週末朋友打電話過來求助,說電腦裡存的一個很重要的文件不翼而飛,叫我趕去幫忙找下。
原來是一個記帳的excel表格,為了保密,朋友將其隱藏了。但是今天要查數據的時候,將其設置為顯示,卻無論如何也找不到了。
起初我分析可能是他不小心刪文件的時候把那文件給刪掉了。所以,我在網上下載了一個找回刪除文件的軟件試圖將不見的excel表格找回來。結果找了半天沒有找到。
朋友突然問我“是不是中病毒了?”他一句話驚醒夢中人啊。我想到之前中“熊貓燒香”的時候就是這樣,它把注冊表中一個鍵值改掉,所有的隱藏文件都無法正常顯示。
經過一番檢查,發現原來是系統真感染了病毒。系統受到一種名為“Sxs.exe”病毒的攻擊,該病毒全名叫Trojan.PSW.QQPass.pqb病毒,一般利用網站途徑進行非法傳播,被其病毒所感染的文件,都會自動隱藏起來。而通過選擇“文件夾”對話框裡的“顯示所有文件和文件夾”選項,是無法幫您顯示出被病毒所感染的隱藏文件,要將其文件現身唯一辦法,就是清除“Sxs.exe”病毒。
如果你硬盤每個分區都仔細瀏覽過,將不難從中發現裡面都會含有“sxs.exe”文件和“autorun.inf”文件,這兩個可疑文件就是病毒加載到系統內的服務端。在正常情況下,無法直接刪除,這裡須在鍵盤上同時按住Ctrl+Alt+Del組合鍵,在彈出的“Windows任務管理器”窗口裡,將上方默認選擇“應用程序”標簽,切換至“進程”標簽處。然後從編輯區裡,找到並且選中名稱為“svohost.exe”或“sxs.exe”的進程標簽,單擊“結束進程”按鈕後,此時的病毒就會停止運行。
接下來打開“注冊表”編輯器,將其組件依次展開到“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL”子項。然後在右側編輯區裡,檢查一下“CheckedValue”鍵值,是否類型與以前有所改動,或者根本就不存在“CheckedValue”鍵值。如果是以上兩種情況的其中一種,那麼你就需要在編輯區,將被改動的該鍵值刪除,或者沒有就可省了刪除的步驟。
然後單擊“右鍵”按鈕,選擇“新建”→“Dword值”選項,將其名稱設置為“CheckedValue”雙字節值,緊接著再雙擊該名稱,會彈出“編輯Dword值”的對話框,將裡面“數值數據”文本處的數字更改為“1”,單擊“確定”按鈕後,重新啟動計算機,使設置生效。
剩下的我們即是將病毒徹底地斬草除根,以免它卷土重來。我進入C盤根目錄下,將裡面“sxs.ext”和“svohost.exe”文件直接刪除掉。而後再次打開“注冊表”編輯器,依次展開組件到“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”子項下,然後在從右側編輯區內,將其“SoundMam”鍵值刪除掉,即可關閉其“注冊表”編輯器。
最後進入C:\Windows\system32系統目錄下,把“sxs.exe”文件和“svohost.exe”文件刪除,這樣剛才所殘留下來的“Sxs.exe”病毒被我們全部消滅幹淨。
這下我們再選中“文件夾”對話框裡的“顯示所有文件和文件夾”選項,所丟失的隱藏文件,就會被恢復並且顯示我們的面前。
|
