sxs.exe病毒手動刪除方法
有史以來第一次遭遇如此頑固的病毒,網上找了找,沒有統一的名字,瑞星稱為 Trojan.PSW.QQPass.pqb 病毒,我就叫它 sxs.exe病毒吧
重裝系統后,雙擊分區盤又中了,郁悶,瑞星自動關閉無法打開,決定手動將其刪除
現象:系統文件隱藏無法顯示,雙擊盤符無反映,任務管理器發現 sxs.exe 或者 svohost.exe (與系統進程 svchost.exe 一字之差),殺毒軟件實時監控自動關閉并無法打開
找了網上許多方法,無法有效刪除,并且沒有專殺工具
手動刪除“sxs.exe病毒”方法:
在以下整個過程中不得雙擊分區盤,需要打開時用鼠標右鍵—>打開
一、關閉病毒進程
Ctrl + Alt + Del 任務管理器,在進程中查找 sxs 或 svohost(不是svchost,相差一個字母),有的話就將它結束掉
二、顯示出被隱藏的系統文件
運行—>regedit
HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL,將CheckedValue鍵值修改為1
這里要注意,病毒會把本來有效的DWORD值CheckedValue刪除掉,新建了一個無效的字符串值CheckedValue,并且把鍵值改為0!我們將這個改為1是毫無作用的。(有部分病毒變種會直接把這個CheckedValue給刪掉,只需和下面一樣,自己再重新建一個就可以了)
方法:刪除此CheckedValue鍵值,單擊右鍵 新建—>Dword值—>命名為CheckedValue,然后修改它的鍵值為1,這樣就可以選擇“顯示所有隱藏文件”和“顯示系統文件”。
在文件夾—>工具—>文件夾選項中將系統文件和隱藏文件設置為顯示
三、刪除病毒
在分區盤上單擊鼠標右鍵—>打開,看到每個盤跟目錄下有 autorun.inf 和 sxs.exe 兩個文件,將其刪除。
四、刪除病毒的自動運行項
打開注冊表 運行—>regedit
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Run
下找到 SoundMam 鍵值,可能有兩個,刪除其中的鍵值為 C:\WINDOWS\system32\svohost.exe 的
最后到 C:\WINDOWS\system32\ 目錄下刪除 svohost.exe 或 sxs.exe
重啟電腦后,發現殺毒軟件可以打開,分區盤雙擊可以打開了。
五、后續
殺毒軟件實時監控可以打開,但開機無法自動運行
最簡單的辦法,執行殺毒軟件的添加刪除組件—>修復,即可
::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
::停止正在運行的SXS.EXE和SVOHOST.EXE進程
::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
TASKKILL /F /T /IM SXS.EXE
TASKKILL /F /T /IM SVOHOST.EXE
::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
::刪除系統目錄下的SXS.EXE、SVOHOST.EXE和WINSCOK.DLL文件
::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
ATTRIB -R -H -S -A %SystemRoot%\System32\SXS.EXE
ATTRIB -R -H -S -A %SystemRoot%\System32\SVOHOST.EXE
ATTRIB -R -H -S -A %SystemRoot%\System32\WINSCOK.DLL
DEL /F /Q /A -R -H -S -A %SystemRoot%\System32\SXS.EXE
DEL /F /Q /A -R -H -S -A %SystemRoot%\System32\SVOHOST.EXE
DEL /F /Q /A -R -H -S -A %SystemRoot%\System32\WINSCOK.DLL
ATTRIB -R -H -S -A %SystemRoot%\SXS.EXE
ATTRIB -R -H -S -A %SystemRoot%\SVOHOST.EXE
ATTRIB -R -H -S -A %SystemRoot%\WINSCOK.DLL
DEL /F /Q /A -R -H -S -A %SystemRoot%\SXS.EXE
DEL /F /Q /A -R -H -S -A %SystemRoot%\SVOHOST.EXE
DEL /F /Q /A -R -H -S -A %SystemRoot%\WINSCOK.DLL
ATTRIB -R -H -S -A %SystemRoot%\System\SXS.EXE
ATTRIB -R -H -S -A %SystemRoot%\System\SVOHOST.EXE
ATTRIB -R -H -S -A %SystemRoot%\System\WINSCOK.DLL
DEL /F /Q /A -R -H -S -A %SystemRoot%\System\SXS.EXE
DEL /F /Q /A -R -H -S -A %SystemRoot%\System\SVOHOST.EXE
DEL /F /Q /A -R -H -S -A %SystemRoot%\System\WINSCOK.DLL
ATTRIB -R -H -S -A %SystemRoot%\System32\dllcache\SXS.EXE
ATTRIB -R -H -S -A %SystemRoot%\System32\dllcache\SVOHOST.EXE
ATTRIB -R -H -S -A %SystemRoot%\System32\dllcache\WINSCOK.DLL
DEL /F /Q /A -R -H -S -A %SystemRoot%\System32\dllcache\SXS.EXE
DEL /F /Q /A -R -H -S -A %SystemRoot%\System32\dllcache\SVOHOST.EXE
DEL /F /Q /A -R -H -S -A %SystemRoot%\System32\dllcache\WINSCOK.DLL
::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
::刪除每個分區下的SXS.EXE和AUTORUN.INF文件
::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
FOR %%a IN ( C: D: E: F: G: H: I: J: K: L: M: N: O: P: Q: R: S: T: U: V: W: X: Y: Z: ) DO ATTRIB -R -H -S -A %%a\SXS.EXE & DEL /F /Q /A -R -H -S -A %%a\SXS.EXE & ATTRIB -R -H -S -A %%a\AUTORUN.INF & DEL /F /Q /A -R -H -S -A %%a\AUTORUN.INF
::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
::刪除注冊表中自啟動項
::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
ECHO Windows Registry Editor Version 5.00>SoundMam.reg
ECHO [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SoundMam]>>SoundMam.reg
ECHO [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]>>SoundMam.reg
ECHO "SoundMam"=->>SoundMam.reg
REGEDIT /S SoundMam.reg
DEL /F /Q SoundMam.reg
::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
::恢復注冊表中不給設置顯示隱藏文件的項目
::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
ECHO Windows Registry Editor Version 5.00>SHOWALL.reg
ECHO [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]>>SHOWALL.reg
ECHO "CheckedValue"=->>SHOWALL.reg
ECHO [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]>>SHOWALL.reg
ECHO "CheckedValue"=dword:00000001>>SHOWALL.reg
REGEDIT /S SHOWALL.reg
DEL /F /Q SHOWALL.reg
posted on 2006-09-15 16:03
NeedJava 閱讀(1113)
評論(0) 編輯 收藏