sxs2.exe病毒清除办法及专杀工具

<BR><SPAN style="FONT-SIZE: 12px">这两天Ｕ盘里染上了sxs2.exe病毒，查到了相关信息和解决办法如下：<BR><BR>sxs.exe是什么病毒?瑞星称为&nbsp;Trojan.PSW.QQPass.pqb&nbsp;病毒，sxs.exe&nbsp;特点是可以通过可移动磁盘传播，主要危害是盗取QQ帐户和密码，并且会终止大量反病毒软件的进程，降低系统的安全等级,现在我发现有很多的电脑上每个磁盘都中了，重装系统也没有用，此毒危害性很大，该怎么办啊？<BR><BR>这是修改过的ROSE病毒，可以结束SXS的进程删除。记住，用鼠标右键进入硬盘，同时按下Ctrl+Shift+Del三个键打开windows任务管理器，选择里面的“进程”标签，在“映像名称”下查找“sxs.exe”&nbsp;但击它&nbsp;再选择“结束进程”，一定要结束所有的“sxs.exe”进程。<BR><BR>打开我的电脑，单击工具菜单下的“文件夹选项”单击“查看”标签把“高级设置”中的“隐藏受保护的操作系统文件（推荐）”前面的勾取消，并选择下面的“显示所有文件和文件夹”选项，单击“确定”。&nbsp;<BR><BR>用鼠标右键点C盘（不能双击！）选择&nbsp;“打开”，删除C盘下的&nbsp;“autorun.inf”文件&nbsp;和“sxs.exe”文件，用鼠标右键点D盘选择“打开”，删除D盘下的“autorun.inf”文件和“sxs.exe”文件（另外有个文件也是，是个.exe&nbsp;同样删了它）。<BR><BR>……<BR>以此类推，删除所有盘上的&nbsp;AUTORUN.INF文件和“rose.exe”文件。<BR><BR>单击“开始”，选择“运行”&nbsp;输入&nbsp;"regedit"(没有引号)&nbsp;，依次展开注册表编辑器左边的“我的电脑”&gt;HKEY_LOCAL_MACHINE&gt;SOFTWARE&gt;Microsoft&gt;Windows&gt;CurrentVersion&gt;Run&nbsp;删除Run项中的&nbsp;ROSE&nbsp;（c:\windows\system32\SXS.exe)这个项目。&nbsp;<BR><BR>关闭注册表编辑器，然后重新启动计算机。<BR><BR><BR><BR>删除移动硬盘或U盘上的ROSE：<BR><BR><BR><BR>按下shift键不放，插入U盘&nbsp;直到电脑提示“新硬件可以使用”，打开我的电脑，这时在U盘的图标上点鼠标右键，选择“打开”（不要点自动播放或者是双击！），删除&nbsp;SXS.exe和autorun.inf文件&nbsp;病毒就没有了。<BR><BR>有史以来第一次遭遇如此顽固的病毒，网上找了找，没有统一的名字，瑞星称为&nbsp;Trojan.PSW.QQPass.pqb&nbsp;病毒，我就叫它&nbsp;sxs.exe病毒吧。重装系统后，双击分区盘又中了，郁闷，瑞星无法安装，安装好的瑞星自动关闭无法打开，系统自带的防火墙也不能启动与关闭，决定手动将其删除。<BR><BR>现象：系统文件隐藏无法显示，双击盘符无反映，任务管理器发现&nbsp;sxs.exe&nbsp;或者&nbsp;svohost.exe&nbsp;（与系统进程&nbsp;svchost.exe&nbsp;一字之差），杀毒软件实时监控自动关闭并无法打开。找了网上许多方法，无法有效删除，并且没有专杀工具。<BR><BR><BR><BR>手动删除“sxs.exe病毒”方法：&nbsp;<BR><BR><BR><BR>在以下整个过程中不得双击分区盘，需要打开时用鼠标右键——打开&nbsp;<BR><BR>一、关闭病毒进程&nbsp;<BR><BR>Ctrl&nbsp;+&nbsp;Alt&nbsp;+&nbsp;Del&nbsp;任务管理器，在进程中查找&nbsp;sxs&nbsp;或&nbsp;SVOHOST（不是SVCHOST，相差一个字母），有的话就将它结束掉&nbsp;。<BR><BR>二、显示出被隐藏的系统文件&nbsp;<BR><BR>运行——regedit&nbsp;<BR><BR>HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL，将CheckedValue键值修改为1。&nbsp;<BR><BR>这里要注意，病毒会把本来有效的DWORD值CheckedValue删除掉，新建了一个无效的字符串值CheckedValue，并且把键值改为0！我们将这个改为1是毫无作用的。（有部分病毒变种会直接把这个CheckedValue给删掉，只需和下面一样，自己再重新建一个就可以了）。