sxs2.exe病毒把系统时间改为1980年4月 2007-6-28 16:29:21
修改系统时间病毒把系统时间改为1980年4月1日
================================
sxs2.exe病毒把系统时间改为1980年4月1日,autorun连接sxs2.exe程序,电脑就种上了. 卡巴斯基无法启用!
把以下文字复制进文本文档,另存为"清理sxs2.bat"双击运行.
@echo off
color 1a
echo .
echo 欢迎使用
echo 本程序主要应对sxs2.exe病毒,症状主要表现为“时间被改成1980.4.1,开机提示时间错误
echo 无法查看隐藏文件,卡巴斯基提示激活错误,磁盘需要右键打开”等
echo 时间错误请在本程序运行结束后手动进行修改,本程序不负责此事
echo ----------------------------by -----------------
echo 同时按 Ctrl C 组合键可退出本程序
pause
echo -------------------------------现在开始 ------------------
echo 准备终止 sxs2.exe 进程
echo 如本程序出现提示“错误: 没有找到进程 "sxs2.exe"”则表示此病毒已停止运行
taskkill /f /im sxs2.exe
echo 开始删除 C 到 K 盘根目录下的sxs2.exe组件
echo 中间可能会出现桌面消失、打开的文件夹被关闭情况,不必太担心
md c:\hold
copy %SYSTEMROOT%\system32\autorun.exe c:\hold
taskkill /f /im EXPLORER.EXE
del /f /a %SYSTEMROOT%\system32\autorun.*
del /f /a c:\autorun.*
del /f /a c:\desktop.ini
del /f /a c:\folder.htt
del /f /a c:\sxs2.exe
copy c:\hold\autorun.exe %SYSTEMROOT%\system32\autorun.exe
rd /s /q c:\hold
del /f /a D:\autorun.*
del /f /a D:\desktop.ini
del /f /a D:\folder.htt
del /f /a D:\sxs2.exe
del /f /a E:\autorun.*
del /f /a E:\desktop.ini
del /f /a E:\folder.htt
del /f /a E:\sxs2.exe
del /f /a F:\autorun.*
del /f /a F:\desktop.ini
del /f /a F:\folder.htt
del /f /a F:\sxs2.exe
del /f /a G:\autorun.*
del /f /a G:\desktop.ini
del /f /a G:\folder.htt
del /f /a G:\sxs2.exe
del /f /a H:\autorun.*
del /f /a H:\desktop.ini
del /f /a H:\folder.htt
del /f /a H:\sxs2.exe
del /f /a I:\autorun.*
del /f /a I:\desktop.ini
del /f /a I:\folder.htt
del /f /a I:\sxs2.exe
del /f /a J:\autorun.*
del /f /a J:\desktop.ini
del /f /a J:\folder.htt
del /f /a J:\sxs2.exe
del /f /a K:\autorun.*
del /f /a K:\desktop.ini
del /f /a K:\folder.htt
del /f /a K:\sxs2.exe
start C:\WINDOWS\EXPLORER.EXE
echo C 到 K 盘根目录下的组件删除完毕
echo 现在准备解决无法打开“显示所有文件和文件夹”选项和双击盘符在新窗口打开等的问题
reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL /v checkedValue /f
reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL /v checkedValue /t REG_DWORD /d 00000001
reg delete HKCR\Drive\shell /ve /f
reg add HKCR\Drive\shell /ve /t REG_SZ /d none
echo 开始删除注册表中的启动项
echo 如果本程序出现“错误: 系统找不到指定的注册表项或值”表示此病毒开机启动项已删除
echo 或是出现了新变种,请在“系统配置实用程序”自行去除
reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v sxs2 /f
reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v sxs2.exe /f
echo 现在打开"系统配置实用程序",请自己再检查一下是否还有它的启动项,如有请自行去掉
start msconfig
echo 清理结束,为保证杀除成功,请注销一下机器
=================================================================================
修改系统时间使反病毒软件失效的病毒猖狂,分享修改系统时间病毒专杀工具两款:360卫士系统时间专杀;系统时间专杀工具。
点击这里下载360卫士系统时间专杀工具1
点击这里下:载系统时间专杀工具2
手工清理方法,杀毒过程。
这病毒在系统启动加载项里面自动一开机加载MPG4C32 文件,在任务管理器里肯定有“msgox”进程,发作后会自动后台用IE连接上百个病毒网站,自动下载病毒,导致你的机子反复中其他病毒,你越久不杀除,你的机就越多病毒,病向浅中医阿,中毒期间不要再上网了。
打开“隐藏的系统文件”......等等那些,打开windows文件夹,最先看到的:begin.bat…………,打开文件,当然是编辑,不能双击啊。
从中看到了几个病毒建立的文件:
system32下: sft.exe,ftp.exe(这个干扰很大,我看了都有点傻眼),ftp.dat
win下: ftp.exe ,1.exe, mosge.exe
system32\dllcache下:sft.exe,ftp.dat
包括上面那个mpg4c32.exe就这几个了。老规矩,照着清理了,首先进入安全模式。。。。。。。郁闷,都删除不了,无语了。用unlocker看过了这下文件,都没有“被任何文件锁定”,无奈了,DOS~~~
一个一个来了。。。。因为大部分都是隐藏+系统+只读,所以, 我都是先attrib 文件名,然后去掉属性,最后再del
删了上面这些,觉得差不多了,重启电脑了。结果,重启后时间还是不对,开机还是出现“Iexplorer.exe",不用想的,这些只是病毒文件的”附属“,真正的还在。继续努力了。
还是得在windows,system32, dllcache,temp,这4个文件夹里面看了。。。。果真,刚才第一次看的时候,我忽略了一个”系统文件“…………Winlogon.exe。。。。。。。。系统+隐藏???不用想了,就是你了!因为它和系统真正的那个文件名相同,所以,即便在安全模式下面,也不能删除,唉,DOS………………………………
再次进入dos,去掉该文件的系统+隐藏属性,删除后,觉得差不多了。再重启一次试试吧。。。嘿嘿~看到胜利的曙光拉,系统时间正常拉,开机诺顿不报错了,进程也正常了。(在杀毒过程中,每次重启,都直接第一时间打开任务管理器,来看着进程),应该是没事了。。。。。。。。保险起见,再看看那4个文件夹吧。。。多花了点时间,逐个查看里面的exe文件,发现彻底没事了。再次重启,系统时间不变了,其他也都正常了。到此为止,清理完毕~
杀毒过程就是这样了,也许在高手眼里,没什么技术含量,清理方法,其实还是和普通木马一样的。相比其他病毒,这个病毒的关键在于,因为修改了系统时间,导致类似SRE的许多辅助软件,杀毒软件都过期。所以看似很难解决,其实,”冒着中毒“修改正常一次,只需要一次就行!再有,这次杀毒的难点,还是在于”查找病毒(主,附属)文件。因为涉及太多,没有点电脑基础,还真不能及时,正确的判断出来。建议大家,如果你没有十足的把握,还是先备份出电脑里面的数据,以防删错真系统文件,导致彻底瘫痪。
这个病毒并不可怕,它没有多么高深的“新技术”,依旧还是走的“老一套”,大家应该把它看作普通的木马病毒对待。只要认真找出病毒相关文件,就能搞定了。
桂ICP备05014668号
