許多朋友都是通過移動盤拷貝東西時被感染的，特別是U盤，特別是在網(wǎng)吧，當(dāng)你拷完東西是，利用DOS進(jìn)入你的移動盤dir/a顯示所有文件，如果發(fā)現(xiàn)中招，有sxs.exe和autorun.inf那么在非根目錄下建立一個記事本，命名為sxs.exe建立一個autorun.inf內(nèi)容可以為空，也可以添加[autorun]shutdown=sxs.exe將移動盤的sxs.exe和autorun.inf替換?；丶揖筒粫桓腥玖?
我中的很奇怪，好不容易用卡巴斯基查出來D和E根目錄下有這個東西，而且四五還有其他的木馬，連隱藏文件夾也打不開，SVCHOST怎么也刪不掉（一動就重啟），也沒有netcount這樣的東西~郁悶……
瀏覽網(wǎng)頁的時候未經(jīng)許可就后臺安裝了（我還設(shè)一高的安全級別），超級播霸和憶多多以及還有三四種bar什么搜索什么工具的，自動彈出亂七八糟的網(wǎng)頁，系統(tǒng)性能迅速下降，慢得連我的電腦都打不開，導(dǎo)致諾頓無法在線升級，注冊表里寫了無數(shù)yok.com和其他信息，卸載以后仍然不時的自動彈出網(wǎng)頁，這簡直就是流氓軟件，所謂的憶多多叫什么億龍還是憶龍公司的，居然還在軟件上留了電話，010-64311335，打電話過去詢問他們還腆著臉說是自己不是病毒，在九仙橋星科大廈C座，據(jù)說C座整個都是他們公司，我就覺得納悶，你一“大”公司，怎么能做出這么惡心的事，捆綁一個流氓軟件也就罷了，還后臺安裝~~悄沒聲兒的就駐扎進(jìn)了別人的系統(tǒng)，還捆綁了N個一樣流氓的軟件，并且在系統(tǒng)的每個盤的根目錄下產(chǎn)生兩個隱藏文件，一個是什么ini文件，另一個叫“sxs.exe”的文件，雙擊后沒有任何反應(yīng)。程序管理器里面會有幾個可疑進(jìn)程，其中有兩個是模仿系統(tǒng)進(jìn)程的，叫什么SVOHOST.EXE跟系統(tǒng)進(jìn)程svchost.exe很像吧，另一個模仿系統(tǒng)進(jìn)程的文件忘了叫啥了，還有一sysmini.exe，就在我寫這貼子的過程中又彈出無數(shù)次網(wǎng)頁打斷我的控訴，那些進(jìn)程手動結(jié)束后過一會兒又會自己運(yùn)行。


sxs.exe是什么病毒
你這是修改過的ROSE病毒 
可以結(jié)束SXS的進(jìn)程刪除，記住，用鼠標(biāo)右鍵進(jìn)入硬盤 

同時按下Ctrl+Shift+Esc三個鍵 打開windows任務(wù)管理器 
選擇里面的“進(jìn)程”標(biāo)簽 
在“映像名稱”下查找“sxs.exe” 但擊它 再選擇“結(jié)束進(jìn)程” 
一定要結(jié)束所有的“sxs.exe”進(jìn)程 
打開我的電腦 單擊 工具菜單下的“文件夾選項” 
單擊“查看”標(biāo)簽 把“高級設(shè)置”中的 
“隱藏受保護(hù)的操作系統(tǒng)文件（推薦）”前面的勾取消 
并選擇下面的“顯示所有文件和文件夾”選項 
單擊“確定” 
用鼠標(biāo)右鍵點(diǎn)C盤（不能雙擊?。?nbsp;選擇 “打開” 
刪除C盤下的 “autorun.inf”文件 和“sxs.exe”文件 
用鼠標(biāo)右鍵點(diǎn)D盤 選擇 “打開” 
刪除D盤下的 “autorun.inf”文件 和“sxs.exe”文件（另外有個文件也是，是個.exe 同樣刪了它） 
…… 
以此類推 刪除所有盤上的 AUTORUN.INF文件 和“rose.exe”文件 
單擊開始 選擇“運(yùn)行” 輸入 "regedit"(沒有引號) ，回車 
依次展開注冊表編輯器左邊的 我的電腦>HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Run 
刪除Run項中的 ROSE （c:\windows\system32\SXS.exe)這個項目 
關(guān)閉注冊表編輯器 
然后重新啟動計算機(jī) 

