经过笔者一番检查,发现原来是系统受到了一种名为“Sxs.exe”病毒的攻击,该病毒全名叫Trojan.PSW.QQPass.pqb病毒,一般利用网站途径进行非法传播,被其病毒所感染的文件,都会自动隐藏起来。而通过选择“文件夹”对话框里的“显示所有文件和文件夹”选项,是无法帮您显示出被病毒所感染的隐藏文件,要将其文件现身唯一办法,就是清除“Sxs.exe”病毒。
如果你硬盘每个分区都仔细浏览过,将不难从中发现里面都会含有“sxs.exe”文件和“autorun.inf”文件,这两个可疑文件就是病毒加载到系统内的服务端。在正常情况下,无法直接删除,这里须在键盘上同时按住Ctrl+Alt+Del组合键,在弹出的“Windows任务管理器”窗口里,将上方默认选择“应用程序”标签,切换至“进程”标签处。然后从编辑区里,找到并且选中名称为“svohost.exe”或“sxs.exe”的进程标签,单击“结束进程”按钮后,此时的病毒就会停止运行。
接下来打开“注册表”编辑器,将其组件依次展开到“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
Folder\Hidden\SHOWALL”子项(如图1)。然后在右侧编辑区里,检查一下“CheckedValue”键值,是否类型与以前有所改动,或者根本就不存在“CheckedValue”键值。如果是以上两种情况的其中一种,那么你就需要在编辑区,将被改动的该键值删除,或者没有就可省了删除的步骤。然后单击“右键”按钮,选择“新建”→“Dword值”选项,将其名称设置为“CheckedValue”双字节值,紧接着再双击该名称,会弹出“编辑Dword值”的对话框,将里面“数值数据”文本处的数字更改为“1”(如图2),单击“确定”按钮后,重新启动计算机,使设置生效。
当然这里我们也不排除该病毒会“卷土重来”,为了防止“历史”的再次重演,进入C盘系统区根目录,将里面“sxs.exe”和“svohost.exe”文件直接删除掉。而后再次打开“注册表”编辑器,依次展开组件到“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”子项下,然后在从右侧编辑区内,将其“SoundMam”键值删除掉,即可关闭其“注册表”编辑器。
最后进入C:\Windows\system32系统目录下,把“sxs.exe”文件和“svohost.exe”文件删除,这样所残留下来的“Sxs.exe”病毒余孽,即可也会被我们“驱逐处境”了。这回再选中“文件夹”对话框里的“显示所有文件和文件夹”选项,所丢失的隐藏文件,就会被恢复并且显示我们的面前。当然下载使用瑞星公司,刚刚推出的“橙色八月专用提取清除”工具,也可轻松赶走“Sxs.exe”病毒,两者得到的结果相同。