删除“sxs.exe病毒”方法
[size=2]sxs.exe是什么病毒?瑞星称为 Trojan.PSW.QQPass.pqb 病毒,sxs.exe 特点是可以通过可移动磁盘传播,主要危害是盗取QQ帐户和密码,并且会终止大量反病毒软件的进程,降低系统的安全等级,现在我发现有很多的电脑上每个磁盘都中了,重装系统也没有用,此毒危害性很大,该怎么办啊?这是修改过的ROSE病毒,可以结束SXS的进程删除。记住,用鼠标右键进入硬盘,同时按下Ctrl+Shift+Del三个键打开windows任务管理器,选择里面的“进程”标签,在“映像名称”下查找“sxs.exe” 但击它 再选择“结束进程”,一定要结束所有的“sxs.exe”进程。
打开我的电脑,单击工具菜单下的“文件夹选项”单击“查看”标签把“高级设置”中的“隐藏受保护的操作系统文件(推荐)”前面的勾取消,并选择下面的“显示所有文件和文件夹”选项,单击“确定”。
用鼠标右键点C盘(不能双击!)选择 “打开”,删除C盘下的 “autorun.inf”文件 和“sxs.exe”文件,用鼠标右键点D盘选择“打开”,删除D盘下的“autorun.inf”文件和“sxs.exe”文件(另外有个文件也是,是个.exe 同样删了它)。
……
以此类推,删除所有盘上的 AUTORUN.INF文件和“rose.exe”文件。
单击“开始”,选择“运行” 输入 "regedit"(没有引号) ,依次展开注册表编辑器左边的“我的电脑”>HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Run 删除Run项中的 ROSE (c:\windows\system32\SXS.exe)这个项目。
关闭注册表编辑器,然后重新启动计算机。
删除移动硬盘或U盘上的ROSE:
按下shift键不放,插入U盘 直到电脑提示“新硬件可以使用”,打开我的电脑,这时在U盘的图标上点鼠标右键,选择“打开”(不要点自动播放或者是双击!),删除 SXS.exe和autorun.inf文件 病毒就没有了。
有史以来第一次遭遇如此顽固的病毒,网上找了找,没有统一的名字,瑞星称为 Trojan.PSW.QQPass.pqb 病毒,我就叫它 sxs.exe病毒吧。重装系统后,双击分区盘又中了,郁闷,瑞星无法安装,安装好的瑞星自动关闭无法打开,系统自带的防火墙也不能启动与关闭,决定手动将其删除。
现象:系统文件隐藏无法显示,双击盘符无反映,任务管理器发现 sxs.exe 或者 svohost.exe (与系统进程 svchost.exe 一字之差),杀毒软件实时监控自动关闭并无法打开。找了网上许多方法,无法有效删除,并且没有专杀工具。
手动删除“sxs.exe病毒”方法:
在以下整个过程中不得双击分区盘,需要打开时用鼠标右键——打开
一、关闭病毒进程
Ctrl + Alt + Del 任务管理器,在进程中查找 sxs 或 SVOHOST(不是SVCHOST,相差一个字母),有的话就将它结束掉 。
二、显示出被隐藏的系统文件
运行——regedit
HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL,将CheckedValue键值修改为1。
这里要注意,病毒会把本来有效的DWORD值CheckedValue删除掉,新建了一个无效的字符串值CheckedValue,并且把键值改为0!我们将这个改为1是毫无作用的。(有部分病毒变种会直接把这个CheckedValue给删掉,只需和下面一样,自己再重新建一个就可以了)。
方法:删除此CheckedValue键值,单击右键 新建——Dword值——命名为CheckedValue,然后修改它的键值为1,这样就可以选择“显示所有隐藏文件”和“显示系统文件”。
在文件夹——工具——文件夹选项中将系统文件和隐藏文件设置为显示
三、删除病毒
在分区盘上单击鼠标右键——打开,看到每个盘跟目录下有 autorun.inf 和 sxs.exe 两个文件,将其删除。
四、删除病毒的自动运行项
打开注册表 运行——regedit
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Run 下找到 SoundMam 键值,可能有两个,删除其中的键值为 C:\\WINDOWS\system32\SVOHOST.exe 的。最后到 C:\\WINDOWS\system32\ 目录下删除 SVOHOST.exe 或 sxs.exe 。重启电脑后,发现杀毒软件可以打开,分区盘双击可以打开了。
五、后续
杀毒软件实时监控可以打开,但开机无法自动运行
最简单的办法,执行杀毒软件的添加删除组件——修复,即可。
另外已用GHOST备份系统盘的,那就简单了只需恢复系统盘,打开“我的电脑”文件夹选项里显示隐藏文件显示系统保护的文件,然后如上所说,将其他盘根目录的INI文件和EXE文件删除就可以了。有的软件点击不开,那是已经破坏了软件执行程序,执行软件的添加删除组件——修复,即可。
橙色八月专用提取清除工具[/size][url=http://it.rising.com.cn/Channels/Service/2006-08/1154786729d36873.shtml][size=2][color=#0000ff]http://it.rising.com.cn/Channels/Service/2006-08/1154786729d36873.shtml[/color][/size][/url]
[size=2]补充见清除猖狂的Sxs.exe病毒 (补充)
Autorun.inf文件见当心U盘病毒和Autorun.inf文件分析
病毒锁了注册表
SVCHOST.exe进程之谜
或者中了logo1_exe,的幕后隐藏源病毒卡巴斯基‘称为’Backboor.Win32.Bifrose.kt‘’此病毒为隐藏性内存病毒,特征相近。详解电击’Backboor.Win32.Bifrose.kt‘
现在360安全卫士,卡巴斯基实时监控,看进程,可以查杀[/size][url=http://www.360safe.com/history.html][size=2][color=#0000ff]http://www.360safe.com/history.html[/color][/size][/url]
[url=http://mopery.hits.io/killsxs.zip][size=2][color=#0000ff]http://mopery.hits.io/killsxs.zip[/color][/size][/url]
[size=2]U盘病毒检测清除工具软件查杀常见的Worm.UsbSpy.a和AdobeR.exe及SXS.EXE病毒。[/size] [:05:] 谢谢鼓励[:13:] 谢谢楼主,为什么有这么多病毒啊 谢谢楼主 谢谢LZ了,虽然方法已经知道,但是LZ说的很详细,很多细节都知道了~~[:18:] [:18:]
批处理
