病毒防护之实战篇（三）

在网络进程化快速发展的今天，掌握一些实用的病毒防护知识，这些知识可能在我们遇到困难的时候，能够给予我们一些帮助。所以今天，我们要从实际出发，以实际的具体操作为主，谈一谈实际的病毒防护。

有的朋友可能遇到这种情况，就是在电脑开机以后，会无缘无故的弹出一个莫名其妙的对话框来。这种对话框不知从何而来，但每次开机都会出现。这就您的电脑可能中了木马病毒以后，出现的想象之一。该如何清除呢？虽然市场上的杀毒软件琳琅满目，但能真正起到清除最新木马的，杀毒软件却少之又少。所以要想能真正的清除木马，还是必须要了解一些木马的基本知识及木马的工作原理。木马的主要特征之一，就是隐藏。木马会不牺一切的隐藏自己，在任务栏中隐藏自己，这是最基本的只要把Form的Visible属性设为False、ShowInTaskBar设为False，程序运行时就不会出现在任务栏中了。在任务管理器中隐形：将程序设为“系统服务”可以很轻松地伪装自己。当然它也会悄无声息地启动，你当然不会指望用户每次启动后点击“木马”图标来运行服务端，，“木马”会在每次用户启动时自动装载服务端，Windows系统启动时自动加载应用程序的方法，“木马”都会用上，如：启动组、win.ini、system.ini、注册表等等都是“木马”藏身的好地方。下面具体谈谈“木马”是怎样自动加载的。

在win.ini文件中，在[WINDOWS]下面，“run=”和“load=”是可能加载“木马”程序的途径，必须仔细留心它们。一般情况下，它们的等号后面什么都没有，如果发现后面跟有路径与文件名不是你熟悉的启动文件，你的计算机就可能中上“木马”了。当然你也得看清楚，因为好多“木马”，如“AOLTrojan木马”，它把自身伪装成command.exe文件，如果不注意可能不会发现它不是真正的系统启动文件。在system.ini文件中，在[BOOT]下面有个“shell=文件名”。正确的文件名应该是“explorer.exe”，如果不是“explorer.exe”，而是“shell=explorer.exe程序名”，那么后面跟着的那个程序就是“木马”程序，就是说你已经中“木马”了。

在注册表中的情况最复杂，通过regedit命令打开注册表编辑器，在点击至：“HKEY－LOCAL－MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”目录下，查看键值中有没有自己不熟悉的自动启动文件，扩展名为EXE，这里切记：有的“木马”程序生成的文件很像系统自身文件，想通过伪装蒙混过关，如“AcidBatteryv1.0木马”，它将注册表“HKEY－LOCAL－MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”下的Explorer键值改为Explorer=“C:\WINDOWS\expiorer.exe”，“木马”程序与真正的Explorer之间只有“i”与“l”的差别。当然在注册表中还有很多地方都可以隐藏“木马”程序，如：“HKEY－CURRENT－USER\Software\Microsoft\Windows\CurrentVersion\Run”、“HKEY－USERS\＊＊＊＊\Software\Microsoft\Windows\CurrentVersion\Run”的目录下都有可能，最好的办法就是在“HKEY－LOCAL－MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下找到“木马”程序的文件名，再在整个注册表中搜索即可。

知道了“木马”的工作原理，查杀“木马”就变得很容易，如果发现有“木马”存在，最安全也是最有效的方法就是马上将计算机与网络断开，防止黑客通过网络对你进行攻击。然后编辑win.ini文件，将[WINDOWS]下面，“run=“木马”程序”或“load=“木马”程序”更改为“run=”和“load=”；编辑system.ini文件，将[BOOT]下面的“shell=‘木马’文件”，更改为：“shell=explorer.exe”；在注册表中，用regedit对注册表进行编辑，先在“HKEY－LOCAL－MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下找到“木马”程序的文件名，再在整个注册表中搜索并替换掉“木马”程序，有时候还需注意的是：有的“木马”程序并不是直接将“HKEY－LOCAL－MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下的“木马”键值删除就行了，因为有的“木马”如：BladeRunner“木马”，如果你删除它，“木马”会立即自动加上，你需要的是记下“木马”的名字与目录，然后退回到MS－DOS下，找到此“木马”文件并删除掉。重新启动计算机，然后再到注册表中将所有“木马”文件的键值删除。至此，我们就大功告成了