刪除硬盤上是ROSE： 
按下shift鍵不放 插入U盤 直到電腦提示“新硬件可以使用” 
打開我的電腦 
這時在U盤的圖標(biāo)上點(diǎn)鼠標(biāo)右鍵 選擇“打開” （不要點(diǎn)自動播放或者是雙擊?。?nbsp;
刪除 SXS.exe和autorun.inf文件 病毒就沒有了 
有史以來第一次遭遇如此頑固的病毒，網(wǎng)上找了找，沒有統(tǒng)一的名字，瑞星稱為 Trojan.PSW.QQPass.pqb 病毒，我就叫它 sxs.exe病毒吧 

重裝系統(tǒng)后，雙擊分區(qū)盤又中了，郁悶，瑞星自動關(guān)閉無法打開，決定手動將其刪除 

現(xiàn)象：系統(tǒng)文件隱藏?zé)o法顯示，雙擊盤符無反映，任務(wù)管理器發(fā)現(xiàn) sxs.exe 或者 svohost.exe （與系統(tǒng)進(jìn)程 svchost.exe 一字之差），殺毒軟件實時監(jiān)控自動關(guān)閉并無法打開 

找了網(wǎng)上許多方法，無法有效刪除，并且沒有專殺工具 

http://cctv1cn.com

手動刪除“sxs.exe病毒”方法： 

在以下整個過程中不得雙擊分區(qū)盤，需要打開時用鼠標(biāo)右鍵——打開 

一、關(guān)閉病毒進(jìn)程 

Ctrl + Alt + Del 任務(wù)管理器，在進(jìn)程中查找 sxs 或 SVOHOST（不是SVCHOST，相差一個字母），有的話就將它結(jié)束掉 

二、顯示出被隱藏的系統(tǒng)文件 

運(yùn)行——regedit 

HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL，將CheckedValue鍵值修改為1 

這里要注意，病毒會把本來有效的DWORD值CheckedValue刪除掉，新建了一個無效的字符串值CheckedValue，并且把鍵值改為0！我們將這個改為1是毫無作用的。（有部分病毒變種會直接把這個CheckedValue給刪掉，只需和下面一樣，自己再重新建一個就可以了） 

方法：刪除此CheckedValue鍵值，單擊右鍵 新建——Dword值——命名為CheckedValue，然后修改它的鍵值為1，這樣就可以選擇“顯示所有隱藏文件”和“顯示系統(tǒng)文件”。 

在文件夾——工具——文件夾選項中將系統(tǒng)文件和隱藏文件設(shè)置為顯示 

三、刪除病毒 

在分區(qū)盤上單擊鼠標(biāo)右鍵——打開，看到每個盤跟目錄下有 autorun.inf 和 sxs.exe 兩個文件，將其刪除。 

四、刪除病毒的自動運(yùn)行項 

打開注冊表 運(yùn)行——regedit 

HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Run 

下找到 SoundMam 鍵值，可能有兩個，刪除其中的鍵值為 C:\\WINDOWS\system32\SVOHOST.exe 的 

最后到 C:\\WINDOWS\system32\ 目錄下刪除 SVOHOST.exe 或 sxs.exe 

重啟電腦后，發(fā)現(xiàn)殺毒軟件可以打開，分區(qū)盤雙擊可以打開了。 

五、后續(xù) 

殺毒軟件實時監(jiān)控可以打開，但開機(jī)無法自動運(yùn)行 

最簡單的辦法，執(zhí)行殺毒軟件的添加刪除組件——修復(fù)，即可