AUTORUN病毒和双击盘符打不开问题分析

SXS更新整理报告&完全查杀+预防方案

适用于常见AUTORUN病毒和双击盘符打不开的情况

申明：不是所有的Auto都是SXS.exe惹的祸

第一部分:病毒作恶行径
第二部分:简易查杀方案
第三部分:初步预防方案

第一部分:病毒作恶行径

    寒冰通过ssm监控,总算看清楚了病毒发作的作恶途径与行为,虽然可能由于病毒版本不同而有所差别,但是下面这些截图基本是该病毒的通用行为:

病毒启动前先检查进程中的常用防毒软件程序,寒冰的天网被病毒终结了

病毒启动另一程序dappvk.exe

生成病毒同名dll文件:dappck.all

病毒dappvk.exe修改注册表启动项,实现开机自启动

病毒dappvk.exe运行C:\WINDOWS\system32下的noruns.reg,内容如下:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:bd

意思是实现硬盘的自动播放功能,此时如果先禁用硬盘的自动播放功能,除了应用寒冰在3楼提供的助策略修改方法外,也可以通过找到上述位置,把NoDriveTypeAutoRun的值设为ff即可

这时候可以在系统的资源管理器看到病毒进程,好像也有点不高明之处哦,寒冰发现的很多都是会自动隐藏进程的

net.exe stop srservice 表示又一病毒程序试图终止系统的自动还原服务

sc.exe 配置系统的自动还原服务为禁止,所以自动还原功能将无法正常使用

net.exe又同样尝试结束江民的服务

sc.exe配置江民服务为禁止,这就是很多常见杀软中毒后无法正常启动的原因

这个寒冰就不大懂,sharedaccess好像是系统的防火墙服务,yahoo了一下大致解释如下(不知道是否还涉及局域网传播):

SharedAccess(Intemet连接共享和防火墙服务)。
为家庭或小型办公网络提供网络地址转换，定址以及名称解析和/或防止入侵服务

结束江民控制台进程

 同样,又把该服务设置为"禁用"

 注入驱动保护,保护病毒删除后重新生成

 配置卡吧服务为"禁止"

结束瑞星进程RsRavmon

 设置瑞星的RsRavmon服务为"禁用"

结束瑞星监控进程

同样配置瑞星监控服务为"禁用"

过河拆桥,把自己的兄弟也灭了,免得被人发现,起到更好的隐藏作用

这个步骤就有点莫名了

  同时通过Filemon监控,或者其运作过程中会生成qqhx.dat,noruns.reg,net.exe,net1.exe和sc.exe,等文件,可是运作后会把这些文件一一删除,同时不停的往C:\windows\system32\写入dappvk.exe和其他非系统盘写入anrun.inf和sxs.exe,如果此时你插入U盘,相信就中招了,所以也是为什么删除后马上又有的缘故.

  好像伴随的他还会把信息写入C:\windows\system32\下的qqhx.dat文件,据荆无命斑竹说明后是一个qq文件的保护程序,删除与否都不紧要的

第二部分:简易查杀方案

方案一:SRENG查找法.

    通过查看系统的启动项目是发现病毒一个最基本的查找方法,也是查找病毒的第一步,而使用的工具是SReng,从截图可以看到,我们本次用到的样本已经在"启动项目"看到了他的可疑足迹了(之所以判断这个是其生成的病毒文件,是因为其版本和公司号均显示为N/A,意味着不存在或者未知,十分可疑)

附荆无命斑竹查杀体验:
    其实对于如何判断一个可疑程序是否病毒的方法有很多,也需要一定的经验,除了上述说的从"N/A"判断,像本次从截图中可以看到,该病毒时间为11-8 14:32(寒冰运行病毒是在11月8日这一天的),因此荆无命斑竹也提供了一个判断经验:
从SRENG的启动项目文件日期如果是当天或者最近1-2开机天的,那个启动项目就应该多加注意了,同时, 图标和日期是判断病毒体的依据

  在此,明白了时间,运行了注册表修复后,就可以去相应目录(比如这次是C:\WINDOWS\system32目录)查找这个时间创建的所有文件,如果时间相同或者相近几秒的,相信那就是你要找的宝物了

  因此,我们特采取以下步骤:

1.使用Sreng去除该启动项,勾选后点击"删除"

2.运行寒冰在附件提供的注册表,双击导入.因为该病毒文件是隐藏属性的,而注册表此时被病毒破坏后无法查看隐藏文件,所以需要先运行寒冰在附件提供的注册表导入后,再在"文件夹选项"--显示所有文件,才能查看隐藏文件(或者查看四楼的方法,手动修复)

3.运行了注册表修复后,就可以去相应目录(比如这次是C:\WINDOWS\system32目录)查找这个文件,同时,通过右键属性查看其创建时间,再通过搜索功能搜索同一时间创建的文件,如果发现时间相同或者相近几秒的,相信那就是你要找的宝物了,
查找后发现有一个同名的dll为dappvk.dll,另外新发现的还有一个qqhx.dat文件

4.进入安全模式把三个文件一并删除(正常状态下无法删除dappvk.dll,因为通过其报告分析,dappvk.dll已经几乎注入了所有的系统进程)

5.运行寒冰之前的批处理清理其他盘符下的autorun.inf和sxs.exe两个文件即可.

