今天早上上来准备继续帮客户做实现网页table导出到excel的功能的
结果开启jsp的tomcat服务器,发现出错,服务器启动失败,我以为是tomcat出了问题,然后又启动同样是jsp的另一个服务器resin,发现找不到8080端口。。。。
问题至此严重了。。。两个服务器都不能启动,那肯定不是服务器问题,而是电脑的问题了,紧接着就发现CPU占用率100%居高不下
查找可疑进程,发现一名为SVOHOST.EXE的进程,显然是想伪装为SVCHOST的坏家伙。。
打开百度,搜索SVOHOST.EXE,才知道原来是武汉男生变种的木马。。接着我想到了昨天下班的时候机子就有过CPU100%的情况,那时候也没注意,以为是windows的小问题,重启后就直接关机回家了。。。现在想想,肯定是昨天在网上找资料的时候,那些网站的广告随便乱跳出来。。。。汗下。。。
由于平时不喜欢在机子上安装杀毒软件,所以决定手动kill了它。。
于是又在百度上寻觅查杀SVOHOST.EXE得方法,发现方法就是到安全模式下删除C:\WINDOWS\system32\SVOHOST.EXE,然后把启动项内的启动项目也删除即可
按照方法做了。。可是发现马上又有了。。。然后打开regedit,搜索SVOHOST,把所有相关都删除。。。结果还是无济于事。。。开始佩服这个木马的霸道和强大了。。。。
NND,不管三七二十一了,决定用Ghost恢复系统,反正之前做过备份,恢复起来很快的
系统恢复,ok,心情轻松了。。。
准备打开E盘,安装以下备份后没有安装的软件。。。打不开!发现D盘和F盘也打不开。。。小问题,重启下,ok,进去了,然后完完整整的把恢复后的系统全部整理完毕后,打开任务管理器。。。我傻眼了。。。SVOHOST.EXE赫然在目。。。为什么?重装系统也没用?这个东西。。。
接着马上想到了之前的D、E、F盘打不开的情况。。。。
看来是被加入了自动播放的autorun文件了
既然这样,我再用ghost恢复一次C盘,好好看看怎样才能把这个木马给枪毙了。。。嘿嘿,你霸道,我也不弱。。
恢复系统后,不敢直接双击D、E、F盘打开了,用右击,发现右击菜单上多出了个Auto,是自动播放。。。不选择,直接选择打开,进入盘符后,设置显示隐藏文件,发现没有autorun.inf的文件!!不可能的。。。然后再看看是不是没设置好。。重新设置一次,还是没有,再设置一次。。发现刚刚明明设置到显示所有文件和文件夹的,竟然选项又变回不显示隐藏的文件和文件夹。。。看来连设置显示隐藏也被这个木马给屏蔽了。。。强的。。。
最后一个办法,决定从command里试试看。。
运行cmd,进入F:盘,输入dir和dir /a查看比较了下目录下所有文件和文件夹(包括隐藏的),哈哈。。。终于被我看到了
在dir /a的命令后,隐藏的文件多出来了两个。。sxs.exe和autorun.inf,看来这两个就是罪魁祸首,既然如此,那么肯定可以在这里把这两个文件给删除的。。
在F:\>后输入attrib -a -s -h -r sxs.exe命令执行
再输入attrib -a -s -h -r autorun.inf命令执行,把这两个文件的隐藏属性给取消了
结束再输入del sxs.exe和del autorun.inf把这两个文件分别删除
哈哈,再把D、E盘里的也同样删除掉,ok除毒成功,打开F盘试试看。。。
竟然弹出一个选择打开文件的程序的提示框。。
郁闷了,这个病毒也太可恶了。。。。
TNND
运行regedit,搜索sxs.exe,发现在下面三条注册表信息下有sxs.exe的信息。。
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{e94c3814-d758-11da-8647-806d6172696f}
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{e94c3815-d758-11da-8647-806d6172696f}
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{e94c3816-d758-11da-8647-806d6172696f}
这三条分别我电脑上D、E、F盘的启动的设置,里面有设置打开方式为sxs.exe的设置,打开他们的子目录就可以发现了。。
把这三条记录删除后。。再打开三个盘。。HOHO~~终于完全恢复了。。。
说真的,之前也手动杀过不少病毒。。但是第一次碰到这么顽强的病毒。。也挺佩服病毒制作者的。。。这样的病毒就算重装了系统也是无济于事的。。。哎
这里总结下查杀这个病毒的方法:
1.首先打开任务管理器,结束SVOHOST.EXE的进程
2.我的电脑,工具>>文件加选项>>查看>>把“隐藏受保护的操作系统文件(推荐)”之前的钩钩取掉
3.右击C盘>>打开,然后到C:\WINDOWS\system32\下找到SVOHOST.EXE删除掉。这里不能用搜索的,因为搜索不到的。。只能用自己的肉眼找。。汗记
4.开始>>运行msconfig>>启动>>把SVOHOST.EXE的启动项取消
5.开始>>运行cmd>>用dir /a的命令检查所有盘符下有没有sxs.exe和autorun.inf两个文件,有的话,用上面我说的方法全部删除
6.最后一步(如果前五步之后,能够顺利地直接打开D、E、F盘,则无需进行这步),开始>>运行regedit>>找到注册表HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2目录下的{e94c3812-d758-11da-8647-806d6172696f}、{e94c3813-d758-11da-8647-806d6172696f}等的表信息,删除即可
这里补充下,有些朋友在第三步中找不到SVOHOST.EXE那是因为系统显示隐藏文件被禁止了,所以这里提供几个方法:
1.试试看利用winrar压缩包来找出它来并删除
2.在cmd里使用类似第五步的方法找出svohost并将其删除
3.重装系统,然后直接从第五步开始执行
4.查看本文第26楼朋友的回复(在此感谢他一下),他的回复弥补了本文的不足,就是让系统恢复显示隐藏文件的功能,所以这一步也可以用来让系统显示本来怎么也看不到的svohost
