经过笔者一番检查,发现原来是系统受到【dào】了一种名为“Sxs.exe”病毒的攻击,该病毒全【quán】名叫Trojan.PSW.QQPass.pqb病毒,一般利用网站途径进行非法传播,被其病毒所感染的文件,都【dōu】会自动隐藏起来。而通过选择“文件夹”对话框里的“显【xiǎn】示所有文件和文件夹【jiá】”选项,是无法帮您显示出被病【bìng】毒所感染的隐藏文件,要将其文【wén】件现身唯一办法,就【jiù】是【shì】清除“Sxs.exe”病毒。
如【rú】果你硬盘每个分区都仔细浏览过,将不难从中发现里面都会【huì】含【hán】有“sxs.exe”文【wén】件和“autorun.inf”文件,这两个可疑文件就是病毒加载【zǎi】到系统【tǒng】内的服【fú】务端。在正【zhèng】常情况下,无法直接删除,这里须在键盘【pán】上【shàng】同时【shí】按住Ctrl+Alt+Del组合键,在弹出的“Windows任务管理器”窗【chuāng】口【kǒu】里,将上方默认选择“应用程序”标【biāo】签,切换至“进程”标签处。然后从编辑区里,找到并且选中名称为“svohost.exe”或“sxs.exe”的【de】进程标签,单击“结束进程”按钮后,此时的病毒就会停止运行。
接下来打开“注册表【biǎo】”编辑器,将其组件依次【cì】展开到“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
Folder\Hidden\SHOWALL”子项(如图1)。然后在右侧编辑区里,检查一下“CheckedValue”键值,是否类型与以前有所改动,或【huò】者根本就不存在“CheckedValue”键值。如果是以上两种情况的其中一种,那么你就需要在编辑区,将被改动的该键值删除,或者没【méi】有就可省了【le】删除的步【bù】骤。然后【hòu】单击“右键”按钮,选择“新建”→“Dword值”选项,将其【qí】名称设【shè】置为“CheckedValue”双字节值,紧接着再双击【jī】该【gāi】名称,会弹出“编辑Dword值”的对话框,将里面“数值数据”文本处的数字更改为“1”(如图2),单【dān】击“确定”按钮后,重新启动计算【suàn】机,使设置生效。
当然这里我们也不排除该病毒会“卷土重来”,为了防止“历史”的再【zài】次重演,进入C盘系统区根目录,将里面“sxs.exe”和“svohost.exe”文件直接删除掉。而后再次打开“注册【cè】表”编辑器,依次【cì】展开组件到“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”子项下,然后在从右侧编辑区内,将其“SoundMam”键值删除掉,即可关闭其“注册表”编辑器。
最后进入C:\Windows\system32系【xì】统目录下,把“sxs.exe”文件和“svohost.exe”文件删除,这样所残留下来的“Sxs.exe”病毒余孽,即可【kě】也会【huì】被我们“驱逐处境”了。这回再选中【zhōng】“文件【jiàn】夹”对话框里的“显示所有文件和文件夹”选项,所丢失的隐藏文件,就【jiù】会被恢复并【bìng】且显示我们【men】的面前。当【dāng】然下载使用瑞星公【gōng】司,刚刚推出的“橙色八月专用提取清【qīng】除”工具,也可轻松赶走“Sxs.exe”病毒,两者得到的结果相同。