有可移動磁碟,是則拷貝病毒到可移動磁碟根目錄。
sxs.exe
autorun.inf
5,autorun.inf添加下列內容,達到自運行的目的。鍵臘
[AutoRun]
open=sxs.exe
shellexecute=sxs.exe
6,關閉窗口名為下列的應用程序
QQKav
雅虎助手
防火牆
網鏢
殺毒
病毒
木馬
惡意
QQAV
噬菌體
7,結束下列進程
sc.exe
net.exe
sc1.exe
net1.exe
PFW.exe
Kav.exe
KVOL.exe
KVFW.exe
TBMon.exe
kav32.exe
kvwsc.exe
CCAPP.exe
EGHOST.exe
KRegEx.exe
kavsvc.exe
VPTray.exe
RAVMON.exe
KavPFW.exe
SHSTAT.exe
RavTask.exe
TrojDie.kxp
Iparmor.exe
MAILMON.exe
MCAGENT.exe
KAVPLUS.exe
RavMonD.exe
Rtvscan.exe
Nvsvc32.exe
KVMonXP.exe
Kvsrvxp.exe
CCenter.exe
KpopMon.exe
RfwMain.exe
KWATCHUI.exe
MCVSESCN.exe
MSKAGENT.exe
kvolself.exe
KVCenter.kxp
kavstart.exe
RAVTIMER.exe
RRfwMain.exe
FireTray.exe
UpdaterUI.exe
KVSrvXp_1.exe
RavService.exe
8,刪啟動項
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
RavTask
KvMonXP
YLive.exe
yassistse
KAVPersonal50
NTdhcp
WinHoxt
查殺方法:
首先,要顯示隱藏文件
在這個:HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\
Advanced\Folder\Hidden\SHOWALL,將CheckedValue鍵值修改為1
還是沒有用,隱藏文件還是沒有顯示,仔細觀察發現病毒它有更狠的招數:它在修改注冊表達到隱藏文件目的之後,為了穩妥起見,把本來有效的DWORD值CheckedValue刪除掉,新建了一個無效的字元串值CheckedValue,並且把鍵值改為0(如圖)!滑笑這樣你以為把0改為1就會萬事大吉,可是故障依舊如此!也就難怪出現以上的現象了。
正確的方法是:先檢查CheckedValue的類型是否為REG_DWORD,如果不是則刪掉「李鬼」CheckedValue(例如在本「案例」中,應該把類型為REG_SZ的CheckedValue刪除)。然後單擊右鍵「新建」--〉「Dword值」,並命名為CheckedValue,然後修改它的鍵值為1,這樣就可以選擇「顯示所有隱藏文件」。
經過剛才一番操作,我的電腦里的隱藏文件可以看到了,假如上述方法無效,那麼可能是 HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden的數據丟失或損壞,遇到這種情況,請在Windows XP安裝光碟中找到Hidden.reg,雙擊它,然後單擊「確定」按鈕,將該完整的注冊表數據添加到當前系統的注冊表中即可。(備註:可是我手頭上的XP安裝光碟找來找去都沒有這個東西,假如你不幸遇到這種情況,可以嘗試使用這種方法:找一部沒有問題的電腦,把
HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden這個分支導出(假如命名為1.reg);然後備份有問題的電腦的該注冊表分支;最後把1.reg導入看能否解決問題。我沒試過所以不知道會不會出現什麼意外,祝各位好運!假如某人能夠在XP安裝光碟里找到這個東西,請把文件裡面的內容復制到評論裡面,並且註明該XP安裝光碟有沒有打過SP1或者是SP2,謝謝!)
我看到在我的D:E:F:這些盤中(除了c盤)都出現了autorun.inf和sxs.exe兩個文件,刪除又再生.而且U盤插進去也出現這兩個文件。此時殺毒軟體一直是無法啟動,我把金山的換成江民的,還是沒用,看來是病毒限制了殺毒軟體的運行,所以首先要把病毒的自動運行關掉,我也找了網上的資料,不過我試了,沒有用,找不到rous.exe,我提供給你們,自己去試一下看看!
