許多朋友都是通過移動盤拷貝東西時被感染的，特別是U盤，特別是在網(wǎng)吧，當你拷完東西是，利用DOS進入你的移動盤dir/a顯示所有文件，如果發(fā)現(xiàn)中招，有sxs.exe和autorun.inf那么在非根目錄下建立一個記事本，命名為sxs.exe建立一個autorun.inf內(nèi)容可以為空，也可以添加[autorun]shutdown=sxs.exe將移動盤的sxs.exe和autorun.inf替換?；丶揖筒粫桓腥玖?
我中的很奇怪，好不容易用卡巴斯基查出來D和E根目錄下有這個東西，而且四五還有其他的木馬，連隱藏文件夾也打不開，SVCHOST怎么也刪不掉（一動就重啟），也沒有netcount這樣的東西~郁悶……
瀏覽網(wǎng)頁的時候未經(jīng)許可就后臺安裝了（我還設一高的安全級別），超級播霸和憶多多以及還有三四種bar什么搜索什么工具的，自動彈出亂七八糟的網(wǎng)頁，系統(tǒng)性能迅速下降，慢得連我的電腦都打不開，導致諾頓無法在線升級，注冊表里寫了無數(shù)yok.com和其他信息，卸載以后仍然不時的自動彈出網(wǎng)頁，這簡直就是流氓軟件，所謂的憶多多叫什么億龍還是憶龍公司的，居然還在軟件上留了電話，010-64311335，打電話過去詢問他們還腆著臉說是自己不是病毒，在九仙橋星科大廈C座，據(jù)說C座整個都是他們公司，我就覺得納悶，你一“大”公司，怎么能做出這么惡心的事，捆綁一個流氓軟件也就罷了，還后臺安裝~~悄沒聲兒的就駐扎進了別人的系統(tǒng)，還捆綁了N個一樣流氓的軟件，并且在系統(tǒng)的每個盤的根目錄下產(chǎn)生兩個隱藏文件，一個是什么ini文件，另一個叫“sxs.exe”的文件，雙擊后沒有任何反應。程序管理器里面會有幾個可疑進程，其中有兩個是模仿系統(tǒng)進程的，叫什么SVOHOST.EXE跟系統(tǒng)進程svchost.exe很像吧，另一個模仿系統(tǒng)進程的文件忘了叫啥了，還有一sysmini.exe，就在我寫這貼子的過程中又彈出無數(shù)次網(wǎng)頁打斷我的控訴，那些進程手動結(jié)束后過一會兒又會自己運行。


sxs.exe是什么病毒
你這是修改過的ROSE病毒 
可以結(jié)束SXS的進程刪除，記住，用鼠標右鍵進入硬盤 

同時按下Ctrl+Shift+Esc三個鍵 打開windows任務管理器 
選擇里面的“進程”標簽 
在“映像名稱”下查找“sxs.exe” 但擊它 再選擇“結(jié)束進程” 
一定要結(jié)束所有的“sxs.exe”進程 
打開我的電腦 單擊 工具菜單下的“文件夾選項” 
單擊“查看”標簽 把“高級設置”中的 
“隱藏受保護的操作系統(tǒng)文件（推薦）”前面的勾取消 
并選擇下面的“顯示所有文件和文件夾”選項 
單擊“確定” 
用鼠標右鍵點C盤（不能雙擊！） 選擇 “打開” 
刪除C盤下的 “autorun.inf”文件 和“sxs.exe”文件 
用鼠標右鍵點D盤 選擇 “打開” 
刪除D盤下的 “autorun.inf”文件 和“sxs.exe”文件（另外有個文件也是，是個.exe 同樣刪了它） 
…… 
以此類推 刪除所有盤上的 AUTORUN.INF文件 和“rose.exe”文件 
單擊開始 選擇“運行” 輸入 "regedit"(沒有引號) ，回車 
依次展開注冊表編輯器左邊的 我的電腦>HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Run 
刪除Run項中的 ROSE （c:\windows\system32\SXS.exe)這個項目 
關(guān)閉注冊表編輯器 
然后重新啟動計算機 

刪除硬盤上是ROSE： 
按下shift鍵不放 插入U盤 直到電腦提示“新硬件可以使用” 
打開我的電腦 
這時在U盤的圖標上點鼠標右鍵 選擇“打開” （不要點自動播放或者是雙擊?。?nbsp;
刪除 SXS.exe和autorun.inf文件 病毒就沒有了 
有史以來第一次遭遇如此頑固的病毒，網(wǎng)上找了找，沒有統(tǒng)一的名字，瑞星稱為 Trojan.PSW.QQPass.pqb 病毒，我就叫它 sxs.exe病毒吧 

重裝系統(tǒng)后，雙擊分區(qū)盤又中了，郁悶，瑞星自動關(guān)閉無法打開，決定手動將其刪除 

現(xiàn)象：系統(tǒng)文件隱藏無法顯示，雙擊盤符無反映，任務管理器發(fā)現(xiàn) sxs.exe 或者 svohost.exe （與系統(tǒng)進程 svchost.exe 一字之差），殺毒軟件實時監(jiān)控自動關(guān)閉并無法打開 

找了網(wǎng)上許多方法，無法有效刪除，并且沒有專殺工具 

http://cctv1cn.com

手動刪除“sxs.exe病毒”方法： 

在以下整個過程中不得雙擊分區(qū)盤，需要打開時用鼠標右鍵——打開 

一、關(guān)閉病毒進程 

Ctrl + Alt + Del 任務管理器，在進程中查找 sxs 或 SVOHOST（不是SVCHOST，相差一個字母），有的話就將它結(jié)束掉 

二、顯示出被隱藏的系統(tǒng)文件 

運行——regedit 

HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL，將CheckedValue鍵值修改為1 

這里要注意，病毒會把本來有效的DWORD值CheckedValue刪除掉，新建了一個無效的字符串值CheckedValue，并且把鍵值改為0！我們將這個改為1是毫無作用的。（有部分病毒變種會直接把這個CheckedValue給刪掉，只需和下面一樣，自己再重新建一個就可以了） 

方法：刪除此CheckedValue鍵值，單擊右鍵 新建——Dword值——命名為CheckedValue，然后修改它的鍵值為1，這樣就可以選擇“顯示所有隱藏文件”和“顯示系統(tǒng)文件”。 

在文件夾——工具——文件夾選項中將系統(tǒng)文件和隱藏文件設置為顯示 

三、刪除病毒 

在分區(qū)盤上單擊鼠標右鍵——打開，看到每個盤跟目錄下有 autorun.inf 和 sxs.exe 兩個文件，將其刪除。 

四、刪除病毒的自動運行項 

打開注冊表 運行——regedit 

HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Run 

下找到 SoundMam 鍵值，可能有兩個，刪除其中的鍵值為 C:\\WINDOWS\system32\SVOHOST.exe 的 

最后到 C:\\WINDOWS\system32\ 目錄下刪除 SVOHOST.exe 或 sxs.exe 

重啟電腦后，發(fā)現(xiàn)殺毒軟件可以打開，分區(qū)盤雙擊可以打開了。 

五、后續(xù) 

殺毒軟件實時監(jiān)控可以打開，但開機無法自動運行 

最簡單的辦法，執(zhí)行殺毒軟件的添加刪除組件——修復，即可

最新評論