不能删除病毒（autorun.inf 和 sxs.exe）

关于sxs.exe,autorun.inf病毒的清除方法

关键词： Trojan.PSW.QQPa autorun.inf

今天刚清除了sms.exe病毒(瑞星称为 Trojan.PSW.QQPass.pqb 病毒)，现在将方法汇总一下，供大家参考：

特征：在每个盘根目录下自动生成sxs.exe,autorun.inf文件，有的还在windows\system32下生成SVOHOST.exe 或 sxs.exe ，文件属性为隐含属性。自动禁用杀毒软件。

传染途径：主要通过U盘，移动硬盘

迷惑性：

1、按ctrl+del+alt查看进程，可能多出svohost进程，他与系统自带的svchost只差一字，大家要看清楚！

2、注册表修改项隐蔽更强，如何修改我将在下面详细说明。

3、自动修改注册表，使系统“显示所有隐藏文件”功能失效，从而达到隐藏自己病毒体文件的目的。

清除办法：

建议到安全模式下，网上有许多网友说直接搜索sms.exe文件删除是不可以的，因为一删除后，只要你刷新就立刻出现。

1、关闭病毒进程

Ctrl + Alt + Del 任务管理器，在进程中查找 sxs 或 SVOHOST（不是SVCHOST，相差一个字母），有的话就将它结束掉（并不是所有的系统都显示有这个进程，没有的就略过此步）。

2、恢复注册表（有的系统可能病毒没有修改注册表，检验办法是，如果您的系统能看到隐藏文件那么这步可以省略，建议大家都看一下）

(删除病毒自启动项)打开注册表 运行——regedit

HKEY_LOCAL_MACHINE>;SOFTWARE>;Microsoft>;Windows>;CurrentVersion>;Run

SVOHOST.exe 或 sxs.exe

下找到 SoundMam（注意不是soundman,只差一个字母） 键值，可能有两个，删除其中的键值为 C:\\WINDOWS\system32\SVOHOST.exe 的（显示出被隐藏的系统文件）

HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL，将CheckedValue键值修改为1

这里要注意，病毒会把本来有效的DWORD值CheckedValue删除掉，新建了一个无效的字符串值CheckedValue,类型为REG_SZ，并且把键值改为0！我们将这个改为1是毫无作用的。大家要看清楚CheckedValue后面的类型，正确的是“RED_DWORD”而不是“REG_SZ”（有部分病毒变种会直接把这个CheckedValue给删掉，只需和下面一样，自己再重新建一个就可以了）

方法：删除此CheckedValue键值，单击右键 新建——Dword值——命名为CheckedValue，然后修改它的键值为1，这样就可以选择“显示所有隐藏文件”和“显示系统文件”。在文件夹——工具——文件夹选项中将系统文件和隐藏文件设置为显示

3、删除病毒体文件

在分区盘上单击鼠标右键——打开，看到每个盘跟目录下有 autorun.inf 和 sxs.exe 两个文件，将其删除。

最彻底的删除办法是：单击开始--运行--cmd 确定后在dos状态下写如下命令(一般系统盘跟目录下可能没有病毒体文件，但是其他盘应该都存在)

