硬盘双击无法打开,显示不了隐藏文件的解决方案

这个问题是中了SXS.EXE病毒和落雪病毒了，已经有很长时间了，可是在百度电脑故障吧上还是有很多朋友问我，没所有就只好发到这里了。


一、症状： 

1、在d、e、f等非系统盘右键菜单生成AUTO选项，并在个盘下面生成autorun.inf和sxs.exe两个隐藏文件。当寒冰第一次遇上这个病毒时，由于有了u盘auto 病毒的查杀经验，通过把“文件夹选项”中的“隐藏受保护的操作系统文件（推荐）”前面的勾取消，并选择下面的“显示所有文件和文件夹”，明显看到autorun.inf，打开autorun.inf，里面写着：
[AutoRun] 
open=sxs.exe 
shellexecute=sxs.exe 
由此判定另一个文件sxs.exe为同谋，且为真正元凶。意思就是当你双击硬盘盘符，或者你选择“AUTO”打开时，程序自动执行sxs.exe文件，也就是运行病毒了，所以，就算你把c盘格式化，只要你双击其他盘符，马上病毒就重新运作，走遍全盘了，也摆脱了不少网友一味重装就天下大吉的“谎言”。

2、杀毒程序无法运行
发现中毒后，马上启动朋友的瑞星查杀，可是，当界面一闪而过后，什么都没有了（后来连安装和卸载都无法正常进行），后来查资料才知道该病毒可以关闭窗口名为下列的应用程序：“QQKav 、雅虎助手、 防火墙、网镖、杀毒、病毒、木马、恶意、QQAV、噬菌体”，同时也可以结束下列进程：
sc.exe 、net.exe 、sc1.exe、net1.exe 、PFW.exe 、Kav.exe 、KVOL.exe 、KVFW.exe 、
TBMon.exe 、kav32.exe 、kvwsc.exe、 CCAPP.exe、EGHOST.exe 、KRegEx.exe 、kavsvc.exe 、VPTray.exe 、RAVMON.exe、 KavPFW.exe、SHSTAT.exe、RavTask.exe 、
TrojDie.kxp 、Iparmor.exe、 MAILMON.exe、 MCAGENT.exe、 KAVPLUS.exe 、RavMonD.exe 、Rtvscan.exe 、Nvsvc32.exe 、KVMonXP.exe 、Kvsrvxp.exe 、CCenter.exe 、KpopMon.exe、 RfwMain.exe 、KWATCHUI.exe、MCVSESCN.exe、 
MSKAGENT.exe 、kvolself.exe 、KVCenter.kxp 、kavstart.exe 、RAVTIMER.exe 、
RRfwMain.exe 、FireTray.exe 、UpdaterUI.exe 、KVSrvXp_1.exe 、RavService.exe 
换句话说，当前的主流杀软和防火墙都是其查杀对象，包括金山，卡吧，瑞星，江民，天网等等都无法正常启动的。

3、添加启动项
查看系统启动项，看到一个叫Soundmam的启动项，可是文件却是指向c:windows/system32，诈一看好像是声卡的驱动哦，不过朋友的机没有这个声卡驱动的啊，而且仔细一看，原来指向的文件是“SVOHOST.exe”，这下一看更加肯定了，又是一个假冒“svchost.exe”的骗子。

4、他方他言
之前在某论坛有人把该病毒上传后提供下载，让其他人测试，在这里选取其中的几个回复，加深各位对该病毒认识： 
说说那个东西吧。是前天帮人杀毒时发现的，在dos下杀软也未发现它们有问题。
提取出来，在自己机上试，确实厉害：XP sp2系统的防火墙立刻关了，提示说防火墙关闭，存在风险；接着杀软的实时监控也不见了；系统几乎停止响应，任务管理器中rundll32.exe进程的CPU占用率99%以上；又多了个svohost.exe进程。
昨天下午4点多的时候，偶已经把那些东西上报给国内3家杀软公司，请他们看看是否属于病毒。
不管你点击运行什么程序!都会报道说这程序要访问网络!(我是用诺顿检测到的)，即是说世界级的杀软也不知那些东西是何物。
偶怕5楼大侠的毒库不够新而查不到，今天下午专门找了一台装诺顿10企业版的机子，升级毒库至最新，9月27日的（今天是29日，再升，却说已经是最新，不能再升），检查那个压缩包里的文件，查得飞快，最后提示是“已经查了3个文件”，既不说发现病毒，也不说没发现病毒。这正是世界级杀软的过人之处：其它杀软往往说“没发现病毒！”，诺顿不愧是经验丰富的“老江湖”！
至于有人说是Trojan.QQPass病毒，我想也不一定对。一个偷密码的木马也不至于把系统整到死掉这么傻吧，系统死了，人家会重装，还怎么偷呢。

