針對症狀,我先上網找了相關的資料,首先,要顯示隱藏文件
在這個:HKEY_LOCAL_MACHINESoftwareMicrosoftwindowsCurrentVersionexplorer
AdvancedFolderHiddenSHOWALL,將CheckedValue鍵值修改為1
還是沒有用,隱藏文件還是沒有顯示,仔細觀察發現病毒它有更狠的招數:它在修改注冊表達到隱藏文件目的之後,為了穩妥起見,把本來有效的DWORD值CheckedValue刪除掉,新建了一個無效的字符串值CheckedValue,並且把鍵值改為0(如圖)!這樣你以為把0改為1就會萬事大吉,可是故障依舊如此!也就難怪出現以上的現象了。
正確的方法是:先檢查CheckedValue的類型是否為REG_DWORD,如果不是則刪掉“李鬼”CheckedValue(例如在本“案例”中,應該把類型為REG_SZ的CheckedValue刪除)。然後單擊右鍵“新建”--〉“Dword值”,並命名為CheckedValue,然後修改它的鍵值為1,這樣就可以選擇“顯示所有隱藏文件”。
經過剛才一番操作,我的電腦裡的隱藏文件可以看到了,假如上述方法無效,那麼可能是 HKEY_LOCAL_MACHINESoftwareMicrosoftwindowsCurrentVersionexplorerAdvancedFolderHidden的數據丟失或損壞,遇到這種情況,請在Windows XP安裝光盤中找到Hidden.reg,雙擊它,然後單擊“確定”按鈕,將該完整的注冊表數據添加到當前系統的注冊表中即可。(備注:可是我手頭上的XP安裝光盤找來找去都沒有這個東西,假如你不幸遇到這種情況,可以嘗試使用這種方法:找一部沒有問題的電腦,把
HKEY_LOCAL_MACHINESoftwareMicrosoftwindowsCurrentVersionexplorerAdvancedFolderHidden這個分支導出(假如命名為1.reg);然後備份有問題的電腦的該注冊表分支;最後把1.reg導入看能否解決問題。我沒試過所以不知道會不會出現什麼意外,祝各位好運!假如某人能夠在XP安裝光盤裡找到這個東西,請把文件裡面的內容復制到評論裡面,並且注明該XP安裝光盤有沒有打過SP1或者是SP2,謝謝!)
我看到在我的D:E:F:這些盤中(除了c盤)都出現了autorun.inf和sxs.exe兩個文件,刪除又再生.而且U盤插進去也出現這兩個文件。此時殺毒軟件一直是無法啟動,我把金山的換成江民的,還是沒用,看來是病毒限制了殺毒軟件的運行,所以首先要把病毒的自動運行關掉,我也找了網上的資料,不過我試了,沒有用,找不到rous.exe,我提供給你們,自己去試一下看看!
你這是修改過的ROSE病毒
可以結束SXS的進程刪除,記住,用鼠標右鍵進入硬盤
同時按下Ctrl+Shift+Esc三個鍵 打開windows任務管理器
選擇裡面的“進程”標簽
在“映像名稱”下查找“sxs.exe” 但擊它 再選擇“結束進程”
一定要結束所有的“sxs.exe”進程
打開我的電腦 單擊 工具菜單下的“文件夾選項”
單擊“查看”標簽 把“高級設置”中的
“隱藏受保護的操作系統文件(推薦)”前面的勾取消
並選擇下面的“顯示所有文件和文件夾”選項
單擊“確定”
用鼠標右鍵點C盤(不能雙擊!) 選擇 “打開”
刪除C盤下的 “autorun.inf”文件 和“sxs.exe”文件
用鼠標右鍵點D盤 選擇 “打開”
刪除D盤下的 “autorun.inf”文件 和“sxs.exe”文件(另外有個文件也是,是個.exe 同樣刪了它)
……
以此類推 刪除所有盤上的 AUTORUN.INF文件 和“rose.exe”文件
單擊開始 選擇“運行” 輸入 "regedit"(沒有引號) ,回車
依次展開注冊表編輯器左邊的 我的電腦>HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Run
刪除Run項中的 ROSE (c:windowssystem32SXS.exe)這個項目
關閉注冊表編輯器
然後重新啟動計算機
刪除硬盤上是ROSE:
按下shift鍵不放 插入U盤 直到電腦提示“新硬件可以使用”
打開我的電腦
這時在U盤的圖標上點鼠標右鍵 選擇“打開” (不要點自動播放或者是雙擊!)
刪除 SXS.exe和autorun.inf文件 病毒就沒有了
上面我說了這個方法對我沒有用!sxs.exe沒有專殺,現在只能通過注冊表殺毒
打開注冊表“regedit”,找到HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
有些網友說刪除Run項中的 ROSE (c:windowssystem32SXS.exe)這個項目
我找了一下沒找到這個Run項目,但是我看了一下在Run裡面有兩個"SoundMam",而且後面給的數值不一樣,一個給的是“C:WINDOWSsystem32SVOHOST.exe”另一個是“SOUNDMAN.EXE”我想大家也發現了,肯定有問題,我看了一下,只有後面一個是正確的,前一個是豪傑超級解霸的“自動播放伺服器”的程序,看來病毒是加到這個裡面了,借助自動播放到處傳播!(這是我認為的,不知道對不對)於是就刪除了這個項,退出注冊表,打開殺毒軟件,可以使用了,只是在一般殺毒時,還是找不到sxs.exe的,我用的是江民的,他有未知病毒掃描,在那裡裡面可以發現的,他是一種“硬盤蠕蟲病毒”,刪掉就行了,本來我是想截屏給大家看看的,可惜我重啟了,沒復制下來,哪位朋友補充一下在下面!感謝!
那還剩下autorun.inf,直接到各個硬盤刪就可以了,再清空回收站就可以了,其他的都正常了,可能還有些網友系統可能出現些問題,如豪傑超級解霸的“自動播放伺服器”不能使用了,我的建議是:不要用了,就是他壞的事!要是你非要用就重新裝吧!最後重新啟動,可以了!