<BR><BR>方法：删除此CheckedValue键值，单击右键&nbsp;新建——Dword值——命名为CheckedValue，然后修改它的键值为1，这样就可以选择“显示所有隐藏文件”和“显示系统文件”。&nbsp;<BR><BR>在文件夹——工具——文件夹选项中将系统文件和隐藏文件设置为显示&nbsp;<BR><BR>三、删除病毒&nbsp;<BR><BR>在分区盘上单击鼠标右键——打开，看到每个盘跟目录下有&nbsp;autorun.inf&nbsp;和&nbsp;sxs.exe&nbsp;两个文件，将其删除。&nbsp;<BR><BR>四、删除病毒的自动运行项&nbsp;<BR><BR>打开注册表&nbsp;运行——regedit&nbsp;<BR><BR>HKEY_LOCAL_MACHINE&gt;SOFTWARE&gt;Microsoft&gt;Windows&gt;CurrentVersion&gt;Run&nbsp;下找到&nbsp;SoundMam&nbsp;键值，可能有两个，删除其中的键值为&nbsp;C:\\WINDOWS\system32\SVOHOST.exe&nbsp;的。最后到&nbsp;C:\\WINDOWS\system32\&nbsp;目录下删除&nbsp;SVOHOST.exe&nbsp;或&nbsp;sxs.exe&nbsp;。重启电脑后，发现杀毒软件可以打开，分区盘双击可以打开了。&nbsp;<BR><BR>五、后续&nbsp;<BR><BR>杀毒软件实时监控可以打开，但开机无法自动运行&nbsp;<BR><BR>最简单的办法，执行杀毒软件的添加删除组件——修复，即可。<BR><BR><BR><BR>另外已用GHOST备份系统盘的，那就简单了只需恢复系统盘，打开“我的电脑”文件夹选项里显示隐藏文件显示系统保护的文件，然后如上所说，将其他盘根目录的INI文件和EXE文件删除就可以了。有的软件点击不开，那是已经破坏了软件执行程序，执行软件的添加删除组件——修复，即可。<BR><BR><BR><BR><BR>清除猖狂的Sxs.exe病毒&nbsp;（补充）2006/10/28&nbsp;08:22清除猖狂的Sxs.exe病毒&nbsp;（补充）&nbsp;<BR><BR>&nbsp;&nbsp;&nbsp;<BR><BR><BR>针对症状，我先上网找了相关的资料，首先，要显示隐藏文件&nbsp;<BR><BR>在这个:HKEY_LOCAL_MACHINESoftwareMicrosoftwindowsCurrentVersionexplorer<BR><BR>AdvancedFolderHiddenSHOWALL，将CheckedValue键值修改为1<BR><BR>还是没有用，隐藏文件还是没有显示，仔细观察发现病毒它有更狠的招数:它在修改注册表达到隐藏文件目的之后，为了稳妥起见，把本来有效的DWORD值CheckedValue删除掉，新建了一个无效的字符串值CheckedValue，并且把键值改为0(如图)!这样你以为把0改为1就会万事大吉，可是故障依旧如此!也就难怪出现以上的现象了。<BR><BR>正确的方法是:先检查CheckedValue的类型是否为REG_DWORD，如果不是则删掉“罟怼盋heckedValue(例如在本“案例”中，应该把类型为REG_SZ的CheckedValue删除)。然后单击右键“新建”--〉“Dword值”，并命名为CheckedValue，然后修改它的键值为1，这样就可以选择“显示所有隐藏文件”。<BR><BR>经过刚才一番操作，我的电脑里的隐藏文件可以看到了，假如上述方法无效，那么可能是&nbsp;HKEY_LOCAL_MACHINESoftwareMicrosoftwindowsCurrentVersionexplorerAdvancedFolderHidden的数据丢失或损坏，遇到这种情况，请在Windows&nbsp;XP安装光盘中找到Hidden.reg，双击它，然后单击“确定”按钮，将该完整的注册表数据添加到当前系统的注册表中即可。(备注:可是我手头上的XP安装光盘找来找去都没有这个东西，假如你不幸遇到这种情况，可以尝试使用这种方法:找一部没有问题的电脑，把<BR><BR>HKEY_LOCAL_MACHINESoftwareMicrosoftwindowsCurrentVersionexplorerAdvancedFolderHidden这个分支导出(假如命名为1.reg);然后备份有问题的电脑的该注册表分支;最后把1.reg导入看能否解决问题。我没试过所以不知道会不会出现什么意外，祝各位好运!