靈魂-放水

打開百度，搜索SVOHOST.EXE，才知道原來是武漢男生變種的木馬。。接著我想到了昨天下班的時候機子就有過CPU100%的情況，那時候也沒注意，以為是windows的小問題，重啟后就直接關機回家了。。?，F(xiàn)在想想，肯定是昨天在網(wǎng)上找資料的時候，那些網(wǎng)站的廣告隨便亂跳出來。。。。汗下。。。

由于平時不喜歡在機子上安裝殺毒軟件，所以決定手動kill了它。。

于是又在百度上尋覓查殺SVOHOST.EXE得方法，發(fā)現(xiàn)方法就是到安全模式下刪除C:\WINDOWS\system32\SVOHOST.EXE，然后把啟動項內的啟動項目也刪除即可

按照方法做了。?？墒前l(fā)現(xiàn)馬上又有了。。。然后打開regedit，搜索SVOHOST，把所有相關都刪除。。。結果還是無濟于事。。。開始佩服這個木馬的霸道和強大了。。。。

NND，不管三七二十一了，決定用Ghost恢復系統(tǒng)，反正之前做過備份，恢復起來很快的

系統(tǒng)恢復，ok，心情輕松了。。。

準備打開E盤，安裝以下備份后沒有安裝的軟件。。。打不開！發(fā)現(xiàn)D盤和F盤也打不開。。。小問題，重啟下，ok，進去了，然后完完整整的把恢復后的系統(tǒng)全部整理完畢后，打開任務管理器。。。我傻眼了。。。SVOHOST.EXE赫然在目。。。為什么？重裝系統(tǒng)也沒用？這個東西。。。
接著馬上想到了之前的D、E、F盤打不開的情況。。。。
看來是被加入了自動播放的autorun文件了

既然這樣，我再用ghost恢復一次C盤，好好看看怎樣才能把這個木馬給槍斃了。。。嘿嘿，你霸道，我也不弱。。

恢復系統(tǒng)后，不敢直接雙擊D、E、F盤打開了，用右擊，發(fā)現(xiàn)右擊菜單上多出了個Auto，是自動播放。。。不選擇，直接選擇打開，進入盤符后，設置顯示隱藏文件，發(fā)現(xiàn)沒有autorun.inf的文件?。〔豢赡艿?。。。然后再看看是不是沒設置好。。重新設置一次，還是沒有，再設置一次。。發(fā)現(xiàn)剛剛明明設置到顯示所有文件和文件夾的，竟然選項又變回不顯示隱藏的文件和文件夾。。?？磥磉B設置顯示隱藏也被這個木馬給屏蔽了。。。強的。。。

最后一個辦法，決定從command里試試看。。

運行cmd，進入F：盤，輸入dir和dir /a查看比較了下目錄下所有文件和文件夾（包括隱藏的），哈哈。。。終于被我看到了

在dir /a的命令后，隱藏的文件多出來了兩個。。sxs.exe和autorun.inf，看來這兩個就是罪魁禍首，既然如此，那么肯定可以在這里把這兩個文件給刪除的。。

在F:\>后輸入attrib -a -s -h -r sxs.exe命令執(zhí)行
再輸入attrib -a -s -h -r autorun.inf命令執(zhí)行，把這兩個文件的隱藏屬性給取消了
結束再輸入del sxs.exe和del autorun.inf把這兩個文件分別刪除

autorun.inf的另一種殺法:江民網(wǎng)站下個魔波專殺http://www.jiangmin.com/download/mocbotkiller.exe

*修改注冊表，使得能夠顯示所有隱藏文件
由于病毒釋放的文件都具備隱藏屬性，而且破壞了注冊表相關鍵值，使得即使設置了文件夾屬性也無法看到隱藏的病毒文件，兩種修改方法
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:0
找到分支，查看CheckedValue的類型是否為REG_DWORD，如果不是就刪掉CheckedValue，
然后單擊鼠標右鍵"新建"、"Dword值"，并命名為CheckedValue，設置數(shù)值數(shù)據(jù)為“1”
或者，在博客置頂日志里的反病毒常用工具里有顯示隱藏文件的下載，重新導入即可，那是我機器上導出來的

TNND

運行regedit，搜索sxs.exe，發(fā)現(xiàn)在下面三條注冊表信息下有sxs.exe的信息。。
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{e94c3814-d758-11da-8647-806d6172696f}
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{e94c3815-d758-11da-8647-806d6172696f}
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{e94c3816-d758-11da-8647-806d6172696f}
這三條分別我電腦上D、E、F盤的啟動的設置，里面有設置打開方式為sxs.exe的設置，打開他們的子目錄就可以發(fā)現(xiàn)了。。

把這三條記錄刪除后。。再打開三個盤。。HOHO~~終于完全恢復了。。。

說真的，之前也手動殺過不少病毒。。但是第一次碰到這么頑強的病毒。。也挺佩服病毒制作者的。。。這樣的病毒就算重裝了系統(tǒng)也是無濟于事的。。。哎

這里總結下查殺這個病毒的方法：
1.首先打開任務管理器，結束SVOHOST.EXE的進程
2.我的電腦，工具>>文件加選項>>查看>>把“隱藏受保護的操作系統(tǒng)文件（推薦）”之前的鉤鉤取掉
3.右擊C盤>>打開，然后到C:\WINDOWS\system32\下找到SVOHOST.EXE刪除掉。這里不能用搜索的，因為搜索不到的。。只能用自己的肉眼找。。汗記
4.開始>>運行msconfig>>啟動>>把SVOHOST.EXE的啟動項取消
5.開始>>運行cmd>>用dir /a的命令檢查所有盤符下有沒有sxs.exe和autorun.inf兩個文件，有的話，用上面我說的方法全部刪除
6.最后一步，開始>>運行regedit>>找到注冊表HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2