病毒名称: sxs.exe---瑞星称为 Trojan.PSW.QQPass.pqb 病毒

病毒特点: sxs.exe 特点是可以通过可移动磁盘传播，主要危害是盗取QQ帐户和密码，并且会终止大量反病毒软件的进程(瑞星、卡巴无一幸免)，系统自带的防火墙也不能启动与关闭,系统文件隐藏无法显示，双击盘符无反映，任务管理器发现 sxs.exe 或者 svohost.exe （与系统进程 svchost.exe 一字之差），杀毒软件实时监控自动关闭并无法打开。电脑上每个磁盘都有“autorun.inf”文件和“sxs.exe”文件，重装系统也没有用。

网上有N多关于这种病毒的介绍和手工删除说明，而且基本上属于一个版本。如果症状和上面类似，可以参照一般解决方法。如果进程中找不到 sxs .exe或 SVOHOST.exe,每个盘符下的“autorun.inf”文件和“sxs.exe”文件删除又重新出现的话,请参见我的解决办法。

一)、一般解决办法：这是修改过的ROSE病毒，可以结束SXS的进程删除。： 在以下整个过程中不得双击分区盘，需要打开时用鼠标右键——打开
1.关闭病毒进程 Ctrl + Alt + Del 任务管理器，在进程中查找 sxs 或 SVOHOST（不是SVCHOST，相差一个字母），有的话就将它结束掉 。
2.显示出被隐藏的系统文件 运行——regedit HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL，将CheckedValue键值修改为1。 这里要注意，病毒会把本来有效的DWORD值CheckedValue删除掉，新建了一个无效的字符串值CheckedValue，并且把键值改为0！我们将这个改为1是毫无作用的。（有部分病毒变种会直接把这个CheckedValue给删掉，只需和下面一样，自己再重新建一个就可以了）。方法：删除此CheckedValue键值，单击右键 新建——Dword值——命名为CheckedValue，然后修改它的键值为1，这样就可以选择“显示所有隐藏文件”和“显示系统文件”。 在文件夹——工具——文件夹选项中将系统文件和隐藏文件设置为显示
3.删除病毒 在分区盘上单击鼠标右键——打开，看到每个盘跟目录下有 autorun.inf 和 sxs.exe 两个文件，将其删除。
4.删除病毒的自动运行项 打开注册表 运行——regedit HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Run 下找到 SoundMam 键值，可能有两个，删除其中的键值为 C:\\WINDOWS\system32\SVOHOST.exe 的。最后到 C:\\WINDOWS\system32\ 目录下删除 SVOHOST.exe 或 sxs.exe 。重启电脑后，发现杀毒软件可以打开，分区盘双击可以打开了。
5.后续 杀毒软件实时监控可以打开，但开机无法自动运行 最简单的办法，执行杀毒软件的添加删除组件——修复，即可。另外已用GHOST备份系统盘的，那就简单了只需恢复系统盘，打开“我的电脑”文件夹选项里显示隐藏文件显示系统保护的文件，然后如上所说，将其他盘根目录的INI文件和EXE文件删除就可以了。有的软件点击不开，那是已经破坏了软件执行程序，执行软件的添加删除组件——修复，即可。

二)、我的解决办法：
1.搜索电脑中的所有“autorun.inf”文件和“sxs.exe”文件,先将“autorun.inf”统一删除,之后将“sxs.exe”统一删除(进程中没有SXS.exe的前提下)；
2.查看启动项运行---msconfig,如果有就将其前面的勾去掉；
3.运行--regedit,查找sxs 或 SVOHOST,一直F3.知道查找结束；
4.隐藏文件的显示可以参照前文

---END