盘符双击不能打开；任务管理器，注册表，msconfig闪一下自动关闭－－问题和解决办法

查看文章

晕死！偶又中了sxs.exe病毒

2006年12月28日 星期四 09:36

sxs.exe是什么病毒 

瑞星称为 Trojan.PSW.QQPass.pqb 病毒，sxs.exe 特点是可以通过可移动磁盘传播，主要危害是盗取QQ帐户和密码，并且会终止大量反病毒软件的进程，降低系统的安全等级,现在我发现有很多的电脑上每个磁盘都中了，重装系统也没有用，此毒危害性很大，该怎么办啊？ 

这是修改过的ROSE病毒，可以结束SXS的进程删除。记住，用鼠标右键进入硬盘，同时按下Ctrl+Shift+Del三个键打开windows任务管理器，选择里面的“进程”标签，在“映像名称”下查找“sxs.exe” 但击它 再选择“结束进程”，一定要结束所有的“sxs.exe”进程。 

打开我的电脑，单击工具菜单下的“文件夹选项”单击“查看”标签把“高级设置”中的“隐藏受保护的操作系统文件（推荐）”前面的勾取消，并选择下面的“显示所有文件和文件夹”选项，单击“确定”。  

用鼠标右键点C盘（不能双击！）选择 “打开”，删除C盘下的 “autorun.inf”文件 和“sxs.exe”文件，用鼠标右键点D盘选择“打开”，删除D盘下的“autorun.inf”文件和“sxs.exe”文件（另外有个文件也是，是个.exe 同样删了它）。 

……  

以此类推，删除所有盘上的 AUTORUN.INF文件和“rose.exe”文件。 

单击“开始”，选择“运行” 输入 "regedit"(没有引号) ，依次展开注册表编辑器左边的“我的电脑”>HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Run 删除Run项中的 ROSE （c:\windows\system32\SXS.exe)这个项目。  

关闭注册表编辑器，然后重新启动计算机。 

  

删除移动硬盘或U盘上的ROSE： 

  

按下shift键不放，插入U盘 直到电脑提示“新硬件可以使用”，打开我的电脑，这时在U盘的图标上点鼠标右键，选择“打开”（不要点自动播放或者是双击！），删除 SXS.exe和autorun.inf文件 病毒就没有了。 

有史以来第一次遭遇如此顽固的病毒，网上找了找，没有统一的名字，瑞星称为 Trojan.PSW.QQPass.pqb 病毒，我就叫它 sxs.exe病毒吧。重装系统后，双击分区盘又中了，郁闷，瑞星无法安装，安装好的瑞星自动关闭无法打开，系统自带的防火墙也不能启动与关闭，决定手动将其删除。 

现象：系统文件隐藏无法显示，双击盘符无反映，任务管理器发现 sxs.exe 或者 svohost.exe （与系统进程 svchost.exe 一字之差），杀毒软件实时监控自动关闭并无法打开。找了网上许多方法，无法有效删除，并且没有专杀工具。 

  

手动删除“sxs.exe病毒”方法：  

  

在以下整个过程中不得双击分区盘，需要打开时用鼠标右键——打开  

一、关闭病毒进程  

Ctrl + Alt + Del 任务管理器，在进程中查找 sxs 或 SVOHOST（不是SVCHOST，相差一个字母），有的话就将它结束掉 。 

二、显示出被隐藏的系统文件  

运行——regedit  

HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL，将CheckedValue键值修改为1。  

这里要注意，病毒会把本来有效的DWORD值CheckedValue删除掉，新建了一个无效的字符串值CheckedValue，并且把键值改为0！我们将这个改为1是毫无作用的。（有部分病毒变种会直接把这个CheckedValue给删掉，只需和下面一样，自己再重新建一个就可以了）。 

方法：删除此CheckedValue键值，单击右键 新建——Dword值——命名为CheckedValue，然后修改它的键值为1，这样就可以选择“显示所有隐藏文件”和“显示系统文件”。  

在文件夹——工具——文件夹选项中将系统文件和隐藏文件设置为显示  

三、删除病毒  

在分区盘上单击鼠标右键——打开，看到每个盘跟目录下有 autorun.inf 和 sxs.exe 两个文件，将其删除。  

四、删除病毒的自动运行项  

打开注册表 运行——regedit  

HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Run 下找到 SoundMam 键值，可能有两个，删除其中的键值为 C:\\WINDOWS\system32\SVOHOST.exe 的。最后到 C:\\WINDOWS\system32\ 目录下删除 SVOHOST.exe 或 sxs.exe 。重启电脑后，发现杀毒软件可以打开，分区盘双击可以打开了。  

五、后续  

杀毒软件实时监控可以打开，但开机无法自动运行  

最简单的办法，执行杀毒软件的添加删除组件——修复，即可。 



另外已用GHOST备份系统盘的，那就简单了只需恢复系统盘，打开“我的电脑”文件夹选项里显示隐藏文件显示系统保护的文件，然后如上所说，将其他盘根目录的INI文件和EXE文件删除就可以了。有的软件点击不开，那是已经破坏了软件执行程序，执行软件的添加删除组件——修复，即可。

如果以上方法还不行，下面转发NOD32官方论坛里名叫poplau 所说的杀毒方法

启动IceSword.exe（IceSword.exe 是一个叫冰剑的软件，建议到网上下载一个后杀除。）
结束xvbeam.exe进程
删除 c:\windows\system32\xvbeam.exe

在每个盘根目录下删除sxs.exe和autorun.ini文件

在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

删除 Shell        explorer.exe c:\windows\system32\xvbeam.exe

重新启动

类别：电脑病毒我掐死你 | 浏览(2016)

 

