Sxs.exe病毒

首先，要顯示隱藏檔案

在這個：HKEY_LOCAL_MACHINESoftwareMicrosoftwindowsCurrentVersionexplorer

AdvancedFolderHiddenSHOWALL，將CheckedValue鍵值修改為1

還是沒有用，隱藏檔案還是沒有顯示，仔細觀察發現病毒它有更狠的招數：它在修改註冊表達到隱藏檔案目的之後，為了穩妥起見，把本來有效的DWORD值CheckedValue刪除掉，新建了一個無效的字元串值CheckedValue，並且把鍵值改為0（如圖）！這樣你以為把0改為1就會萬事大吉，可是故障依舊如此！也就難怪出現以上的現象了。

正確的方法是：先檢查CheckedValue的類型是否為REG_DWORD，如果不是則刪掉“李鬼”CheckedValue（例如在本“案例”中，應該把類型為REG_SZ的CheckedValue刪除）。然後單擊右鍵“新建”--〉“Dword值”，並命名為CheckedValue，然後修改它的鍵值為1，這樣就可以選擇“顯示所有隱藏檔案”。

經過剛才一番操作，我的電腦里的隱藏檔案可以看到了，假如上述方法無效，那么可能是 HKEY_LOCAL_MACHINESoftwareMicrosoftwindowsCurrentVersionexplorerAdvancedFolderHidden的數據丟失或損壞，遇到這種情況，請在Windows XP安裝光碟中找到Hidden.reg，雙擊它，然後單擊“確定”按鈕，將該完整的註冊表數據添加到當前系統的註冊表中即可。（備註：可是我手頭上的XP安裝光碟找來找去都沒有這個東西，假如你不幸遇到這種情況，可以嘗試使用這種方法：找一部沒有問題的電腦，把

HKEY_LOCAL_MACHINESoftwareMicrosoftwindowsCurrentVersionexplorerAdvancedFolderHidden這個分支導出（假如命名為1.reg）；然後備份有問題的電腦的該註冊表分支；最後把1.reg導入看能否解決問題。我沒試過所以不知道會不會出現什麼意外，祝各位好運！假如某人能夠在XP安裝光碟里找到這個東西，請把檔案裡面的內容複製到評論裡面，並且註明該XP安裝光碟有沒有打過SP1或者是SP2，謝謝！）

我看到在我的D:E:F：這些盤中（除了c盤）都出現了autorun.inf和sxs.exe兩個檔案，刪除又再生.而且隨身碟插進去也出現這兩個檔案。此時防毒軟體一直是無法啟動，我把金山的換成江民的，還是沒用，看來是病毒限制了防毒軟體的運行，所以首先要把病毒的自動運行關掉，我也找了網上的資料，不過我試了，沒有用，找不到rous.exe，我提供給你們，自己去試一下看看！

你這是修改過的ROSE病毒

可以結束SXS的進程刪除，記住，用滑鼠右鍵進入硬碟

同時按下Ctrl+Shift+Esc三個鍵 打開windows任務管理器

選擇裡面的“進程”標籤

在“映像名稱”下查找“sxs.exe” 但擊它 再選擇“結束進程”

一定要結束所有的“sxs.exe”進程

打開我的電腦 單擊 工具選單下的“資料夾選項”

單擊“查看”標籤 把“高級設定”中的

“隱藏受保護的作業系統檔案（推薦）”前面的勾取消

並選擇下面的“顯示所有檔案和資料夾”選項

單擊“確定”

用滑鼠右鍵點C糟（不能雙擊！） 選擇 “打開”

刪除C糟下的 “autorun.inf”檔案 和“sxs.exe”檔案

用滑鼠右鍵點D糟 選擇 “打開”

刪除D糟下的 “autorun.inf”檔案 和“sxs.exe”檔案（另外有個檔案也是，是個.exe 同樣刪了它）

……

以此類推 刪除所有盤上的 AUTORUN.INF檔案 和“rose.exe”檔案

單擊開始 選擇“運行” 輸入 "regedit"(沒有引號） ，回車

依次展開註冊表編輯器左邊的 我的電腦>HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Run

刪除Run項中的 ROSE (c:windowssystem32SXS.exe）這個項目

關閉註冊表編輯器

然後重新啟動計算機

刪除硬碟上是ROSE:

按下shift鍵不放 插入隨身碟 直到電腦提示“新硬體可以使用”

打開我的電腦

這時在隨身碟的圖示上點滑鼠右鍵 選擇“打開” （不要點自動播放或者是雙擊！）

刪除 SXS.exe和autorun.inf檔案 病毒就沒有了

上面我說了這個方法對我沒有用！sxs.exe沒有專殺，現在只能通過註冊表防毒

打開註冊表“regedit”，找到HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

有些網友說刪除Run項中的 ROSE (c:windowssystem32SXS.exe）這個項目

我找了一下沒找到這個Run項目，但是我看了一下在Run裡面有兩個"SoundMam"，而且後面給的數值不一樣，一個給的是“C:\WINDOWS\system32\SVOHOST.exe”另一個是“SOUNDMAN.EXE”我想大家也發現了，肯定有問題，我看了一下，只有後面一個是正確的，前一個是豪傑超級解霸的“自動播放伺服器”的程式，看來病毒是加到這個裡面了，藉助自動播放到處傳播！（這是我認為的，不知道對不對）於是就刪除了這個項，退出註冊表，打開防毒軟體，可以使用了，只是在一般防毒時，還是找不到sxs.exe的，我用的是江民的，他有未知病毒掃描，在那裡裡面可以發現的，他是一種“硬碟蠕蟲病毒”，刪掉就行了，本來我是想截屏給大家看看的，可惜我重啟了，沒複製下來，哪位朋友補充一下在下面！感謝！

那還剩下autorun.inf，直接到各個硬碟刪就可以了，再清空資源回收筒就可以了，其他的都正常了，可能還有些網友系統可能出現些問題，如豪傑超級解霸的“自動播放伺服器”不能使用了，我的建議是：不要用了，就是他壞的事！要是你非要用就重新裝吧！最後重新啟動，可以了！

sxs.exe病毒一般是通過隨身碟進行傳播的。當隨身碟被插入被病毒感染的電腦後，病毒會首先查找隨身碟的根目錄里有沒有sxs.exe和autorun.inf這兩個檔案，如果沒有，病毒會自動把sxs.exe和autorun.inf複製到隨身碟的根目錄下；如果有，病毒會設定sxs.exe的屬性為唯讀且為系統檔案，以達到隱藏自身的目的，並把原有的autorun.inf刪除，重新創建一個autorun.inf檔案，並寫入數據。

了解了病毒的傳播方式，我們發現，可以通過在每一個盤符下放一個空白的sxs.exe檔案，這樣，病毒就不會複製一個真正的sxs.exe病毒到硬碟上了。

新建一個文本文檔，不用寫入任何數據，重名為：sxs.exe。把這個假的sxs.exe複製到隨身碟的根目錄下去就可以了。這樣，就不會中真的sxs.exe了。

目前為止，還沒有發現有新的變種可以躲過此種免疫方案。