此文章主要向大家講述的是Sxs.exe病毒的正確處理方法，還是沒有用，隱藏文件還是顯示不了，仔細(xì)觀察發(fā)現(xiàn)病毒它有更高一級的手段：它在修改注冊表達(dá)到隱藏文件目的之后，為了穩(wěn)妥起見，把本來有效的DWORD值CheckedValue刪除掉。

新建了一個無效的字符串值CheckedValue，并且把鍵值改為0(如圖)!這樣你以為把0改為1就會萬事大吉，可是故障依舊如此!也就難怪出現(xiàn)以上的現(xiàn)象了。

針對癥狀，我先上網(wǎng)找了相關(guān)的資料，首先，要顯示隱藏文件

在這個：HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\

Advanced\Folder\Hidden\SHOWALL，將CheckedValue鍵值修改為1

還是沒有用，隱藏文件還是沒有顯示，仔細(xì)觀察發(fā)現(xiàn)病毒它有更狠的招數(shù)：它在修改注冊表達(dá)到隱藏文件目的之后，為了穩(wěn)妥起見，把本來有效的DWORD值CheckedValue刪除掉，新建了一個無效的字符串值CheckedValue，并且把鍵值改為0(如圖)!這樣你以為把0改為1就會萬事大吉，可是故障依舊如此!也就難怪出現(xiàn)以上的現(xiàn)象了。

正確的方法是：先檢查CheckedValue的類型是否為REG_DWORD，如果不是則刪掉“李鬼”CheckedValue(例如在本“案例”中，應(yīng)該把類型為REG_SZ的CheckedValue刪除)。然后單擊右鍵“新建”--〉“Dword值”，并命名為CheckedValue，然后修改它的鍵值為1，這樣就可以選擇“顯示所有隱藏文件”。

經(jīng)過剛才一番操作，我的電腦里的隱藏文件可以看到了，假如上述方法無效，那么可能是 HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden的數(shù)據(jù)丟失或損壞，遇到這種情況，請?jiān)赪indows XP安裝光盤中找到Hidden.reg，雙擊它，然后單擊“確定”按鈕，將該完整的注冊表數(shù)據(jù)添加到當(dāng)前系統(tǒng)的注冊表中即可。(備注：可是我手頭上的XP安裝光盤找來找去都沒有這個東西，假如你不幸遇到這種情況，可以嘗試使用這種方法：找一部沒有問題的電腦，把

HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden這個分支導(dǎo)出(假如命名為1.reg);然后備份有問題的電腦的該注冊表分支;最后把1.reg導(dǎo)入看能否解決問題。我沒試過所以不知道會不會出現(xiàn)什么意外，祝各位好運(yùn)!假如某人能夠在XP安裝光盤里找到這個東西，請把文件里面的內(nèi)容復(fù)制到評論里面，并且注明該XP安裝光盤有沒有打過SP1或者是SP2，謝謝!)

我看到在我的D：E：F：這些盤中(除了c盤)都出現(xiàn)了autorun.inf和sxs.exe兩個文件，刪除又再生.而且U盤插進(jìn)去也出現(xiàn)這兩個文件。此時殺毒軟件一直是無法啟動，我把金山的換成江民的，還是沒用，看來是病毒限制了殺毒軟件的運(yùn)行，所以首先要把病毒的自動運(yùn)行關(guān)掉，我也找了網(wǎng)上的資料，不過我試了，沒有用，找不到rous.exe,我提供給你們，自己去試一下看看!

你這是修改過的ROSE病毒

可以結(jié)束SXS的進(jìn)程刪除，記住，用鼠標(biāo)右鍵進(jìn)入硬盤

同時按下Ctrl+Shift+Esc三個鍵 打開windows任務(wù)管理器

選擇里面的“進(jìn)程”標(biāo)簽

在“映像名稱”下查找“sxs.exe病毒” 但擊它 再選擇“結(jié)束進(jìn)程”

一定要結(jié)束所有的“sxs.exe”進(jìn)程

打開我的電腦 單擊 工具菜單下的“文件夾選項(xiàng)”

單擊“查看”標(biāo)簽 把“高級設(shè)置”中的

“隱藏受保護(hù)的操作系統(tǒng)文件(推薦)”前面的勾取消

并選擇下面的“顯示所有文件和文件夾”選項(xiàng)

單擊“確定”

用鼠標(biāo)右鍵點(diǎn)C盤(不能雙擊!) 選擇 “打開”

刪除C盤下的 “autorun.inf”文件 和“sxs.exe”文件

用鼠標(biāo)右鍵點(diǎn)D盤 選擇 “打開”

刪除D盤下的 “autorun.inf”文件 和“sxs.exe”文件(另外有個文件也是，是個.exe 同樣刪了它)

……

以此類推 刪除所有盤上的 AUTORUN.INF文件 和“rose.exe”文件

單擊開始 選擇“運(yùn)行” 輸入 "regedit"(沒有引號) ，回車

依次展開注冊表編輯器左邊的 我的電腦>HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Run

刪除Run項(xiàng)中的 ROSE (c:\windows\system32\SXS.exe)這個項(xiàng)目

關(guān)閉注冊表編輯器

然后重新啟動計(jì)算機(jī)

刪除硬盤上是ROSE：

按下shift鍵不放 插入U盤 直到電腦提示“新硬件可以使用”

打開我的電腦

這時在U盤的圖標(biāo)上點(diǎn)鼠標(biāo)右鍵 選擇“打開” (不要點(diǎn)自動播放或者是雙擊!)

刪除 SXS.exe病毒和autorun.inf文件 病毒就沒有了

上面我說了這個方法對我沒有用!sxs.exe沒有專殺,現(xiàn)在只能通過注冊表殺毒

打開注冊表“regedit”,找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

有些網(wǎng)友說刪除Run項(xiàng)中的 ROSE (c:\windows\system32\SXS.exe)這個項(xiàng)目

我找了一下沒找到這個Run項(xiàng)目，但是我看了一下在Run里面有兩個"SoundMam"，而且后面給的數(shù)值不一樣，一個給的是“C:\\WINDOWS\\system32\\SVOHOST.exe”另一個是“SOUNDMAN.EXE”我想大家也發(fā)現(xiàn)了，肯定有問題，我看了一下，只有后面一個是正確的，前一個是豪杰超級解霸的“自動播放伺服器”的程序，看來病毒是加到這個里面了，借助自動播放到處傳播!(這是我認(rèn)為的，不知道對不對)于是就刪除了這個項(xiàng)，退出注冊表，打開殺毒軟件，可以使用了，只是在一般殺毒時，還是找不到sxs.exe病毒的，我用的是江民的，他有未知病毒掃描，在那里里面可以發(fā)現(xiàn)的，他是一種“硬盤蠕蟲病毒”，刪掉就行了，本來我是想截屏給大家看看的，可惜我重啟了，沒復(fù)制下來，哪位朋友補(bǔ)充一下在下面!感謝!

那還剩下autorun.inf，直接到各個硬盤刪就可以了，再清空回收站就可以了，其他的都正常了，可能還有些網(wǎng)友系統(tǒng)可能出現(xiàn)些問題，如豪杰超級解霸的“自動播放伺服器”不能使用了，我的建議是：不要用了，就是他壞的事!要是你非要用就重新裝吧!最后重新啟動，可以了!

原文出自【比特網(wǎng)】，轉(zhuǎn)載請保留原文鏈接：http://sec.chinabyte.com/172/8867172.shtml