RxpMon.exe/Sos.exe木马病毒查杀

▲病毒症状：

RxpMon.exe 和sos.exe是一种木马病毒，病毒在运行后将systom.exe、sos.exe、autorun.inf、TnT.exe复制到每个盘的根目录下，双击盘符运行病毒并导致无法打开磁盘分区，可以通过U盘传染。

RxpMon.exe 病毒会将自身复制到c:\windows\system32目录下，在系统注册表中添加启动项通过运行其它随机文件实现间接自动开机启动。

Sos.exe 病毒在系统注册表中添加启动项实现自动启动。病毒禁用任务管理器、关闭windows update，并且隐藏病毒文件，给手工清除带来麻烦。当用户浏览被病毒修改的文件时，会自动连接到指定的网址下载其它木马程序。

▲清除方法：

一、专杀工具清除：

下载worm.win32.autorun.bp专杀工具进行清除后，下载超级巡警autorun U盘病毒免疫器对电脑所有磁盘进行免疫。

二、手工清除：

1、  结束Rxpmon进程。

2、  进入DOS，进入c:\windows\system32删除RxpMon.exe，删除每个盘符根目录下的systom.exe、sos.exe

、Autorun.inf、tnt.exe病毒文件。

3、  进入安全模式，删除Hkey_local_machine\software\Microsoft\windows\currentversion\run crsss。

4、  打开c:\windows\system32\drivers\etc\hosts文件，在末行添加 0.0.0 .0 [url]www.balldu.com[/url] 回车，屏蔽[url]www.balldu.com[/url]网页。

5、  删除：Hkey_current_user\software\microsoft\windows\currentversion\policies\windowsupdate disablewindowsupdate access。

6、  删除：Hkey_current_user\software\microsoft\windows\currentversion\policies\system disabletaskmgr

7、  删除：Hkey_current_user\software\microsoft\windows\currentversion\explorer\mountpoints2。

8、  运行卡卡安全助手，删除所有可疑的启动项。

9、  下载超级巡警autorun U盘病毒免疫器对电脑所有磁盘进行免疫。

▲注：如果一进入安全模式就蓝屏，先尝试在正常模式下手工清除，再不行参考[url]http://blog.csdn.net/MPU/archive/[/url] 2007/12/10 /1926348.aspx。

本文出自 “菠萝的海的IT博客” 博客，转载请与作者联系！