SXS.exe病毒之我見

SXS.exe病毒之我見

病毒名稱: sxs.exe---瑞星稱為 Trojan.PSW.QQPass.pqb 病毒

病毒特點: sxs.exe 特點是可以通過可移動磁盤傳播，主要危害是盜取QQ帳戶和密碼，并且會終止大量反病毒軟體的程序(瑞星、卡巴無一幸免)，系統自帶的防火牆也不能啟動與關閉,系統檔案隐藏無法顯示，輕按兩下盤符無反映，任務管理器發現 sxs.exe 或者 svohost.exe （與系統程序 svchost.exe 一字之差），防毒軟體實時監控自動關閉并無法打開。電腦上每個磁盤都有“autorun.inf”檔案和“sxs.exe”檔案，重裝系統也沒有用。

網上有N多關于這種病毒的介紹和手工删除說明，而且基本上屬于一個版本。如果症狀和上面類似，可以參照一般解決方法。如果程序中找不到 sxs .exe或 SVOHOST.exe,每個盤符下的“autorun.inf”檔案和“sxs.exe”檔案删除又重新出現的話,請參見我的解決辦法。

一)、一般解決辦法：這是修改過的ROSE病毒，可以結束SXS的程序删除。： 在以下整個過程中不得輕按兩下分區盤，需要打開時用滑鼠右鍵——打開

1.關閉病毒程序 Ctrl + Alt + Del 任務管理器，在程序中查找 sxs 或 SVOHOST（不是SVCHOST，相差一個字母），有的話就将它結束掉 。

2.顯示出被隐藏的系統檔案 運作——regedit HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL，将CheckedValue鍵值修改為1。 這裡要注意，病毒會把本來有效的DWORD值CheckedValue删除掉，建立了一個無效的字元串值CheckedValue，并且把鍵值改為0！我們将這個改為1是毫無作用的。（有部分病毒變種會直接把這個CheckedValue給删掉，隻需和下面一樣，自己再重建立一個就可以了）。方法：删除此CheckedValue鍵值，單擊右鍵 建立——Dword值——命名為CheckedValue，然後修改它的鍵值為1，這樣就可以選擇“顯示所有隐藏檔案”和“顯示系統檔案”。 在檔案夾——工具——檔案夾選項中将系統檔案和隐藏檔案設定為顯示

3.删除病毒 在分區盤上單擊滑鼠右鍵——打開，看到每個盤跟目錄下有 autorun.inf 和 sxs.exe 兩個檔案，将其删除。 

4.删除病毒的自動運作項 打開系統資料庫 運作——regedit HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Run 下找到 SoundMam 鍵值，可能有兩個，删除其中的鍵值為 C:\\WINDOWS\system32\SVOHOST.exe 的。最後到 C:\\WINDOWS\system32\ 目錄下删除 SVOHOST.exe 或 sxs.exe 。重新開機電腦後，發現防毒軟體可以打開，分區盤輕按兩下可以打開了。

5.後續 防毒軟體實時監控可以打開，但開機無法自動運作 最簡單的辦法，執行防毒軟體的添加删除元件——修複，即可。另外已用GHOST備份系統盤的，那就簡單了隻需恢複系統盤，打開“我的電腦”檔案夾選項裡顯示隐藏檔案顯示系統保護的檔案，然後如上所說，将其他盤根目錄的INI檔案和EXE檔案删除就可以了。有的軟體點選不開，那是已經破壞了軟體執行程式，執行軟體的添加删除元件——修複，即可。

二)、我的解決辦法：

1.搜尋電腦中的所有“autorun.inf”檔案和“sxs.exe”檔案,先将“autorun.inf”統一删除,之後将“sxs.exe”統一删除(程序中沒有SXS.exe的前提下)；

2.檢視啟動項運作---msconfig,如果有就将其前面的勾去掉；

3.運作--regedit,查找sxs 或 SVOHOST,一直F3.知道查找結束；

4.隐藏檔案的顯示可以參照前文

---END

本文轉自 richardlee 51CTO部落格，原文連結:http://blog.51cto.com/richardlee/23164