假如某人能够在XP安装光盘里找到这个东西，请把文件里面的内容复制到评论里面，并且注明该XP安装光盘有没有打过SP1或者是SP2，谢谢!)<BR><BR>我看到在我的D:E:F:这些盘中(除了c盘)都出现了autorun.inf和sxs.exe两个文件，删除又再生.而且U盘插进去也出现这两个文件。此时杀毒软件一直是无法启动，我把金山的换成江民的，还是没用，看来是病毒限制了杀毒软件的运行，所以首先要把病毒的自动运行关掉，我也找了网上的资料，不过我试了，没有用，找不到rous.exe,我提供给你们，自己去试一下看看!<BR><BR>你这是修改过的ROSE病毒<BR><BR>可以结束SXS的进程删除，记住，用鼠标右键进入硬盘<BR><BR>同时按下Ctrl+Shift+Esc三个键&nbsp;打开windows任务管理器<BR><BR>选择里面的“进程”标签<BR><BR>在“映像名称”下查找“sxs.exe”&nbsp;但击它&nbsp;再选择“结束进程”<BR><BR>一定要结束所有的“sxs.exe”进程<BR><BR>打开我的电脑&nbsp;单击&nbsp;工具菜单下的“文件夹选项”<BR><BR>单击“查看”标签&nbsp;把“高级设置”中的<BR><BR>“隐藏受保护的操作系统文件(推荐)”前面的勾取消<BR><BR>并选择下面的“显示所有文件和文件夹”选项<BR><BR>单击“确定”<BR><BR>用鼠标右键点C盘(不能双击!)&nbsp;选择&nbsp;“打开”<BR><BR>删除C盘下的&nbsp;“autorun.inf”文件&nbsp;和“sxs.exe”文件<BR><BR>用鼠标右键点D盘&nbsp;选择&nbsp;“打开”<BR><BR>删除D盘下的&nbsp;“autorun.inf”文件&nbsp;和“sxs.exe”文件(另外有个文件也是，是个.exe&nbsp;同样删了它)<BR><BR>……<BR><BR>以此类推&nbsp;删除所有盘上的&nbsp;AUTORUN.INF文件&nbsp;和“rose.exe”文件<BR><BR>单击开始&nbsp;选择“运行”&nbsp;输入&nbsp;"regedit"(没有引号)&nbsp;，回车<BR><BR>依次展开注册表编辑器左边的&nbsp;我的电脑&gt;HKEY_LOCAL_MACHINE&gt;SOFTWARE&gt;Microsoft&gt;Windows&gt;CurrentVersion&gt;Run<BR><BR>删除Run项中的&nbsp;ROSE&nbsp;(c:windowssystem32SXS.exe)这个项目<BR><BR>关闭注册表编辑器<BR><BR>然后重新启动计算机<BR><BR>删除硬盘上是ROSE:<BR><BR>按下shift键不放&nbsp;插入U盘&nbsp;直到电脑提示“新硬件可以使用”<BR><BR>打开我的电脑<BR><BR>这时在U盘的图标上点鼠标右键&nbsp;选择“打开”&nbsp;(不要点自动播放或者是双击!)<BR><BR>删除&nbsp;SXS.exe和autorun.inf文件&nbsp;病毒就没有了<BR><BR>上面我说了这个方法对我没有用!sxs.exe没有专杀,现在只能通过注册表杀毒<BR><BR>打开注册表“regedit”,找到HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun<BR><BR>有些网友说删除Run项中的&nbsp;ROSE&nbsp;(c:windowssystem32SXS.exe)这个项目<BR><BR>我找了一下没找到这个Run项目，但是我看了一下在Run里面有两个"SoundMam"，而且后面给的数值不一样，一个给的是“C:\WINDOWS\system32\SVOHOST.exe”另一个是“SOUNDMAN.EXE”我想大家也发现了，肯定有问题，我看了一下，只有后面一个是正确的，前一个是豪杰超级解霸的“自动播放伺服器”的程序，看来病毒是加到这个里面了，借助自动播放到处传播!(这是我认为的，不知道对不对)于是就删除了这个项，退出注册表，打开杀毒软件，可以使用了，只是在一般杀毒时，还是找不到sxs.exe的，我用的是江民的，他有未知病毒扫描，在那里里面可以发现的，他是一种“硬盘蠕虫病毒”，删掉就行了，本来我是想截屏给大家看看的，可惜我重启了，没复制下来，哪位朋友补充一下在下面!感谢!<BR><BR>那还剩下autorun.inf，直接到各个硬盘删就可以了，再清空回收站就可以了，其他的都正常了，可能还有些网友系统可能出现些问题，如豪杰超级解霸的“自动播放伺服器”不能使用了，我的建议是:不要用了，就是他坏的事!要是你非要用就重新装吧!最后重新启动，可以了!</SPAN>&nbsp; <BR>