同时,其实在第三步骤,除了运用查看时间的方法找出同党,其实还可以通过病毒加载的文件进行查找蛛丝马迹,比如下图列出了dappvk.exe所加载的所有dll,其中可以发现,dappvk.exe和dappvk.dll两个文件是没有公司版本的(当然,也会有一些病毒假装为Microsoft的,引用荆无命斑竹的话,需要经验去判断,呵呵)

 方案二:IceSword查找法(推荐).

  感觉sreng的报告可以查找出不少蛛丝马迹,可是就如同dos命令行一样专业有效但是难懂,如果喜欢windows的可视化操作这一类型的,相信这个方案会更加适合你.

1.跟上面所述一样,通过查看--"启动组"一样可以查看到病毒的启动项目

2.通过Icesword,我们不仅可以轻易地在进程中看到病毒进程(柯南头像),有利于直观判断,而且可以轻易使用该工具强大的功能结束进程,只需点击右键,选择"强制删除"即可

3.运用其文件菜单,免去了修复注册表的步骤,通过在进程看到的路径C:\WINDOWS\system32,可以轻易找到隐藏文件,并且无需切换到安全模式,直接点击右键选择删除即可.

4.同样是导入"显示隐藏文件注册表修复",恢复系统正常,同时运行批处理,把其他盘符的antorun.inf和sxs.exe这两个文件删除即可.

查杀后续:感觉这个变种还不算厉害,寒冰见过一次是启动项目无法查看,而且进程在资源管理器中也是无法查看到的,可惜忘记保留样本,如有谁可以提供,麻烦发动到white850101@163.com,
所以建议各位以后查看病毒时,推荐使用Icesword,因为通过他可以监控到很多隐藏进程的创建和运行,而且,其强大的删除能力不得不让人敬佩,实属杀毒武器之绝宝啊,居家旅行,常年必备,呵呵!!!

同时,sxs在c盘生成的程序具有很多的随机性,不知道是版本变异还是生成随机,至少寒冰见过有ig***开头的,也有p**开头的,而文章的dappvk.exe可能只是冰山一角,所以各位记得发挥自我观察力,继续努力,不过惟一不变的,几乎所有变种都是用了柯南的图标,呵呵,可能是作者的呕呕吧

简单补充说明：我们虎专门写了针对型的程序来代替批处理方便不太会操作的朋友
地址为 http://soft.ylmf.com/downinfo/928.html BY荆无命

还有一些病毒常见的加载方式,在此一并列举:

1.通过explorer.exe,rundll32.exe等系统程序加载运行
如下图,可以看到explorer.exe后面紧跟着一个qqbmyv.exe程序,意味着只需要启动explorer,rundll32这一类程序自然也把病毒一起运行了,一般类似这种行为的很大机会就是病毒程序,记住相应目录就可以对其进行查杀了.
这类病毒的高明之处就是关联了系统正常进程,无须通过像上诉病毒通过启动项加载那么轻易,从而让你无法第一时间发现他的蛛丝马迹,从而延长他在你机子的留宿期,的确很符合"木马"的本意--隐蔽性.

2.通过修改系统*.ini文件进行加载
一般而言,系统userinit.exe,win.ini中的load,run等都是背后留白的,如果发现背后紧跟一个进程(如下图),就十分可疑了,基本可以确定他们就是病毒程序,同时由于这几个地方都是系统启动文件之所在,一开机就意味着加载,可用"抢先一步"来形容.
这个途径也可以说是相当高级的一种加载方式,潜入电脑于无影无踪,可是通过Sreng仍然可以轻易查探出来,同时暂时还真的没有遇见过什么正常程序是需要通过他们加载的,所以这些"背后"程序判断为病毒的概率是非常高的

针对以上两种情况,建议在清毒之后再回到界面进行编辑修复,因为病毒本身会不断检验自身踪迹的完整性,不断进行操作和窜改,不清毒,所作的一切也是白劳.
同时需要注意,尤其是第二项,由于其关系到系统的启动过程,如果编辑不当随时会导致系统进入死循环,因此,请各位谨慎行之
同时,如果雨林的网友不能自我解决的请提供截图或者日志，让大家来帮忙参考

第三部分:初步预防方案

在此寒冰针对该病毒行径重新整理了一下预防的思路,不过不能保证百分百的有效,仅作参考:

方案一:禁止硬盘自动播放

这次发现的变种虽然会多点"技巧"会通过修改注册表取消硬盘右键菜单的"Auto"选项,进一步起到隐藏作用,可是,其途径还是通过硬盘的自动播放模式进行,因此,禁止自动播放功能是预防的第一方案,防止"误双击"!

