“掃除”技巧之清除惡意程序

道　道

如果隱藏的文件都看不到了，不管是在“文件夾選項”，還是在注冊表中修改都沒有效果?；蛳到y、隱藏文件無法顯示，或雙擊盤符無反應(如果沒有被清除，雙擊盤符就又執行惡意程序一次)，或“任務管理器”中有sxs.exe或者svohost.exe進程(冒充系統進程svchost.exe)，或殺毒軟件實時監控自動關閉無法打開。這是因為sxs.exe在搞鬼，我們可以手工清除這個惡意程序。

①用Ctrl+Alt+Del打開“任務管理器”，在進程列表中查找sxs.exe或SVOHOST.exe，如果有，就強制結束進程。

②運行regedit.exe打開“注冊表編輯器”，展開分支[HKEY_LOCAL_MACHINEkSoftwareMi—crosoftWindowsCurrentVersionexplorerAdvancedFOIderHiddenSHOWALL]，在右側窗格中將CheckedValue鍵值修改為“1”。注意此處正確的CheckedValue鍵值應該是“DWORD值”，惡意程序有可能將它刪除并新建一個無效的“字符串值”的CheckedValue，因此直接修改鍵值不一定有效，還要檢查鍵值類型是否正確。

③刪除假冒的CheckedValue鍵值，在右側窗格空白處右擊，選擇“新建→DWORD值”，并將它命名為CheckedValue，鍵值修改為“1”。重啟之后，就可以在文件夾選項中選擇“顯示所有隱藏文件”和“顯示系統文件”了。

④右擊盤符打開各個盤符的根目錄，將各根目錄下的autorun.inf和sxs.exe文件刪除。再次打開“注冊表編輯器”，展開[HKEY_LOCAL_MACHINESOFTWAREMi－crosoftWindowsCurrentVersionRun]，在右側窗格中找到SoundMam鍵值，確認其鍵值為C:Windowssystem32SVOHOST.exe后刪除此鍵值。最后到C:Windowssystem32目錄下刪除SVOHOST.exe或sxs.exe。重啟后，雖然殺毒軟件可以正常打開了，但是自動運行可能會有問題，建議用“添加刪除程序”中的修復項恢復殺毒軟件的組件。

小提示：在清除所有文件操作的過程中，打開盤符都應右擊盤符選擇“打開”，避免惡意程序再次執行。