网友评论：

1

网友:小ran - 2006年12月31日 星期日 03:20

小白，你好，我的电脑也感染了和你一样性质的病毒，也是杀毒软件不能启动和隐藏文件不能启动。搜到你这里和兴奋，于是按照你的方法操作了一遍，但是还是没有解决。具体情况是：
（1）第一步我在任务管理器（显示所有）进程中并没有找到有 sxs 或 SVOHOST文件。不知道是不是有其他名字的类似病毒。
（2）按你的方法在注册表中将CheckedValue值修复后，能显示自己隐藏的文件了，于是又按你说的打开每个盘，但是所有盘的根目录下都没有 autorun.inf 和 sxs.exe 两个文件，也没有显示有其他隐藏文件。我在注册表中也没有找到SoundMam 键值。
（3）关掉注册表一段时间后或者重启以后，电脑又恢复到杀毒软件不能启动和隐藏文件不能启动的状态了。并且插上先前已经格式化了的U盘后，U盘又被感染，里面出现:个人信息.EXE/成人小说.EXE等三个文件，删除后又出现。
我都快疯掉了，是不是我感染了其他名字的病毒或者是你所说的那两种病毒的变种啊，还请你这位高手帮我解决这个难题啊，多谢了！！！顺便说一句我也在武汉，财大的。盼速回复！

 

2 风吹过的星愿 - 2006年12月31日 星期日 23:16

首先感谢大家光临我的空间，你说的问题，我也碰到过，虽然是解决了，但是是用的最笨，但最有效的办法解决的 T_T 。我一开始中毒的时候是中的Logo1.exe病毒，而且附带了其他的病毒，比如smss.exe csrss.exe svohost.exe mh2.exe ，还有一个是 rundll32.exe（不知道打错没），当时我一看系统进程头就晕了，随后我用超级兔子的查看进程的工具找到这些路径肯定是不对的进程，比如说在x:\Documents and Settings\Administrator\Local Settings\Temp 里面，先用超级兔子进程管理工具把这些进程一一kill了，然后把这个temp的文件都删了，（有的是在是在被使用中，我先不管它，把能删的都删了），然后又把x:\windows\ 下根据修改时间把今天被修改了的东西都删了，还有x:\windows\system32\ 下根据修改时间把今天被修改了的东西都删了，如果你还看到_desktop.ini这个文件，你就在运行里(win+r)打cmd 回车，进入windows 下的DOS了。然后在DOS里面打像后面这样的命令 c:\> del c:\_desktop.ini /f/s/a/q （注意斜杠不要打反了） 如果你有多个分区，那你把那命令的盘符改成其他盘的盘符，最好是帮每个盘都这样删除一遍。然后打开注册表编辑器，（运行里打regedit.exe),找到HKEY_LOCAL_M

 

3 风吹过的星愿 - 2006年12月31日 星期日 23:16

找到HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Run，删掉肯定是错误路径的键，你还可以用超级兔子的魔法设置里的启动设置里选，完成这些后，只能说成功了一半。然后你重起看看，如果说在进程里找不到原来的病毒了，那说明手动删毒基本成功了。如果依然存在，那就继续用 进程查看工具找到进程路径把它删掉。不过要注意的是 smss.exe ,csrss.exe ,rundll.exe,svohost.exe,这些都是系统本来就用的，这时你要看它们的路径是不是在windows\system32下的，如果是，那就是正常的，如果不是，那肯定是毒，放心大胆的删。这样一直删除到这些毒不能启动为止。重起后如果杀毒软件还是被关闭了，那只有重装一次杀毒软件，或换一款杀毒软件，如果仍然被关闭，那么很抱歉，我建议你重装一次系统。小弟也不是什么高手，只是把自己删毒的经历以最简单的方式表达出来供大家参考，如果有什么不对的地方，请不吝赐教，谢谢先^_^

 

4

网友:冰破` - 2007年01月03日 星期三 16:51

我的也是中了sxs.exe这种病毒，任务管理器，注册表，组策略之类的一个也打不开了，怎么杀啊，哪个高手帮下我，我的邮箱是pf8713@163.com

 

5

网友:mathew - 2007年01月07日 星期日 21:14

高人阿 帮我看看阿 我任务管理器 注册表 都是打开闪一下就自己关掉了 硬盘左键也打不开 更糟糕的是 在安全模式下也出同样的问题 下载了金山 瑞星 卡巴斯基 都不能完成安装 应该是种病毒了 但是也太邪乎了 我该怎么办啊 就连瑞星在线查毒的网页都打不开 这是我遇见的最牛鼻的病毒了 系统重做n次也无法解决 请你出个点子

 

6 风吹过的星愿 - 2007年01月09日 星期二 15:52

楼上的这位，我想你是种了灰鸽子之类的蠕虫病毒了，我有个同学也是中你差不多的病毒，而且你不能用左键打开，只能用右键打开，而且这种病毒会感染你所有后缀为.exe的文件，并且在DOS下无法删除，不过可以在windows下删除。（我也不知道为什么会这样 -^-|| ）你先在我的电脑-工具-文件夹选项- 查看，把 隐藏受保护的操作系统文件（推荐）前面的 勾去掉，再选定 显示所有文件和文件夹。如果你可以在磁盘根目录下看到alg.exe这样的文件，那我确信你是种那种毒了。你去下载一些最新的灰鸽子专杀工具，查杀以后，在把后缀是.exe 的文件都删了，（这样会造成很多程序无法运行，但是这也是没办法的事，因为这文件被感染了，一运行就又会中毒）最好是在windows 下把其他磁盘格式化后，重装系统，然后去下载最新的杀毒，安装完成并更新后再去 安全模式查杀一次。