步骤一:开始－运行（也可使用快捷键win+R）－gpedit.msc，然后选择“管理模板”－“系统”－“关闭自动播放”

 步骤二:打开后选择“已启动”，在下面选择“所有驱动器”，单击确定即可。

 方案二:禁止病毒程序运行

各位应该了解了卖咖啡的多功能监控,而禁止某个程序运行更是他的拿手好戏,不过其实这项功能在windows系统早已经存在,只是了解的人不多,虽然我们知道每次病毒在c盘生成的文件很有随机性,可是在其他盘下的autorun.inf和sxs.exe却是不变的永恒,所以,通过禁止他们运行,自然可以在一定程度上阻止病毒的运作:

步骤一:开始－运行（也可使用快捷键win+R）－gpedit.msc，然后选择“管理模板”－“系统”－“不要运行指定的windows应用程序”,:

步骤二:点击""已启动",然后点击"显示"进行添加

步骤三:点击"添加"选项进行添加,在这里只能一个个添加,的确有点不大方便,分别把autorun.inf和sxs.exe,qqhx.dat,noruns.reg,net.exe,net1.exe和sc.exe进行添加,当然,以后如果你发现了什么病毒程序一样可以通过这个方法阻止其运行(就算删除不了也要让他作恶不了),比如可以一起添加上面发现的dappvk.exe和dappvk.dll

方案三:备份注册表,显示隐藏文件

在最近的几次查杀过程中,隐藏文件无法显示的情况出现频率很高,不再是以前在"文件夹显示隐藏文件"就可以看到其他非系统盘的antorun.inf和sxs.exe这两个文件,查看了注册表才知道,一般要让隐藏文件无法显示,是通过将注册表项目HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL，将CheckedValue键值修改为0,而要回复正常只需把值修改为1即可,可是病毒它用了更狠的招数：它在修改注册表达到隐藏文件目的之后，为了稳妥起见，竟然把本来有效的DWORD值CheckedValue删除掉，新建了一个无效的字符串值CheckedValue，并且把键值改为0！这样你以为把0改为1就会万事大吉，可是故障依旧如此！

所以,这个时候建议在正常时把SHOWALL分项备份,具体操作(寒冰已经做了导出,见2楼附件):

开始－运行（也可使用快捷键win+R）-regedit打开注册表,找到HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL,然后在其点击右键,选择"导出"即可.

 方案四:NTFS权限法

记得在卖咖啡中有条规则“禁止在任何地方写入、创建任何文件”，当然,好像还没有在windows中发现这个规则的使用,可是突然想起ntfs的权限控制,同样可以起到一样的作用,用于防止其继续向非系统盘写入sxs和antorun.inf两个文件,有助于帮助清理病毒(本方法只限于NTFS格式,FAT格式无效)

步骤一:在NTFS盘点击右键,选择属性,然后切换到安全选项卡,在权限的拒绝框全部勾选,这样当你清理完盘内的病毒文件,就无法继续写入了

  同理,对于病毒antorun.inf和sxs.exe我们可以同样在每个非系统盘新建一个空文件,比如文本文件,将其改名为antorun.inf和sxs.exe,然后同理设置其权限为"全部拒绝",这样保证你的非系统盘不会再成为他的殖民地了.
  同时通过Filemon监控,发现其运行其刚运行是还会在C:\WINDOWS\system32下生成qqhx.dat,noruns.reg,net.exe,net1.exe和sc.exe,如果你的系统盘也是ntfs,相信那样病毒发作的机会也没有了,呵呵
附录:手动修复隐藏文件显示

经常看到有人隐藏文件无法显示的提问,顺便也跟sxs.exe扯上关系,就一并在这里解说了,希望类似的帖子可以减少,优化论坛资源:

    其实如果在"文件夹选项--显示隐藏文件"后还是无法查看,一般是被什么软件优化/设置或者是病毒窜改所致,其实现的方式也很简单,就是通过修改的注册表的相关键值来实现的,其键值是:
HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL中的CheckedValue值

1.判断CheckedValue是否为REG_DWORD类型
2.如果如图所示的REG_DWORD类型,直接双击,然后把CheckedValue键值修改为1就可以了

 3.另一种情况,非REG_DWORD类型,比如sxs.exe病毒就是通过这种途径来修改的:病毒会把本来有效的DWORD值CheckedValue删除掉，新建了一个无效的字符串值CheckedValue,类型比如为为REG_SZ，并且把键值改为0！我们将这个改为1是毫无作用的(骗人的把戏啊)。

方法：删除此CheckedValue键值，单击右键 新建——Dword值——命名为CheckedValue，然后修改它的键值为1，这样就可以选择“显示所有隐藏文件”和“显示系统文件”。

4.在文件夹——工具——文件夹选项中将系统文件和隐藏文件设置为显示

所以,大家要看清楚CheckedValue后面的类型，正确的是“RED_DWORD”而不是“REG_SZ

更多图例说明请见原帖地址

原帖地址：http://bbs.ylmf.com/read-ylmf-tid-121695-fpage-0-toread--page-1.html