attrib -h -r -s c:\sxs.exe

del c:\sxs.exe

attrib -h -s -r c:\autorun.inf

del c:\autorun.inf

attrib -h -r -s d:\sxs.exe

del d:\sxs.exe

attrib -h -s -r d:\autorun.inf

del d:\autorun.inf

如果大家还有其他的盘符可以参考我上面的写一下就可以，如果有E盘，那就是

attrib -h -r -s e:\sxs.exe

del e:\sxs.exe

attrib -h -s -r e:\autorun.inf

del e:\autorun.inf

=============建议大家可以写成一的批处理，然后运行一下就ok了。

最后到 C:\\WINDOWS\system32\ 目录下删除 SVOHOST.exe 或 sxs.exe

为了方便大家我写了一个批处理删除病毒体文件，运行的时候如果提示“没有发现该文件”说明找不到病毒体文件，没有关系的。因为有些目录病毒可能没有复制到里面去。

大家把这个复制后用文本文件保存，然后改名为delsxs.bat,最后双击运行就ok了,我只写到G盘的，估计就够用的，另外加了个h（u）盘的

attrib -h -r -s c:\sxs.exe

del c:\sxs.exe

attrib -h -s -r c:\autorun.inf

del c:\autorun.inf

attrib -h -r -s d:\sxs.exe

del d:\sxs.exe

attrib -h -s -r d:\autorun.inf

del d:\autorun.inf

attrib -h -r -s e:\sxs.exe

del e:\sxs.exe

attrib -h -s -r e:\autorun.inf

del e:\autorun.inf

attrib -h -r -s f:\sxs.exe

del f:\sxs.exe

attrib -h -s -r f:\autorun.inf

del f:\autorun.inf

attrib -h -r -s g:\sxs.exe

del g:\sxs.exe

attrib -h -s -r g:\autorun.inf

del g:\autorun.inf

attrib -h -r -s h:\sxs.exe

del h:\sxs.exe

attrib -h -s -r h:\autorun.inf

del h:\autorun.inf

最后提醒大家的是：使用u盘或者是移动硬盘的时候要在插入后，立刻按住shift键，防止自动运行程序启动，打开的时候要点右键--打开，这样病毒就不会运行（如果存在病毒文件sxs.exe和autorun.inf直接删除就ok了），否则如果你的u盘上有此病毒，你双击后，非但打不开u盘，还运行了病毒程序，呵呵上面做的一切都要重做了哦。

至于杀毒软件不能自动启动的问题，那可以重新安装或者参考各杀毒软件的处理办法了，这里就不一一列举了

最简单的方法：
sxs.exe病毒专杀工具之“橙色八月专杀工具.bat”

打开记事本将以下代码复制后另存为“橙色八月sxs专杀工具.bat”文件，然后运行！

echo.
@echo::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
@echo::停止正在运行的SXS.EXE和SVOHOST.EXE进程，请稍侯......
@echo::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
TASKKILL /F /T /IM SXS.EXE
TASKKILL /F /T /IM SVOHOST.EXE
TASKKILL /F /T /IM ROSE.EXE
color 4F
color 0C
color 4F
color 0C
color 4F
color 0C
echo.
echo.
@echo::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
@echo::恢复注册表中不给设置显示隐藏文件的项目,请稍侯
@echo::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
ECHO Windows Registry Editor Version 5.00>SHOWALL.reg
ECHO [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]>>SHOWALL.reg
ECHO "CheckedValue"=->>SHOWALL.reg
ECHO [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]>>SHOWALL.reg
ECHO "CheckedValue"=dword:00000001>>SHOWALL.reg
@echo::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
@echo::删除系统目录下的SXS.EXE、SVOHOST.EXE和WINSCOK.DLL文件,请稍侯......
@echo::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
ATTRIB -R -H -S -A %SystemRoot%\System32\SXS.EXE
ATTRIB -R -H -S -A %SystemRoot%\System32\SVOHOST.EXE
ATTRIB -R -H -S -A %SystemRoot%\System32\WINSCOK.DLL
DEL /F /Q /A -R -H -S -A %SystemRoot%\System32\SXS.EXE
DEL /F /Q /A -R -H -S -A %SystemRoot%\System32\SVOHOST.EXE
DEL /F /Q /A -R -H -S -A %SystemRoot%\System32\WINSCOK.DLL
ATTRIB -R -H -S -A %SystemRoot%\SXS.EXE
ATTRIB -R -H -S -A %SystemRoot%\SVOHOST.EXE
ATTRIB -R -H -S -A %SystemRoot%\WINSCOK.DLL
DEL /F /Q /A -R -H -S -A %SystemRoot%\SXS.EXE
DEL /F /Q /A -R -H -S -A %SystemRoot%\SVOHOST.EXE
DEL /F /Q /A -R -H -S -A %SystemRoot%\WINSCOK.DLL
ATTRIB -R -H -S -A %SystemRoot%\System\SXS.EXE
ATTRIB -R -H -S -A %SystemRoot%\System\SVOHOST.EXE
ATTRIB -R -H -S -A %SystemRoot%\System\WINSCOK.DLL
DEL /F /Q /A -R -H -S -A %SystemRoot%\System\SXS.EXE
DEL /F /Q /A -R -H -S -A %SystemRoot%\System\SVOHOST.EXE
DEL /F /Q /A -R -H -S -A %SystemRoot%\System\WINSCOK.DLL
ATTRIB -R -H -S -A %SystemRoot%\System32\dllcache\SXS.EXE
ATTRIB -R -H -S -A %SystemRoot%\System32\dllcache\SVOHOST.EXE
ATTRIB -R -H -S -A %SystemRoot%\System32\dllcache\WINSCOK.DLL
DEL /F /Q /A -R -H -S -A %SystemRoot%\System32\dllcache\SXS.EXE
DEL /F /Q /A -R -H -S -A %SystemRoot%\System32\dllcache\SVOHOST.EXE
DEL /F /Q /A -R -H -S -A %SystemRoot%\System32\dllcache\WINSCOK.DLL
@echo::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
@echo::删除每个分区下的SXS.EXE和AUTORUN.INF文件，请稍侯.......
@echo::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
FOR %%a IN ( C: D: E: F: G: H: I: J: K: L: M: N: O: P: Q: R: S: T: U: V: W: X: Y: Z: ) DO ATTRIB -R -H -S -A %%a\SXS.EXE & DEL /F /Q /A -R -H -S -A %%a\SXS.EXE & ATTRIB -R -H -S -A %%a\AUTORUN.INF & DEL /F /Q /A -R -H -S -A %%a\AUTORUN.INF
@echo::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
@echo::删除注册表中自启动项，请稍侯......
@echo::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
ECHO Windows Registry Editor Version 5.00>SoundMam.reg
ECHO [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SoundMam]>>SoundMam.reg
ECHO [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]>>SoundMam.reg
ECHO "SoundMam"=->>SoundMam.reg
REGEDIT /S SoundMam.reg
DEL /F /Q SoundMam.reg