你這是修改過的ROSE病毒
可以結束SXS的進程刪除,記住,用滑鼠右鍵進入硬碟
同時按下Ctrl+Shift+Esc三個鍵 打開windows任務管理器
選擇裡面的「進程」標簽
在「映像名稱」下查找「sxs.exe」 但擊它 再選擇「結束進程」
一定要結束所有的「sxs.exe」進程
打開我的電腦 單擊 工具菜單下的「文件夾選項」
單擊「查看」標簽 把「高級設置」中的
「隱藏受保護的操作系統文件(推薦)」前面的勾取消
並選擇下面的「顯示所有文件和文件夾」選項
單擊「確定」
用滑鼠右鍵點C盤(不能雙擊!) 選擇 「打開」
刪除C盤下的 「autorun.inf」文件 和「sxs.exe」文件
用滑鼠右鍵點D盤 選擇 「打開」
刪除D盤下的 「autorun.inf」文件 和「sxs.exe」文件(另外有個文件也是,是個.exe 同樣刪了它)
……
以此類推 刪除所有盤上的 AUTORUN.INF文件 和「rose.exe」文件
單擊開始 選擇「運行」 輸入 "regedit"(沒有引號) ,回車
依次展開注冊表編輯器左邊的 我的電腦>HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Run
刪除Run項中的 ROSE (c:\windows\system32\SXS.exe)這個項目
關閉注冊表編輯器
然後重新啟動計算機
刪除硬碟上是ROSE:
按下shift鍵不放 插入U盤 直到電腦提示「新硬體可以使用」
打開我的電腦
這時在U盤的圖標上點滑鼠右鍵 選擇「打開」 (不要點自動播放或者是雙擊!)
刪除 SXS.exe和autorun.inf文件 病毒就沒有了
上面我說了這個方法對我沒有用!sxs.exe沒有專殺,現在只能通過注冊表殺毒
打開注冊表「regedit」,找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
有些網友說刪除Run項中的 ROSE (c:\windows\system32\SXS.exe)這個項目
我找了一下沒找到這個Run項目,但是我看了一下在Run裡面有兩個"SoundMam",而且後面給的數值不一樣,一個給的是「C:\\WINDOWS\\system32\\SVOHOST.exe」另一個是「SOUNDMAN.EXE」我想大家也發現了,肯定有問題,我看了一下,只有後面一個是正確的,前一個是豪傑超級解霸的「自動播放伺服器」的程序,看來病毒是加到這個裡面了,藉助自動播放到處傳播!(這是我認為的,不知道對不對)於是就刪除了這個項,退出注冊表,打開殺毒軟體,可以使用了,只是在一般殺毒時,還是找不到sxs.exe的,我用的是江民的,他有未知病毒掃描,在那裡裡面可以發現的,他是一種「硬碟蠕蟲病毒」,刪掉就行了,本來我是想截屏給大家看看的,可惜我重啟了,沒復制下來,哪位朋友補充一下在下面!感謝!
那還剩下autorun.inf,直接到各個硬碟刪就可以了,再清空回收站就可以了,其他的都正常了,可能還有些網友系統可能出現些問題,如豪傑超級解霸的「自動播放伺服器」不能使用了,我的建議是:不要用了,就是他壞的事!要是你非要用就重新裝吧!最後重新啟動,可以了!
現在我搞定了,突然想到了病毒沒有清除完畢之前還登錄過QQ,幸虧我是記住密碼,沒有輸入的,不然後果不堪設想!!!
