关于sxs.exe,autorun.inf病毒的清除方法

　　关键词： Trojan.PSW.QQPa autorun.inf

　　参考：

　　特征：在每个盘根目录下自动生成sxs.exe,autorun.inf文件，有的还在windowssystem32下生成SVOHOST.exe 或 sxs.exe ，文件属性为隐含属性。自动禁用杀毒软件。

　　传染途径：主要通过U盘，移动硬盘

　　迷惑性：

　　1、按ctrl del alt查看进程，可能多出svohost进程，与系统自带的svchost只差一字

　　2、注册表修改项隐蔽更强，如何修改在下面详细说明。

　　3、自动修改注册表，使系统“显示所有隐藏文件”功能失效，从而达到隐藏自己病毒体文件的目的。

　　清除办法：

　　建议到安全模式下，网上有许多网友说直接搜索sms.exe文件删除是不可以的，因为一删除后，只要你刷新就立刻出现。

　　1、关闭病毒进程

　　Ctrl Alt Del 任务管理器，在进程中查找 sxs 或 SVOHOST(不是SVCHOST，相差一个字母)，有的话就将它结束掉(并不是所有的系统都显示有这个进程，没有的就略过此步)。

　　2、恢复注册表(有的系统可能病毒没有修改注册表，检验办法是，如果您的系统能看到隐藏文件那么这步可以省略，建议大家都看一下)

　　(删除病毒自启动项)打开注册表 运行——regedit

　　HKEY_LOCAL_MACHINE>;SOFTWARE>;Microsoft>;Windows>;CurrentVersion>;Run

　　SVOHOST.exe 或 sxs.exe

　　下找到 SoundMam(注意不是soundman,只差一个字母) 键值，可能有两个，删除其中的键值为 C:WINDOWSsystem32SVOHOST.exe 的(显示出被隐藏的系统文件)

　　HKEY_LOCAL_MACHINESoftwareMicrosoftwindowsCurrentVersionexplorerAdvancedFolderHiddenSHOWALL，将CheckedValue键值修改为1

　　这里要注意，病毒会把本来有效的DWORD值CheckedValue删除掉，新建了一个无效的字符串值CheckedValue,类型为REG_SZ，并且把键值改为0!将这个改为1是毫无作用的。CheckedValue后面的类型，正确的是“RED_DWORD”而不是“REG_SZ”(有部分病毒变种会直接把这个CheckedValue给删掉，只需和下面一样，自己再重新建一个就可以了)

　　方法：删除此CheckedValue键值，单击右键 新建——Dword值——命名为CheckedValue，然后修改它的键值为1，这样就可以选择“显示所有隐藏文件”和“显示系统文件”。在文件夹——工具——文件夹选项中将系统文件和隐藏文件设置为显示

　　3、删除病毒体文件

　　在分区盘上单击鼠标右键——打开，看到每个盘跟目录下有 autorun.inf 和 sxs.exe 两个文件，将其删除。

　　最彻底的删除办法是：单击开始--运行--cmd 确定后在dos状态下写如下命令(一般系统盘跟目录下可能没有病毒体文件，但是其他盘应该都存在)