“扫除”技巧之清除恶意程序

道　道

如果隐藏的文件都看不到了，不管是在“文件夹选项”，还是在注册表中修改都没有效果。或系统、隐藏文件无法显示，或双击盘符无反应(如果没有被清除，双击盘符就又执行恶意程序一次)，或“任务管理器”中有sxs.exe或者svohost.exe进程(冒充系统进程svchost.exe)，或杀毒软件实时监控自动关闭无法打开。这是因为sxs.exe在搞鬼，我们可以手工清除这个恶意程序。

①用Ctrl+Alt+Del打开“任务管理器”，在进程列表中查找sxs.exe或SVOHOST.exe，如果有，就强制结束进程。

②运行regedit.exe打开“注册表编辑器”，展开分支[HKEY_LOCAL_MACHINEkSoftwareMi—crosoftWindowsCurrentVersionexplorerAdvancedFOIderHiddenSHOWALL]，在右侧窗格中将CheckedValue键值修改为“1”。注意此处正确的CheckedValue键值应该是“DWORD值”，恶意程序有可能将它删除并新建一个无效的“字符串值”的CheckedValue，因此直接修改键值不一定有效，还要检查键值类型是否正确。

③删除假冒的CheckedValue键值，在右侧窗格空白处右击，选择“新建→DWORD值”，并将它命名为CheckedValue，键值修改为“1”。重启之后，就可以在文件夹选项中选择“显示所有隐藏文件”和“显示系统文件”了。

④右击盘符打开各个盘符的根目录，将各根目录下的autorun.inf和sxs.exe文件删除。再次打开“注册表编辑器”，展开[HKEY_LOCAL_MACHINESOFTWAREMi－crosoftWindowsCurrentVersionRun]，在右侧窗格中找到SoundMam键值，确认其键值为C:Windowssystem32SVOHOST.exe后删除此键值。最后到C:Windowssystem32目录下删除SVOHOST.exe或sxs.exe。重启后，虽然杀毒软件可以正常打开了，但是自动运行可能会有问题，建议用“添加删除程序”中的修复项恢复杀毒软件的组件。

小提示：在清除所有文件操作的过程中，打开盘符都应右击盘符选择“打开”，避免恶意程序再次执行。