SXS.EXE病毒完全查杀+预防方案常见AUTORUN病毒和双击盘符打不开的情况

步骤三:点击"添加"选项进行添加,在这里只能一个个添加,的确有点不大方便,分别把autorun.inf和sxs.exe,qqhx.dat,noruns.reg,net.exe,net1.exe和sc.exe进行添加,当然,以后如果你发现了什么病毒程序一样可以通过这个方法阻止其运行(就算删除不了也要让他作恶不了),比如可以一起添加上面发现的dappvk.exe和dappvk.dll

方案三:备份注册表,显示隐藏文件

在最近的几次查杀过程中,隐藏文件无法显示的情况出现频率很高,不再是以前在"文件夹显示隐藏文件"就可以看到其他非系统盘的antorun.inf和sxs.exe这两个文件,查看了注册表才知道,一般要让隐藏文件无法显示,是通过将注册表项目HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL，将CheckedValue键值修改为0,而要回复正常只需把值修改为1即可,可是病毒它用了更狠的招数：它在修改注册表达到隐藏文件目的之后，为了稳妥起见，竟然把本来有效的DWORD值CheckedValue删除掉，新建了一个无效的字符串值CheckedValue，并且把键值改为0！这样你以为把0改为1就会万事大吉，可是故障依旧如此！

所以,这个时候建议在正常时把SHOWALL分项备份,具体操作(寒冰已经做了导出,见2楼附件):

开始－运行（也可使用快捷键win+R）-regedit打开注册表,找到HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL,然后在其点击右键,选择"导出"即可.

方案四:NTFS权限法

记得在卖咖啡中有条规则“禁止在任何地方写入、创建任何文件”，当然,好像还没有在windows中发现这个规则的使用,可是突然想起ntfs的权限控制,同样可以起到一样的作用,用于防止其继续向非系统盘写入sxs和antorun.inf两个文件,有助于帮助清理病毒(本方法只限于NTFS格式,FAT格式无效)

步骤一:在NTFS盘点击右键,选择属性,然后切换到安全选项卡,在权限的拒绝框全部勾选,这样当你清理完盘内的病毒文件,就无法继续写入了

  同理,对于病毒antorun.inf和sxs.exe我们可以同样在每个非系统盘新建一个空文件,比如文本文件,将其改名为antorun.inf和sxs.exe,然后同理设置其权限为"全部拒绝",这样保证你的非系统盘不会再成为他的殖民地了.
  同时通过Filemon监控,发现其运行其刚运行是还会在C:\WINDOWS\system32下生成qqhx.dat,noruns.reg,net.exe,net1.exe和sc.exe,如果你的系统盘也是ntfs,相信那样病毒发作的机会也没有了,呵呵

附录:手动修复隐藏文件显示

经常看到有人隐藏文件无法显示的提问,顺便也跟sxs.exe扯上关系,就一并在这里解说了,希望类似的帖子可以减少,优化论坛资源:

    其实如果在"文件夹选项--显示隐藏文件"后还是无法查看,一般是被什么软件优化/设置或者是病毒窜改所致,其实现的方式也很简单,就是通过修改的注册表的相关键值来实现的,其键值是:
HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL中的CheckedValue值

1.判断CheckedValue是否为REG_DWORD类型
2.如果如图所示的REG_DWORD类型,直接双击,然后把CheckedValue键值修改为1就可以了

3.另一种情况,非REG_DWORD类型,比如sxs.exe病毒就是通过这种途径来修改的:病毒会把本来有效的DWORD值CheckedValue删除掉，新建了一个无效的字符串值CheckedValue,类型比如为为REG_SZ，并且把键值改为0！我们将这个改为1是毫无作用的(骗人的把戏啊)。

 
方法：删除此CheckedValue键值，单击右键 新建——Dword值——命名为CheckedValue，然后修改它的键值为1，这样就可以选择“显示所有隐藏文件”和“显示系统文件”。

4.在文件夹——工具——文件夹选项中将系统文件和隐藏文件设置为显示

所以,大家要看清楚CheckedValue后面的类型，正确的是“RED_DWORD”而不是“REG_SZ