这是一个盗取QQ帐号密码的木马病毒，特点是可以通过可移动磁盘传播。该病毒的主要危害是盗取QQ帐户和密码；该病毒还会结束大量反病毒软件，降低系统的安全等级。

1，生成文件
%system%\SVOHOST.exe
%system%\winscok.dll

2，添加启动项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"SoundMam"?=?"%system%\SVOHOST.exe"

3，盗取方式
键盘记录，包括软件盘；将盗取的号码和密码通过邮件发送到指定邮箱。

4，传播方式
检测系统是否有可移动磁盘，是则拷贝病毒到可移动磁盘根目录。
sxs.exe
autorun.inf

5，autorun.inf添加下列内容，达到自运行的目的。
[AutoRun]
open=sxs.exe
shellexecute=sxs.exe

6，关闭窗口名为下列的应用程序
QQKav
雅虎助手
防火墙
网镖
杀毒
病毒
木马
恶意
QQAV
噬菌体

7，结束下列进程
sc.exe
net.exe
sc1.exe
net1.exe
PFW.exe
Kav.exe
KVOL.exe
KVFW.exe
TBMon.exe
kav32.exe
kvwsc.exe
CCAPP.exe
EGHOST.exe
KRegEx.exe
kavsvc.exe
VPTray.exe
RAVMON.exe
KavPFW.exe
SHSTAT.exe
RavTask.exe
TrojDie.kxp
Iparmor.exe
MAILMON.exe
MCAGENT.exe
KAVPLUS.exe
RavMonD.exe
Rtvscan.exe
Nvsvc32.exe
KVMonXP.exe
Kvsrvxp.exe
CCenter.exe
KpopMon.exe
RfwMain.exe
KWATCHUI.exe
MCVSESCN.exe
MSKAGENT.exe
kvolself.exe
KVCenter.kxp
kavstart.exe
RAVTIMER.exe
RRfwMain.exe
FireTray.exe
UpdaterUI.exe
KVSrvXp_1.exe
RavService.exe

8，删启动项
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
RavTask
KvMonXP
YLive.exe
yassistse
KAVPersonal50
NTdhcp
WinHoxt

查杀方法：

首先，要显示隐藏文件

在这个：HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\

Advanced\Folder\Hidden\SHOWALL，将CheckedValue键值修改为1

还是没有用，隐藏文件还是没有显示，仔细观察发现病毒它有更狠的招数：它在修改注册表达到隐藏文件目的之后，为了稳妥起见，把本来有效的DWORD值?CheckedValue删除掉，新建了一个无效的字符串值CheckedValue，并且把键值改为0（如图）！这样你以为把0改为1就会万事大吉，可是故障依旧如此！也就难怪出现以上的现象了。

正确的方法是：先检查CheckedValue的类型是否为REG_DWORD，如果不是则删掉“李鬼”CheckedValue（例如在本“案例”中，应该把类型为REG_SZ的CheckedValue删除）。然后单击右键“新建”--〉“Dword值”，并命名为CheckedValue，然后修改它的键值为1，这样就可以选择“显示所有隐藏文件”。

经过刚才一番操作，我的电脑里的隐藏文件可以看到了，假如上述方法无效，那么可能是?HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced?\Folder\Hidden的数据丢失或损坏，遇到这种情况，请在Windows?XP安装光盘中找到Hidden.reg，双击它，然后单击“确定”按钮，将该完整的注册表数据添加到当前系统的注册表中即可。（备注：可是我手头上的?XP安装光盘找来找去都没有这个东西，假如你不幸遇到这种情况，可以尝试使用这种方法：找一部没有问题的电脑，把

HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced?\Folder\Hidden这个分支导出（假如命名为1.reg）；然后备份有问题的电脑的该注册表分支；最后把1.reg导入看能否解决问题。我没试过所以不知道会不会出现什么意外，祝各位好运！假如某人能够在XP安装光盘里找到这个东西，请把文件里面的内容复制到评论里面，并且注明该XP安装光盘有没有打过SP1或者是SP2，谢谢！）

我看到在我的D：E：F：这些盘中（除了c盘）都出现了autorun.inf和sxs.exe两个文件，删除又再生.而且U盘插进去也出现这两个文件。此时杀毒软件一直是无法启动，我把金山的换成江民的，还是没用，看来是病毒限制了杀毒软件的运行，所以首先要把病毒的自动运行关掉，我也找了网上的资料，不过我试了，没有用，找不到rous.exe,我提供给你们，自己去试一下看看！

你这是修改过的ROSE病毒

可以结束SXS的进程删除，记住，用鼠标右键进入硬盘

同时按下Ctrl+Shift+Esc三个键?打开windows任务管理器

选择里面的“进程”标签

在“映像名称”下查找“sxs.exe”?但击它?再选择“结束进程”

一定要结束所有的“sxs.exe”进程

打开我的电脑?单击?工具菜单下的“文件夹选项”

单击“查看”标签?把“高级设置”中的

“隐藏受保护的操作系统文件（推荐）”前面的勾取消

并选择下面的“显示所有文件和文件夹”选项

单击“确定”

用鼠标右键点C盘（不能双击！）?选择?“打开”

删除C盘下的?“autorun.inf”文件?和“sxs.exe”文件

用鼠标右键点D盘?选择?“打开”

删除D盘下的?“autorun.inf”文件?和“sxs.exe”文件（另外有个文件也是，是个.exe?同样删了它）

……

以此类推?删除所有盘上的?AUTORUN.INF文件?和“rose.exe”文件

单击开始?选择“运行”?输入?"regedit"(没有引号)?，回车

依次展开注册表编辑器左边的?我的电脑>HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Run

删除Run项中的?ROSE?（c:\windows\system32\SXS.exe)这个项目

关闭注册表编辑器

然后重新启动计算机

删除硬盘上是ROSE：

按下shift键不放?插入U盘?直到电脑提示“新硬件可以使用”

打开我的电脑

这时在U盘的图标上点鼠标右键?选择“打开”?（不要点自动播放或者是双击！）

删除?SXS.exe和autorun.inf文件?病毒就没有了

上面我说了这个方法对我没有用！sxs.exe没有专杀,现在只能通过注册表杀毒

打开注册表“regedit”,找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

有些网友说删除Run项中的?ROSE?（c:\windows\system32\SXS.exe)这个项目

我找了一下没找到这个Run项目，但是我看了一下在Run里面有两个"SoundMam"，而且后面给的数值不一样，一个给的是“C:\\WINDOWS?\\system32\\SVOHOST.exe”另一个是“SOUNDMAN.EXE”我想大家也发现了，肯定有问题，我看了一下，只有后面一个是正确的，前一个是豪杰超级解霸的“自动播放伺服器”的程序，看来病毒是加到这个里面了，借助自动播放到处传播！（这是我认为的，不知道对不对）于是就删除了这个项，退出注册表，打开杀毒软件，可以使用了，只是在一般杀毒时，还是找不到sxs.exe的，我用的是江民的，他有未知病毒扫描，在那里里面可以发现的，他是一种“硬盘蠕虫病毒”，删掉就行了，本来我是想截屏给大家看看的，可惜我重启了，没复制下来，哪位朋友补充一下在下面！感谢！

那还剩下autorun.inf，直接到各个硬盘删就可以了，再清空回收站就可以了，其他的都正常了，可能还有些网友系统可能出现些问题，如豪杰超级解霸的“自动播放伺服器”不能使用了，我的建议是：不要用了，就是他坏的事！要是你非要用就重新装吧！最后重新启动，可以了！