赶走QQ病毒，使丢失的文件现身

前几日，公司财务部的小王，费尽“九牛二虎”之力，才把上月实发工资的总额结算完毕。为了防止其“成果”被恶意人涂改，小王将其文档从电脑中隐藏了起来。可没想到，数隔两日后，这个包含所有员工的工资表，居然不翼而飞，难道是被人删除了？貌似不可能，因为机器这两天没被别人动过，那究竟是什么原因？

　　经过笔者一番检查，发现原来是系统受到了一种名为“Sxs.exe”病毒的攻击，该病毒全名叫Trojan.PSW.QQPass.pqb病毒，一般利用网站途径进行非法传播，被其病毒所感染的文件，都会自动隐藏起来。而通过选择“文件夹”对话框里的“显示所有文件和文件夹”选项，是无法帮您显示出被病毒所感染的隐藏文件，要将其文件现身唯一办法，就是清除“Sxs.exe”病毒。

　　如果你硬盘每个分区都仔细浏览过，将不难从中发现里面都会含有“sxs.exe”文件和“autorun.inf”文件，这两个可疑文件就是病毒加载到系统内的服务端。在正常情况下，无法直接删除，这里须在键盘上同时按住Ctrl+Alt+Del组合键，在弹出的“Windows任务管理器”窗口里，将上方默认选择“应用程序”标签，切换至“进程”标签处。然后从编辑区里，找到并且选中名称为“svohost.exe”或“sxs.exe”的进程标签，单击“结束进程”按钮后，此时的病毒就会停止运行。

　　接下来打开“注册表”编辑器，将其组件依次展开到“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
Folder\Hidden\SHOWALL”子项（如图1）。然后在右侧编辑区里，检查一下“CheckedValue”键值，是否类型与以前有所改动，或者根本就不存在“CheckedValue”键值。如果是以上两种情况的其中一种，那么你就需要在编辑区，将被改动的该键值删除，或者没有就可省了删除的步骤。然后单击“右键”按钮，选择“新建”→“Dword值”选项，将其名称设置为“CheckedValue”双字节值，紧接着再双击该名称，会弹出“编辑Dword值”的对话框，将里面“数值数据”文本处的数字更改为“1”（如图2），单击“确定”按钮后，重新启动计算机，使设置生效。

　　当然这里我们也不排除该病毒会“卷土重来”，为了防止“历史”的再次重演，进入C盘系统区根目录，将里面“sxs.exe”和“svohost.exe”文件直接删除掉。而后再次打开“注册表”编辑器，依次展开组件到“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”子项下，然后在从右侧编辑区内，将其“SoundMam”键值删除掉，即可关闭其“注册表”编辑器。

　　最后进入C:\Windows\system32系统目录下，把“sxs.exe”文件和“svohost.exe”文件删除，这样所残留下来的“Sxs.exe”病毒余孽，即可也会被我们“驱逐处境”了。这回再选中“文件夹”对话框里的“显示所有文件和文件夹”选项，所丢失的隐藏文件，就会被恢复并且显示我们的面前。当然下载使用瑞星公司，刚刚推出的“橙色八月专用提取清除”工具，也可轻松赶走“Sxs.exe”病毒，两者得到的结果相同。