轉自: http://www.eliuzd.com/blog/article.asp?id=242
有史以來第一次遭遇如此頑固的病毒,網上找了找,沒有統一的名字,瑞星稱爲 Trojan.PSW.QQPass.pqb 病毒,我就叫它 sxs.exe病毒吧
重裝系統後,雙擊分區盤又中了,鬱悶,瑞星自動關閉無法打開,決定手動將其刪除
現象:系統文件隱藏無法顯示,雙擊盤符無反映,任務管理器發現 sxs.exe 或者 svohost.exe (與系統進程 svchost.exe 一字之差),殺毒軟件實時監控自動關閉並無法打開
找了網上許多方法,無法有效刪除,並且沒有專殺工具
手動刪除“sxs.exe病毒”方法:
在以下整個過程中不得雙擊分區盤,需要打開時用鼠標右鍵——打開
一、關閉病毒進程
Ctrl + Alt + Del 任務管理器,在進程中查找 sxs 或 SVOHOST(不是SVCHOST,相差一個字母),有的話就將它結束掉
二、顯示出被隱藏的系統文件
運行——regedit
HKEY_LOCAL_MACHINE/Software/Microsoft/windows/CurrentVersion/explorer/Advanced/Folder/Hidden/SHOWALL,將CheckedValue鍵值修改爲1
這裏要注意,病毒會把本來有效的DWORD值CheckedValue刪除掉,新建了一個無效的字符串值CheckedValue,並且把鍵值改爲0!我們將這個改爲1是毫無作用的。(有部分病毒變種會直接把這個CheckedValue給刪掉,只需和下面一樣,自己再重新建一個就可以了)
方法:刪除此CheckedValue鍵值,單擊右鍵 新建——Dword值——命名爲CheckedValue,然後修改它的鍵值爲1,這樣就可以選擇“顯示所有隱藏文件”和“顯示系統文件”。
在文件夾——工具——文件夾選項中將系統文件和隱藏文件設置爲顯示
三、刪除病毒
在分區盤上單擊鼠標右鍵——打開,看到每個盤跟目錄下有 autorun.inf 和 sxs.exe 兩個文件,將其刪除。
四、刪除病毒的自動運行項
打開註冊表 運行——regedit
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Run
下找到 SoundMam 鍵值,可能有兩個,刪除其中的鍵值爲 C://WINDOWS/system32/SVOHOST.exe 的
最後到 C://WINDOWS/system32/ 目錄下刪除 SVOHOST.exe 或 sxs.exe
重啓電腦後,發現殺毒軟件可以打開,分區盤雙擊可以打開了。
五、後續
殺毒軟件實時監控可以打開,但開機無法自動運行
最簡單的辦法,執行殺毒軟件的添加刪除組件——修復,即可
補充:發現許多朋友都碰到這個病毒,回頭來將本文重新補充了下,希望對各位有用。
2006-8-19
2006-8-23 補充更新
瑞星已出了專殺工具,不幸中此病毒的朋友可以去下面地址,下載“橙色八月專用提取清除工具”
http://it.rising.com.cn/Channels/Service/2006-08/1154786729d36873.shtml
8月初出現了大量針對主流殺毒軟件編寫的惡性病毒。它們除了具有常見危害外,還會造成主流殺毒軟件和個人防火牆無法打開,甚至導致殺毒時系統出現“藍屏”、自動重啓、死機等狀況。
瑞星“橙色八月專用提取清除工具”專門針對此類病毒編寫,可清除“QQ通行證(Trojan.PSW.QQPass)”、“傳奇終結者(Trojan.PSW.Lmir)”、“密西木馬(Trojan.psw.misc)”等病毒及其變種。沒有安裝瑞星殺毒軟件的用戶可免費下載使用。
注:建議您重新啓動計算機,按住F8鍵,選擇“安全模式”,進入後使用此工具殺毒。
附:病毒列表上的病毒主要針對以下安全軟件
卡巴斯基
Symantec AntiVirus
瑞星
江民殺毒軟件
天網防火牆個人版
噬菌體
木馬克星
金山毒霸