最近很猖狂的Sxs.exe病毒之我的處理方法

針對以上症狀，我先上網找了相關的資料，首先，要顯示隱藏文件

在這個：HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\

Advanced\Folder\Hidden\SHOWALL，將CheckedValue鍵值修改為1

還是沒有用，隱藏文件還是沒有顯示，仔細觀察發現病毒它有更狠的招數：它在修改注冊表達到隱藏文件目的之後，為了穩妥起見，把本來有效的DWORD值CheckedValue刪除掉，新建了一個無效的字符串值CheckedValue，並且把鍵值改為0！這樣你以為把0改為1就會萬事大吉，可是故障依舊如此！也就難怪出現以上的現象了。

正確的方法是：先檢查CheckedValue的類型是否為REG_DWORD，如果不是則刪掉“李鬼”CheckedValue（例如在本“案例”中，應該把類型為REG_SZ的CheckedValue刪除）。然後單擊右鍵“新建”——〉“Dword值”，51自學網，並命名為CheckedValue，然後修改它的鍵值為1，這樣就可以選擇“顯示所有隱藏文件”。

經過剛才一番操作，我的電腦裡的隱藏文件可以看到了，假如上述方法無效，那麼可能是 HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden的數據丟失或損壞，遇到這種情況，請在Windows XP安裝光盤中找到Hidden.reg，雙擊它，然後單擊“確定”按鈕，將該完整的注冊表數據添加到當前系統的注冊表中即可。（備注：可是我手頭上的XP安裝光盤找來找去都沒有這個東西，假如你不幸遇到這種情況，可以嘗試使用這種方法：找一部沒有問題的電腦，把

HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden這個分支導出（假如命名為1.reg）；然後備份有問題的電腦的該注冊表分支；最後把1.reg導入看能否解決問題。我沒試過所以不知道會不會出現什麼意外，祝各位好運！假如某人能夠在XP安裝光盤裡找到這個東西，請把文件裡面的內容復制到評論裡面，並且注明該XP安裝光盤有沒有打過SP1或者是SP2，謝謝！）

我看到在我的D：E：F：這些盤中（除了c盤）都出現了autorun.inf和sxs.exe兩個文件，刪除又再生。而且U盤插進去也出現這兩個文件。此時殺毒軟件一直是無法啟動，我把金山的換成江民的，還是沒用，看來是病毒限制了殺毒軟件的運行，所以首先要把病毒的自動運行關掉，我也找了網上的資料，不過我試了，沒有用，找不到rous.exe，我提供給你們，自己去試一下看看！

你這是修改過的ROSE病毒可以結束SXS的進程刪除，記住，用鼠標右鍵進入硬盤同時按下Ctrl Shift Esc三個鍵 打開windows任務管理器選擇裡面的“進程”標簽在“映像名稱”下查找“sxs.exe” 但擊它 再選擇“結束進程”

一定要結束所有的“sxs.exe”進程打開我的電腦 單擊 工具菜單下的“文件夾選項”

單擊“查看”標簽 把“高級設置”中的“隱藏受保護的操作系統文件（推薦）”前面的勾取消並選擇下面的“顯示所有文件和文件夾”選項單擊“確定”

用鼠標右鍵點C盤（不能雙擊！） 選擇 “打開”

刪除C盤下的 “autorun.inf”文件 和“sxs.exe”文件用鼠標右鍵點D盤 選擇 “打開”

刪除D盤下的 “autorun.inf”文件 和“sxs.exe”文件（另外有個文件也是，是個。exe 同樣刪了它）

……

以此類推 刪除所有盤上的 AUTORUN.INF文件 和“rose.exe”文件單擊開始 選擇“運行” 輸入 "regedit"（沒有引號） ，回車依次展開注冊表編輯器左邊的 我的電腦>HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Run刪除Run項中的 ROSE （c：\windows\system32\SXS.exe）這個項目關閉注冊表編輯器然後重新啟動計算機刪除硬盤上是ROSE：按下shift鍵不放 插入U盤 直到電腦提示“新硬件可以使用”

打開我的電腦這時在U盤的圖標上點鼠標右鍵 選擇“打開” （不要點自動播放或者是雙擊！）

刪除 SXS.exe和autorun.inf文件 病毒就沒有了

上面我說了這個方法對我沒有用！sxs.exe沒有專殺，現在只能通過注冊表殺毒

打開注冊表“regedit”，找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

有些網友說刪除Run項中的 ROSE （c：\windows\system32\SXS.exe）這個項目

我找了一下沒找到這個Run項目，但是我看了一下在Run裡面有兩個"SoundMam"，而且後面給的數值不一樣，一個給的是“C：\\WINDOWS\\system32\\SVOHOST.exe”另一個是“SOUNDMAN.EXE”我想大家也發現了，肯定有問題，我看了一下，只有後面一個是正確的，前一個是豪傑超級解霸的“自動播放伺服器”的程序，看來病毒是加到這個裡面了，借助自動播放到處傳播！（這是我認為的，不知道對不對）於是就刪除了這個項，退出注冊表，打開殺毒軟件，可以使用了，只是在一般殺毒時，還是找不到sxs.exe的，我用的是江民的，他有未知病毒掃描，在那裡裡面可以發現的，他是一種“硬盤蠕蟲病毒”，刪掉就行了，本來我是想截屏給大家看看的，可惜我重啟了，沒復制下來，哪位朋友補充一下在下面！感謝！

那還剩下autorun.inf，直接到各個硬盤刪就可以了，再清空回收站就可以了，其他的都正常了，可能還有些網友系統可能出現些問題，如豪傑超級解霸的“自動播放伺服器”不能使用了，我的建議是：不要用了，就是他壞的事！要是你非要用就重新裝吧！最後重新啟動，可以了！