svohost.exe是Trojan-Proxy.Win32.Agent.if木马相关程序,建议立即删除。
病毒运行后会将自身复制到系统目录下,文件名为“SVOHOST.exe”和“hsoft.exe”。同时在注册表中添加Run/SoundMam信息,实现开机自动运行或打开文本文件时自动运行。该病毒会自动向QQ好友发送内容为“让我成功申请x位QQ号和Q币动画,朋友推荐我的,你看看http: //www.***iex.com/abc.exe”等的消息,用户点击消息中的网址就有可能被病毒感染。
同时还有以下症状:
1、卡巴司机无法启动(后来知道是系统服务被禁用了)。
2、无法察看隐藏文件(修改注册表)
3、病毒文件在system32文件夹找不到。。
4、在启动项里面有个svohost.exe,改启动项之后发现还是会被自动添加。。。。
病毒的删除
方法一
1.打开CMD.输入命令tasklist回车查看一下..果然发现了这个进程:svohost.exe(虽然他禁用了任务管理器,但在CMD下用tasklist命令还是可以查看到进程信息的)
2.关了他.输入命令taskkill /f /im svohost.exe
提示成功.
3.搜索svohost.exe这个文件(把搜索隐藏文件也勾上)搜索到后删除!似乎有两个.一个是完全大写的.一个是完全小写的.事实上还有一个程序叫lsasa.exe的也得删除.他模仿的是WINDOWS的正常进程lsass.exe.操作到这里大家应该可以打开注册表 任务管理器了但是得恢复TXT文件关联和恢复EXE文件关联
备注 部分会员出现结束进程后病毒 暂时失效 但是重起后死灰复燃 请注意在造作成功后 马上利用自己的杀毒工具 或者 QQ专杀进行杀毒 因为这个时候病毒的壳被去掉了 我们可以抓住这个时机做下杀毒
4.本以为没问题了.后来还发现一个问题.他还修改了注册表的一处,使文件夹选项中对隐藏文件的设置始终为"不显示隐藏文件",这么做的主要目的在于让你在WINDOWS环境下找不到被设定隐藏属性的病毒源文件.但这里还有几种手段可以找到他.
1.用WINDOWS的搜索.只要在高级选项里把"搜索隐藏的文件和文件夹"勾上就可以找到了.
2.在命令提示符里用dir /a命令也可以查看到.麻烦一点罢了.由于WINDOWS和SYSTEM32目录下文件太多.用dir命令的时候.最好再加一个参数.dir /a /p这样会更好.
我们到注册表里去把他改回正常状态.
打开注册表.找到HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL这个键.看右边.找到一个CheckedValue的值.我注意到这个该死的病毒居然把他改成了字符串值.如果你不小心的话.也许会认为改了也没用.把这个值删除.重建一个DWORD的值为CheckedValue.把他的值设为1.
方法二
1、首先打开任务管理器,结束SVOHOST.EXE的进程。
2、我的电脑,工具>>文件加选项>>查看>>把“隐藏受保护的操作系统文件(推荐)”之前的钩钩取掉。
3、右击C盘(假设windows系统安装在C盘)>>打开,然后到C:/WINDOWS/system32/下找到SVOHOST.EXE删除掉。这里不能用搜索的,因为搜索不到的。
4、开始>>运行msconfig>>启动>>把SVOHOST.EXE的启动项取消
5、开始>>运行cmd>>用dir /a的命令检查所有盘符下有没有sxs.exe和autorun.inf两个文件,有的话,用下面的方法全部删除:
取消这两个文件的隐藏属性
输入attrib -a -s -h -r sxs.exe命令执行
再输入attrib -a -s -h -r autorun.inf命令执行
把这两个文件分别删除
输入del sxs.exe和del autorun.inf
6、最后一步,开始>>运行regedit>>找到注册表HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Explorer/MountPoints2目录下的{e94c3812-d758-11da-8647-806d6172696f}、{e94c3813-d758-11da-8647-806d6172696f}等的表信息,删除即可
扫一扫
1385
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
