不管是在“文件夾選項”,還是在注冊表中,修改之後都無法找到隱藏的文件。打開“任務管理器”檢查一下有沒有sxs.exe或者svohost.exe。
該進程會導致:
1、系統、隱藏文件無法顯示。
2、雙擊盤符無反映,如果沒有被清除的話,則雙擊盤符就又執行惡意程序一次。
3、“任務管理器”中有sxs.exe或者svohost.exe(冒充系統進程svchost.exe)進程。
4、殺毒軟件實時監控自動關閉並無法打開。
手工清除惡意程序,顯示隱藏文件
注意:在清除過程的所有文件操作中,打開盤符都應右擊盤符選擇“打開”,避免惡意程序再次執行。
第一步:關閉惡意程序進程。使用“Ctrl+Alt+Del”打開“任務管理器”,在進程列表中查找“sxs.exe”或“SVOHOST.exe”,如果有就強制結束進程。
第二步:顯示隱藏的系統文件。運行regedit.exe打開“注冊表編輯器”,展開分支 [HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionexplorerAdvancedFolderHiddenSHOWALL],在右側窗格中將CheckedValue鍵值修改為“1”。注意此處正確的CheckedValue鍵值應該是“DWORD值”,惡意程序有可能將它刪除並新建一個無效的“字符串值”的CheckedValue,因此直接修改鍵值不一定有效,還要檢查鍵值類型是否正確。
第三步:恢復鍵值類型。刪除假冒的CheckedValue鍵值,在右側窗格空白處右擊,選擇“新建→DWORD值”,並將它命名為CheckedValue,鍵值修改為“1”。重啟之後,就可以在文件夾選項中選擇“顯示所有隱藏文件”和“顯示系統文件”了。
第四步:清除惡意程序。右擊盤符打開各個盤符的根目錄,將各根目錄下的“autorun.inf”和“sxs.exe”文件刪除。然後再次打開“注冊表編輯器”,展開[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun],在右側窗格中找到“SoundMam”鍵值,確認其鍵值為“C:Windowssystem32SVOHOST.exe”後刪除此鍵值。最後到 “C:Windowssystem32”目錄下刪除SVOHOST.exe或sxs.exe。重啟後,雖然殺毒軟件可以正常打開了,但是自動運行可能會有問題,建議用“添加刪除程序”中的修復項恢復一下殺毒軟件的組件