關(guān)于sxs.exe,autorun.inf病毒的清除方法

　　關(guān)鍵詞： Trojan.PSW.QQPa autorun.inf

　　參考：

　　特征：在每個盤根目錄下自動生成sxs.exe,autorun.inf文件，有的還在windowssystem32下生成SVOHOST.exe 或 sxs.exe ，文件屬性為隱含屬性。自動禁用殺毒軟件。

　　傳染途徑：主要通過U盤，移動硬盤

　　迷惑性：

　　1、按ctrl del alt查看進程，可能多出svohost進程，與系統(tǒng)自帶的svchost只差一字

　　2、注冊表修改項隱蔽更強，如何修改在下面詳細說明。

　　3、自動修改注冊表，使系統(tǒng)“顯示所有隱藏文件”功能失效，從而達到隱藏自己病毒體文件的目的。

　　清除辦法：

　　建議到安全模式下，網(wǎng)上有許多網(wǎng)友說直接搜索sms.exe文件刪除是不可以的，因為一刪除后，只要你刷新就立刻出現(xiàn)。

　　1、關(guān)閉病毒進程

　　Ctrl Alt Del 任務管理器，在進程中查找 sxs 或 SVOHOST(不是SVCHOST，相差一個字母)，有的話就將它結(jié)束掉(并不是所有的系統(tǒng)都顯示有這個進程，沒有的就略過此步)。

　　2、恢復注冊表(有的系統(tǒng)可能病毒沒有修改注冊表，檢驗辦法是，如果您的系統(tǒng)能看到隱藏文件那么這步可以省略，建議大家都看一下)

　　(刪除病毒自啟動項)打開注冊表 運行——regedit

　　HKEY_LOCAL_MACHINE>;SOFTWARE>;Microsoft>;Windows>;CurrentVersion>;Run

　　SVOHOST.exe 或 sxs.exe

　　下找到 SoundMam(注意不是soundman,只差一個字母) 鍵值，可能有兩個，刪除其中的鍵值為 C:WINDOWSsystem32SVOHOST.exe 的(顯示出被隱藏的系統(tǒng)文件)

　　HKEY_LOCAL_MACHINESoftwareMicrosoftwindowsCurrentVersionexplorerAdvancedFolderHiddenSHOWALL，將CheckedValue鍵值修改為1

　　這里要注意，病毒會把本來有效的DWord值CheckedValue刪除掉，新建了一個無效的字符串值CheckedValue,類型為REG_SZ，并且把鍵值改為0!將這個改為1是毫無作用的。CheckedValue后面的類型，正確的是“RED_DWORD”而不是“REG_SZ”(有部分病毒變種會直接把這個CheckedValue給刪掉，只需和下面一樣，自己再重新建一個就可以了)

　　方法：刪除此CheckedValue鍵值，單擊右鍵 新建——Dword值——命名為CheckedValue，然后修改它的鍵值為1，這樣就可以選擇“顯示所有隱藏文件”和“顯示系統(tǒng)文件”。在文件夾——工具——文件夾選項中將系統(tǒng)文件和隱藏文件設(shè)置為顯示

　　3、刪除病毒體文件

　　在分區(qū)盤上單擊鼠標右鍵——打開，看到每個盤跟目錄下有 autorun.inf 和 sxs.exe 兩個文件，將其刪除。

　　最徹底的刪除辦法是：單擊開始--運行--cmd 確定后在dos狀態(tài)下寫如下命令(一般系統(tǒng)盤跟目錄下可能沒有病毒體文件，但是其他盤應該都存在)