Ⅱ Trojan.PSW.QQPass.pxx是什麼病毒,回答得具體點,謝謝~~~
屬於橙色八月病毒
這些病毒包括「傳奇終結者(Trojan.PSW.LMir)」、「QQ通行證(Trojan.PSW.QQPass)」以及「密西木馬(Trojan.PSW.Misc)」等病毒的最新變種。瑞星已發布今年首次橙色(二級)安全警報,提醒廣大用中緩敏戶警惕此類病毒。
針對此類病毒,可用簡單的三個方法對它們進行識別:
第一招
打賣枝開「我的電腦」,哪伍選擇菜單「工具」-》「文件夾選項」,點擊「查看」,取消「隱藏受保護的操作系統文件」前的對勾,並在「隱藏文件和文件夾」項中選擇「顯示所有文件和文件夾」,同時取消掉「隱藏已知文件類型的擴展名」前的對勾,然後點擊「確定」。
進入C:\windows\system32目錄下(Windows2000系統為C:\WINNT目錄),若發現有名為「command」、「dxdiaq.com」、「finder.com」、「MSCONFIG.COM」、「regedit.com」以及「rundll32.com」等文件生成,則說明是中了「密西木馬(Trojan.PSW.Misc)」或其變種病毒。
第二招
點擊「開始」按鈕,選擇「運行」,輸入「regedit」並確定,啟動注冊表編輯器。打開「HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows」項,在右邊的窗口中查找AppInit_DLLs。若其值為「KB(中間六位數字)M.LOG」,如「KB896588M.LOG」、「KB235780M.LOG」、「KB75976M.LOG」等,則說明是中了新的「傳奇終結者(Trojan.PSW.LMir)」及其變種病毒。
第三招
同時按下鍵盤CTRL+ALT+DEL鍵,或右鍵點擊任務欄,選擇「任務管理器」。單擊「進程」標簽。如果找到名為「SVOHOST.EXE」的進程,則說明已感染了「QQ通行證(Trojan.PSW.QQPass)」病毒或其變種。
具體的也可以參考這個:http://it.rising.com.cn/Channels/Info/Virus/2006-08-07/1154935343d36920.shtml
Ⅲ Trojan.PSW.QQPass.pxx 我的電腦怎麼殺不殺不掉病毒啊
1.用中文版ewido,自動免費升級.
最新的木馬查緩高殺軟體ewido-setup_4.0.0.172c中文!自動更新!
http://post..com/f?kz=117949629
http://post..com/f?kz=116662903
2.手動查殺當前QQ流行病毒
聊天工具QQ用戶甚多,各種病毒木馬以及流氓軟體也利用它大肆傳播,一旦染上就難以清除,還常常危及他人。近期,QQ病毒又有了抬頭之勢,不僅危害更大,其花樣也是推陳出新,讓人放不勝防。下面就為大家介紹幾改顫個與QQ相關的病毒木馬以及流氓軟體的應對辦法,中招的朋友可以對症下葯,沒中招的朋友也可引以為戒。
QQ彈出式廣告木馬
該木馬會偽裝成QQ式的彈出廣告,隨時在屏幕右下角彈出廣告窗口。將滑鼠放到該窗口中,滑鼠會變成手狀,點擊窗口任意處即可打開瀏覽器鏈接到廣告網頁,而正規的QQ彈出廣告窗口中大多為文字或圖片說明,只有點擊說明中的鏈接才能打開網頁擾殲尺。所以該彈出廣告窗口實為一個網頁鏈接木馬,大家要認真區分。
解決辦法:該木馬會在C:\Windows目錄中建立了一個「Backup」文件夾,並且採用自動載入和監視備份文件功能,使你在安全模式下也無法手動清除該木馬。解決辦法是使用批處理功能,在木馬程序重建備份之前搶先刪除它。
重新啟動機器,按F8鍵選擇安全模式進入系統。新建文本文檔,輸入:
「Move c:\windows\backup c:\windows\bak(將Backup目錄重命名為Bak)
Md c:\windows\backup(在C:\windows下建立Backup目錄)」,
接著點擊「文件/另存為」選項,將文件名更改為「QQ廣告.bat」進行保存。
提示:括弧內的說明不用輸入,下同。
運行該批處理文件後,立即將「C:\windows」文件夾中的「Bak」文件夾刪除,完成了木馬備份文件的刪除。接著再新建一個文本文檔,輸入:
「cd c:\(將當前路徑改為C:盤的根目錄)
cd C:\windows\Downloaded Program Files(更改當前路徑)
C:\windowsDownloaded Program Files move _IS_0518 c:\bak(移動相關文件夾)」
然後點擊「文件/另存為」選項,保存為「QQ廣告2.bat」文件。雙擊運行後,將C盤的「Bak」文件夾刪除,再進入「C:\windows」目錄,刪除Backup文件夾,即完成了木馬文件的清除。