REGEDIT /S SHOWALL.reg
DEL /F /Q SHOWALL.reg
color 3f
echo.
@echo 病毒文件已清除!
echo.
echo.
echo.
@echo
@echo
@echo
@echo
@echo
@echo
@echo
echo.
@echo
echo.
@echo
echo.
@echo
echo.
@echo
echo.
echo.
echo.
echo.
pause
echo.
echo.
echo.
echo.
echo.
echo.
echo.

大家试试看！绝对管用，我用过的。

我前几天也遇到这个问题，这个病毒很厉害，带毒状态下装卡巴一点反应都没有，幸好装了双系统，才把卡巴卸载掉。

这个病毒在带毒状态下很多杀毒软件都无法正常安装，唯一可以安装成功的是McAfee(R) VirusScan(R) Enterprise Version 8.0i，而且安装成功后，也是连启动了两次才把病毒杀掉，这个病毒确实太厉害了，大概是这几个月才出现的病毒，我的卡巴斯基病毒库以前只更新到8月份，根本查不出来这个病毒，不过最新的病毒库可以杀掉的。

新建一个文本文档，复制以下内容并保存。然后将后面的.txt改为.bat然后成为一个批处理文件，运行即可杀除。

@echo on
taskkill /im explorer.exe /f
taskkill /im wscript.exe
start reg add HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\EXplorer\Advanced /v ShowSuperHidden /t REG_DWORD /d 1 /f
start reg import kill.reg
del c:\autorun.* /f /q /as
del %SYSTEMROOT%\system32\autorun.* /f /q /as
del d:\autorun.* /f /q /as
del e:\autorun.* /f /q /as
del f:\autorun.* /f /q /as
del g:\autorun.* /f /q /as
del h:\autorun.* /f /q /as
del i:\autorun.* /f /q /as
del j:\autorun.* /f /q /as
del k:\autorun.* /f /q /as
del l:\autorun.* /f /q /as
start explorer.exe

你去网上下载个冰刃的绿色版，你应该会用的，那个软件什么文件都可以看得到，也都可以删

先参考上面的结束他的进程。然后你的命令输错了。把它输为attrib -h -s -r aurun.inf和attrib -h -s -r sxs.exe。。呵呵