:::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::停止正在运行的SXS.EXE和SVOHOST.EXE进程
::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
TASKKILL /F /T /IM SXS.EXE
TASKKILL /F /T /IM SVOHOST.EXE
::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
::删除系统目录下的SXS.EXE、SVOHOST.EXE和WINSCOK.DLL文件
::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
ATTRIB -R -H -S -A %SystemRoot%\System32\SXS.EXE
ATTRIB -R -H -S -A %SystemRoot%\System32\SVOHOST.EXE
ATTRIB -R -H -S -A %SystemRoot%\System32\WINSCOK.DLL
DEL /F /Q /A -R -H -S -A %SystemRoot%\System32\SXS.EXE
DEL /F /Q /A -R -H -S -A %SystemRoot%\System32\SVOHOST.EXE
DEL /F /Q /A -R -H -S -A %SystemRoot%\System32\WINSCOK.DLL
ATTRIB -R -H -S -A %SystemRoot%\SXS.EXE
ATTRIB -R -H -S -A %SystemRoot%\SVOHOST.EXE
ATTRIB -R -H -S -A %SystemRoot%\WINSCOK.DLL
DEL /F /Q /A -R -H -S -A %SystemRoot%\SXS.EXE
DEL /F /Q /A -R -H -S -A %SystemRoot%\SVOHOST.EXE
DEL /F /Q /A -R -H -S -A %SystemRoot%\WINSCOK.DLL
ATTRIB -R -H -S -A %SystemRoot%\System\SXS.EXE
ATTRIB -R -H -S -A %SystemRoot%\System\SVOHOST.EXE
ATTRIB -R -H -S -A %SystemRoot%\System\WINSCOK.DLL
DEL /F /Q /A -R -H -S -A %SystemRoot%\System\SXS.EXE
DEL /F /Q /A -R -H -S -A %SystemRoot%\System\SVOHOST.EXE
DEL /F /Q /A -R -H -S -A %SystemRoot%\System\WINSCOK.DLL
ATTRIB -R -H -S -A %SystemRoot%\System32\dllcache\SXS.EXE
ATTRIB -R -H -S -A %SystemRoot%\System32\dllcache\SVOHOST.EXE
ATTRIB -R -H -S -A %SystemRoot%\System32\dllcache\WINSCOK.DLL
DEL /F /Q /A -R -H -S -A %SystemRoot%\System32\dllcache\SXS.EXE
DEL /F /Q /A -R -H -S -A %SystemRoot%\System32\dllcache\SVOHOST.EXE
DEL /F /Q /A -R -H -S -A %SystemRoot%\System32\dllcache\WINSCOK.DLL
::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
::删除每个分区下的SXS.EXE和AUTORUN.INF文件
::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
FOR %%a IN ( C: D: E: F: G: H: I: J: K: L: M: N: O: P: Q: R: S: T: U: V: W: X: Y: Z: ) DO ATTRIB -R -H -S -A %%a\SXS.EXE & DEL /F /Q /A -R -H -S -A %%a\SXS.EXE & ATTRIB -R -H -S -A %%a\AUTORUN.INF & DEL /F /Q /A -R -H -S -A %%a\AUTORUN.INF
::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
::删除注册表中自启动项
::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
ECHO Windows Registry Editor Version 5.00>SoundMam.reg
ECHO [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SoundMam]>>SoundMam.reg
ECHO [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]>>SoundMam.reg
ECHO "SoundMam"=->>SoundMam.reg
REGEDIT /S SoundMam.reg
DEL /F /Q SoundMam.reg
::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
::恢复注册表中不给设置显示隐藏文件的项目
::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
ECHO Windows Registry Editor Version 5.00>SHOWALL.reg
ECHO [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]>>SHOWALL.reg
ECHO "CheckedValue"=->>SHOWALL.reg
ECHO [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]>>SHOWALL.reg
ECHO "CheckedValue"=dword:00000001>>SHOWALL.reg
REGEDIT /S SHOWALL.reg
DEL /F /Q SHOWALL.reg
[[i] 本帖最后由 linuxmmx 于 2007-1-24 13:28 编辑 [/i]] 学习了 谢谢学习中啊[:07:] 谢谢分享 写得有专业水平了。好。 曾经的切身体验,现在估计想遇到很难。。。
页:
[1]