中毒了，新病毒sxs.exe 详解：

这是一个盗取QQ帐号密码的木马病毒，特点是可以通过可移动磁盘传播。该病毒的主要危害是盗取QQ帐户和密码；该病毒还会结束大量反病毒软件，降低系统的安全等级。

1，生成文件

%system%\SVOHOST.exe

%system%\winscok.dll

2，添加启动项

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

"SoundMam" = "%system%\SVOHOST.exe"

3，盗取方式

键盘记录，包括软件盘；将盗取的号码和密码通过邮件发送到指定邮箱。

4，传播方式

检测系统是否有可移动磁盘，是则拷贝病毒到可移动磁盘根目录。

sxs.exe

autorun.inf

5，autorun.inf添加下列内容，达到自运行的目的。

[AutoRun]

open=sxs.exe

shellexecute=sxs.exe

6，关闭窗口名为下列的应用程序

QQKav

雅虎助手

防火墙

网镖

杀毒

病毒

木马

恶意

QQAV

噬菌体

7，结束下列进程

sc.exe

net.exe

sc1.exe

net1.exe

PFW.exe

Kav.exe

KVOL.exe

KVFW.exe

TBMon.exe

kav32.exe

kvwsc.exe

CCAPP.exe

EGHOST.exe

KRegEx.exe

kavsvc.exe

VPTray.exe

RAVMON.exe

KavPFW.exe

SHSTAT.exe

RavTask.exe

TrojDie.kxp

Iparmor.exe

MAILMON.exe

MCAGENT.exe

KAVPLUS.exe

RavMonD.exe

Rtvscan.exe

Nvsvc32.exe

KVMonXP.exe

Kvsrvxp.exe

CCenter.exe

KpopMon.exe

RfwMain.exe

KWATCHUI.exe

MCVSESCN.exe

MSKAGENT.exe

kvolself.exe

KVCenter.kxp

kavstart.exe

RAVTIMER.exe

RRfwMain.exe

FireTray.exe

UpdaterUI.exe

KVSrvXp_1.exe

RavService.exe

8，删启动项

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

RavTask

KvMonXP

YLive.exe

yassistse

KAVPersonal50

NTdhcp

WinHoxt

查杀方法：

首先，要显示隐藏文件

在这个：HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\

Advanced\Folder\Hidden\SHOWALL，将CheckedValue键值修改为1

还是没有用，隐藏文件还是没有显示，仔细观察发现病毒它有更狠的招数：它在修改注册表达到隐藏文件目的之后，为了稳妥起见，把本来有效的DWORD值CheckedValue删除掉，新建了一个无效的字符串值CheckedValue，并且把键值改为0（如图）！这样你以为把0改为1就会万事大吉，可是故障依旧如此！也就难怪出现以上的现象了。

正确的方法是：先检查CheckedValue的类型是否为REG_DWORD，如果不是则删掉“李鬼”CheckedValue（例如在本“案例”中，应该把类型为REG_SZ的CheckedValue删除）。然后单击右键“新建”--〉“Dword值”，并命名为CheckedValue，然后修改它的键值为1，这样就可以选择“显示所有隐藏文件”。

经过刚才一番操作，我的电脑里的隐藏文件可以看到了，假如上述方法无效，那么可能是 HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden的数据丢失或损坏，遇到这种情况，请在Windows XP安装光盘中找到Hidden.reg，双击它，然后单击“确定”按钮，将该完整的注册表数据添加到当前系统的注册表中即可。（备注：可是我手头上的XP安装光盘找来找去都没有这个东西，假如你不幸遇到这种情况，可以尝试使用这种方法：找一部没有问题的电脑，把

HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden这个分支导出（假如命名为1.reg）；然后备份有问题的电脑的该注册表分支；最后把1.reg导入看能否解决问题。我没试过所以不知道会不会出现什么意外，祝各位好运！假如某人能够在XP安装光盘里找到这个东西，请把文件里面的内容复制到评论里面，并且注明该XP安装光盘有没有打过SP1或者是SP2，谢谢！）