最後在「運行」對話框中輸入「Regedit」,打開「注冊表編輯器」窗口,分別將「HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Advapi32」和「HKEY_CURRENT_USER/Software/advapi32」兩個鍵值刪除即可。
多多QQ表情
「多多QQ表情」是一個流氓軟體,大多與其它軟體進行捆綁安裝。一旦安裝上「多多QQ表情」後,其包含的「Update」文件會創建「Updata.exe」進程,並對系統作一系列改動,生成大量惡意文件。IE瀏覽器主頁會被篡改,使用自帶的卸載程序無法將它卸載干凈。
解決辦法:要想手動將「多多QQ表情」清除干凈,先打開「運行」對話框,輸入「%ProgramFiles%\qqhelper\uninstall.exe」,點擊「確定」按鈕卸載「多多QQ表情」程序。 接著打開「任務管理器/進程」窗口,結束「diskman.exe」進程。然後再打開「運行」對話框,輸入「services.msc」,點擊「確定」按鈕後打開「服務」窗口,找到「Universal Disk Manager」服務,將其設置為禁止。再將「C:\Program Files\Common Files\SAN」文件夾和「C:\Program Files\Common Files\Upd」文件夾刪除。
接著打開「注冊表編輯器」窗口,在左側窗格依次點擊「HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run」項,在右側找到「Update"="%ProgramFiles%\Common Files\Upd\update.exe」鍵值,將其刪除。
然後在桌面用右鍵單擊「我的電腦/屬性/硬體/設備管理器/查看/選中「顯示隱藏的設備」選項,接著在設備列表中展開「非即插即用驅動程序」選項,找到「Universal Disk Manager」,右鍵選擇「卸載」。
最後再打開「注冊表編輯器」窗口,在左側窗格中依次點擊「HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services」項,找到「Universal Disk Manager」鍵值,將其刪除,並點擊「HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root」項,刪除 「LEGACY_Universal Disk Manager」即可。
殺滅QQ樂病毒
「QQ樂」病毒(Worm/QQMsg.Lee)會自動搜索QQ用戶中的好友,不斷向他們發送包含一串網址的消息。好友在點擊網址鏈接登陸網站後,就有可能會感染該病毒。
解決辦法:「QQ樂」病毒會創建「System32.exe」進程和一個名為「Lee」的管理員帳戶。會在每個分區根目錄下創建「Autorun.inf」文件和「System32.exe」、「System32dll.dll」文件。由於「Autorun.inf」是自運行文件(常用於自啟動光碟),這樣在雙擊任意分區盤符時就會使系統自動執行該「Autorun.inf」文件的命令,以達到運行「System32.exe」「System32dll.dll」病毒文件的目的。接著用搜索查找「Lee」關鍵字,會找到一個創建管理員賬戶的批處理文件「Admin.bat」。最後將每個分區根目錄下的「Autorun.inf」、「System32.exe」和「System32dll.dll」文件刪除,再將搜索到的「Admin.bat」文件刪除即可。
QQ龜病毒的查殺
一旦感染了「QQ龜病毒」(Trojan/QQMsg,Zigui.b),你的電腦便會出現這樣的症狀:自動給QQ好友發送文件,而且文件名為「……白骨精……」、「一個對你工作有益的東西」等等。該病毒被金山毒霸網站上排列在2005年十大病毒之第四位。
解決辦法:打開任務管理器,結束掉RUNDLL32.EXE和TIMP1atform.exe(注意P後面是數字1)進程。
設置讓Windows顯示隱藏文件,找到以下文件並且將其刪除:%System%\�.exe
%System%\notepad�.exe和%Windir%\System\RUNDLL32.EXE;還要刪除QQ目錄中的TIMP1atform.exe(P後面是數字1,別刪錯了)。
打開注冊表編輯器。刪除「HKEY_LOCAL_MACHINE\Software\Classes\Msipv」和「HKEY_CURRENT_USER\Software\Classes\Msipv」下的「MainSetup」、「MainUp」、「MainVer」三個DWORD鍵值。
最後通過修復EXE和TXT文件關聯,重新啟動即可。
以上談到的解決方法都是以手工清除為主,其實目前很多殺毒軟體就可以自動識別很多QQ病毒,建議在QQ出現問題時,先升級殺毒軟體進行查殺,看問題是否解決,再用手工清除的辦法,避免由於手工操作不當帶來的問題。
參考資料:http://www.luckfish.net.cn/study/20060914.htm