我看到在我的D：E：F：这些盘中（除了c盘）都出现了autorun.inf和sxs.exe两个文件，删除又再生.而且U盘插进去也出现这两个文件。此时杀毒软件一直是无法启动，我把金山的换成江民的，还是没用，看来是病毒限制了杀毒软件的运行，所以首先要把病毒的自动运行关掉，我也找了网上的资料，不过我试了，没有用，找不到rous.exe,我提供给你们，自己去试一下看看！

你这是修改过的ROSE病毒

可以结束SXS的进程删除，记住，用鼠标右键进入硬盘

同时按下Ctrl+Shift+Esc三个键 打开windows任务管理器

选择里面的“进程”标签

在“映像名称”下查找“sxs.exe” 但击它 再选择“结束进程”

一定要结束所有的“sxs.exe”进程

打开我的电脑 单击 工具菜单下的“文件夹选项”

单击“查看”标签 把“高级设置”中的

“隐藏受保护的操作系统文件（推荐）”前面的勾取消

并选择下面的“显示所有文件和文件夹”选项

单击“确定”

用鼠标右键点C盘（不能双击！） 选择 “打开”

删除C盘下的 “autorun.inf”文件 和“sxs.exe”文件

用鼠标右键点D盘 选择 “打开”

删除D盘下的 “autorun.inf”文件 和“sxs.exe”文件（另外有个文件也是，是个.exe 同样删了它）

……

以此类推 删除所有盘上的 AUTORUN.INF文件 和“rose.exe”文件

单击开始 选择“运行” 输入 "regedit"(没有引号) ，回车

依次展开注册表编辑器左边的 我的电脑HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

删除Run项中的 ROSE （c:\windows\system32\SXS.exe)这个项目

关闭注册表编辑器

然后重新启动计算机

删除硬盘上是ROSE：

按下shift键不放 插入U盘 直到电脑提示“新硬件可以使用”

打开我的电脑

这时在U盘的图标上点鼠标右键 选择“打开” （不要点自动播放或者是双击！）

删除 SXS.exe和autorun.inf文件 病毒就没有了

上面我说了这个方法对我没有用！sxs.exe没有专杀,现在只能通过注册表杀毒

打开注册表“regedit”,找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

有些网友说删除Run项中的 ROSE （c:\windows\system32\SXS.exe)这个项目

我找了一下没找到这个Run项目，但是我看了一下在Run里面有两个"SoundMam"，而且后面给的数值不一样，一个给的是“C:\\WINDOWS\\system32\\SVOHOST.exe”另一个是“SOUNDMAN.EXE”我想大家也发现了，肯定有问题，我看了一下，只有后面一个是正确的，前一个是豪杰超级解霸的“自动播放伺服器”的程序，看来病毒是加到这个里面了，借助自动播放到处传播！（这是我认为的，不知道对不对）于是就删除了这个项，退出注册表，打开杀毒软件，可以使用了，只是在一般杀毒时，还是找不到sxs.exe的，我用的是江民的，他有未知病毒扫描，在那里里面可以发现的，他是一种“硬盘蠕虫病毒”，删掉就行了，本来我是想截屏给大家看看的，可惜我重启了，没复制下来，哪位朋友补充一下在下面！感谢！

那还剩下autorun.inf，直接到各个硬盘删就可以了，再清空回收站就可以了，其他的都正常了，可能还有些网友系统可能出现些问题，如豪杰超级解霸的“自动播放伺服器”不能使用了，我的建议是：不要用了，就是他坏的事！要是你非要用就重新装吧！最后重新启动，可以了！

5、发现Cache中有病毒(错)

与CMOS中没有病毒一样，Cache中也是根本不可能存在病毒的。

我们知道，程序执行时，数据流是这样被传送的:

外存(软/硬盘)

网络=内存(RAM)=Cache-CPU

Cache物理器件上是一块高速缓存芯片，它被设置在RAM与CPU之间，是RAM到CPU的一条必由通道。由于CPU的运算速度越来越快，而计算机的内存(RAM)的速度总是显得跟不上CPU。“为了缓解CPU与RAM之间的速度矛盾，一般采用在它们之间加入一块高速缓存芯片Cache，使同一时间下 RAM为CPU准备的代码不再是单一的指令/数据，而是一长段指令序列或可访问数据块。

可见Cache中存放的是非静态数据(计算机用语中的“数据”包括“程序代码”)， 它总是随程序的执行在不断刷新，被RAM中的数据不断更换。它的内容总是RAM中数据的某一部分的备份。

如果RAM中有了 病毒，其病毒代码将经由Cache送到CPU，由CPU解码执行。病毒代码“流经” Cache这一现象并不能称为“有Cache病毒”，就好像我们不能因为病毒代码在CPU中执行就认为有CPU病毒一样。事实上，从PC机的组成原理来看，所有病毒都必须经由Cache进入CPU，因为所有正常或非正常数据都是这样进入CPU中解码执行的。

此外，Cache中不可能有病毒的重要原因之一也在于Cache不能被软件编址，无法人为控制。

和CMOS不一样的是，Cache并没有专用电源供电。因而Cache中的数据将在关机后自动清除，在开机时自动刷新。这样的环境中的“病毒”是既无法存储又无法复制的。可见，Cache并不是病毒的安乐窝， 没有人会考虑在这样的环境中置放病毒。

6、病毒不感染数据文件(错)

通常是这样。因为病毒是一段程序，而数据文件一般不包含程序，当然就不会感染病毒.TXT、.PCX等文件因为肯定不包含程序，所以可能不会感染病毒。不过有些病毒会破坏各种文件，所以备份数据文件还是非常必要的。作为例外的是，若数据文件包含了可执行码，那么它就能够被病毒感染了。关于这方面的一个好的例子Microsoft Word文件(.DOC和.DOT)。虽然word文件是技术上的数据文件，但Word中可以包含一段程序，因此它们能够容纳病毒，并因为是可执行文件，故而是容易受病毒感染的。目前大部分的病毒感染报告都是来源于宏病毒。

这位兄弟，你下载的七个文件一定是七个分卷压缩包吧，那段英文的意思是：你需要其它的分卷来的提取这个文件。打个比方：你打开的是分卷1，出现这个提示的时候你得按提示浏览选择分卷2继续来提取你所需要的文件。直到你余下的六个分卷压缩包全部提完。这样子整个文件包就全了。另外你所说的修改文件后缀名，操作：打开我的电脑，选择菜单工具--文件夹选项--查看--把那个隐藏已知文件类型的扩展名的那个勾取消掉点应用就OK了。这样子你的文件的后缀名就出来了。改成你需要的后缀名就行了。不懂可以接着问我。

vs2008工具箱中的控件不能使用并且也是重新安装了vs2008的是设置错误造成的，解决方法为：

1、首先确认自己不是在如下图所示的代码编写界面，因为在该界面下右边的工具箱窗口中没有控件，这是由于不可能直接向代码窗口拖入控件，所以VS不显示控件。

2、即使在代码窗口下，右键点击工具箱窗口空白处选择重置工具箱也看不到控件。

3、或者右键点击工具箱窗口空白处选择全部显示，虽然有控件显示出来但是是灰色的，不能拖动，这些还是由于不能向代码窗口拖入控件造成的。

4、切到设计窗口再看工具箱就是有控件的了，如果没有右键点击工具箱窗口空白处选择重置工具箱就会出来。还是没有的话重启软件或重启电脑，再重置工具箱。

. 打开你的文件浏览器，点击“工具”，在“文件夹选项”中设置为“显示隐藏文件和文件夹”

. 删除"toolbox.tbd", "toolboxIndex.tbd", "toolbox_reset.tbd", "toolboxIndex_reset.tbd"四个文件

. 重起Visual Studio，这里可能要稍微等待一会儿，等VS配置工具栏。然后就可以看到工具栏又回来了