昂翼的诺顿大师:
运行压缩包里的sxs之后,产生的svohost.exe文件会访问网络!
就算禁止访问网络之后! 因为svohost.exe还在进程里,所以这时候,不管你点击运行什么程序!都会报道说这程序要访问网络!(我是用诺顿检测到的) 比如我这时候打开WinRAR,然后winrar会访问网络!

独孤不败:
用卡巴没什么反应！但用Ewido就发现是Trojan.QQPass.jf
.......

总结：以上特征在寒冰遇见的5部机子各有所不同，共同的是sxs.exe文件和杀软无法正常启动，而右键添加AUTO项只有两部机出现过，而启动项目SOUNDMAM则只有在一部机出现过，而且其他机子也找不到svohost.exe这个文件，同时，一次删除后竟然会多出一个“pagefile的指向 MS-DOS 程序的快捷方式”，应该一并删除，总总迹象表明应该是病毒的不同变种所表现的不同特征。
而且，更有趣的是，在一部机子的sxs.exe图标，竟然是大侦探柯南的头像，不知道该作者是漫画迷还是喜欢跟我们玩侦探工作呢？呵呵～～


二、病毒报告

通俗名称：SXS.EXE

官方名称：Trojan/PSW.QQPass

作恶目的：一个盗取QQ帐号密码的木马病毒，特点是可以通过可移动磁盘传播。该病毒的主要危害是盗取QQ帐户和密码；该病毒还会结束大量反病毒软件，降低系统的安全等级。（不过很奇怪，在中毒的机子里，5个机主的QQ全部一切平安，只有2部机会自动发送一个正规的网页链接，相信是为了该网站增加流量而做的病毒营销，其中一个发送以下内容：“如果你能看到圆图说明你运气一直不错，如果是方图，说明你今天运气很好，如果什么也没有，那就别怪我啊。。。。hxxp://down.pjon.com/index.html ”）

极端作恶：侵入还原系统，更有甚者会侵入硬盘的GHO文件（网上传闻，寒冰也无法证实），也就是说，你的ghost系统已经不干净了，建议中毒者ghost还原前再检验一次MD5值，如果证实被感染，请使用另一版本安装！！！
而且最近一部机删除后竟然一进登录界面（也就是看到“欢迎使用”时）音箱发出开机音乐，但过了一两秒，音箱发出关机音乐。然后出现选择用户界面，无论选择那一个用户都是同样的状态，在“安全模式”下也是一样，最后也只好重装了，不过，在那部机寒冰也了解了最多东西了。

作恶手段：

1，生成文件 
%system%\SVOHOST.exe 
%system%\winscok.dll 
2，添加启动项 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 
"SoundMam" = "%system%\SVOHOST.exe" 
3，盗取方式 
键盘记录，包括软件盘；将盗取的号码和密码通过邮件发送到指定邮箱。 
4，传播方式 
检测系统是否有可移动磁盘，是则拷贝病毒到可移动磁盘根目录。 
sxs.exe 
autorun.inf 
5，autorun.inf添加下列内容，达到自运行的目的。 
[AutoRun] 
open=sxs.exe 
shellexecute=sxs.exe 
6，关闭窗口名为下列的应用程序 （如上）
7，结束下列进程（如上） 
8，删启动项 
HKLM\Software\Microsoft\Windows\CurrentVersion\Run 
RavTask 
KvMonXP 
YLive.exe 
yassistse 
KAVPersonal50 
NTdhcp 
WinHoxt 


三、解决方案－歪门邪道版解决方案:

A：歪门邪道版：

寒冰版：该病毒可是寒冰见过的最顽固之一，针对频频在非系统盘复制autorun.inf和sxs.exe两个文件，寒冰曾经试过在安全模式下删除后新建两个同名文件，可是被病毒发觉，重启后又变成了他的手下，5555，不过寒冰建议ntfs格式的网友不烦试试新建后把两个文件的权限改为完全控制，相信可能会奏效也不一定，如果真的可以到时记得跟帖告诉寒冰哦

jeehua 版:我用咖啡和ewido解决sxs.exe感染的。GHOST系统到C盘，先在麦咖啡设置规则“禁止在任何地方写入、创建任何文件”，然后用ewido40查杀。保住了除系统盘以外的所有文件。（可惜很多杀毒软件都没有这个卖咖啡的这个选项啊，郁闷ing～～）

chlxiayu版:
手动删除“sxs.exe病毒”方法：(注意:在以下整个过程中不得双击分区盘，需要打开时用鼠标右键——打开)
1、关闭病毒进程
Ctrl + Alt + Del 任务管理器，在进程中查找 sxs 或 SVOHOST（不是SVCHOST，相差一个字母），有的话就将它结束掉
2、显示出被隐藏的系统文件
运行——regedit
HKEY_LOCAL_MACHINE"Software"Microsoft"windows"CurrentVersion"
explorer"Advanced"Folder"Hidden"SHOWALL，
将CheckedValue键值修改为1
这里要注意，病毒会把本来有效的DWORD值CheckedValue删除掉，新建了一个无效的字符串值CheckedValue，并且把键值改为0！我们将这个改为1是毫无作用的。（有部分病毒变种会直接把这个CheckedValue给删掉，只需和下面一样，自己再重新建一个就可以了）
方法：删除此CheckedValue键值，单击右键 新建——Dword值——命名为CheckedValue，然后修改它的键值为1，这样就可以选择“显示所有隐藏文件”和“显示系统文件”。
在文件夹——工具——文件夹选项中将系统文件和隐藏文件设置为显示
3、删除病毒
在分区盘上单击鼠标右键——打开，看到每个盘跟目录下有 autorun.inf 和 sxs.exe 两个文件，将其删除。
4、删除病毒的自动运行项
打开注册表 运行——regedit
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Run 
下找到 SoundMam 键值，可能有两个，删除其中的键值为 C:""WINDOWS"system32"SVOHOST.exe 的
最后到 C:""WINDOWS"system32" 目录下删除 SVOHOST.exe 或 sxs.exe 
重启电脑后，发现杀毒软件可以打开，分区盘双击可以打开了。
5、后续
杀毒软件实时监控可以打开，但开机无法自动运行
最简单的办法，执行杀毒软件的添加删除组件——修复，即可.

B：正规版：见以下批处理:

该病毒根据所收集的资料和相应的实际处理经验，发现瑞星、江民、nod可以查杀，其他杀软未作试验，故不知可查杀否，如果你安装以上集中杀软，可以不使用这个批处理，当然，如果你感觉其他盘未清，也可以用本处理再清理一次，现寒冰把该批处理文件原文提出，各位有兴趣的可以把以下代码复制到文本，也试试做属于自己的批处理文件查杀文件哦：

@echo::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
@echo::停止正在运行的SXS.EXE和SVOHOST.EXE进程，请稍侯......
@echo::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
TASKKILL /F /T /IM SXS.EXE
TASKKILL /F /T /IM SVOHOST.EXE 
TASKKILL /F /T /IM ROSE.EXE
@echo::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
@echo::恢复注册表中不给设置显示隐藏文件的项目,请稍侯
@echo::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
ECHO Windows Registry Editor Version 5.00>SHOWALL.reg

ECHO [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]>>SHOWALL.reg
ECHO "CheckedValue"=->>SHOWALL.reg

ECHO [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]>>SHOWALL.reg
ECHO "CheckedValue"=dword:00000001>>SHOWALL.reg

@echo::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
@echo::删除系统目录下的SXS.EXE、SVOHOST.EXE和WINSCOK.DLL文件,请稍侯......
@echo::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
ATTRIB -R -H -S -A %SystemRoot%\System32\SXS.EXE
ATTRIB -R -H -S -A %SystemRoot%\System32\SVOHOST.EXE
ATTRIB -R -H -S -A %SystemRoot%\System32\WINSCOK.DLL
DEL /F /Q /A -R -H -S -A %SystemRoot%\System32\SXS.EXE
DEL /F /Q /A -R -H -S -A %SystemRoot%\System32\SVOHOST.EXE
DEL /F /Q /A -R -H -S -A %SystemRoot%\System32\WINSCOK.DLL

ATTRIB -R -H -S -A %SystemRoot%\SXS.EXE
ATTRIB -R -H -S -A %SystemRoot%\SVOHOST.EXE
ATTRIB -R -H -S -A %SystemRoot%\WINSCOK.DLL
DEL /F /Q /A -R -H -S -A %SystemRoot%\SXS.EXE
DEL /F /Q /A -R -H -S -A %SystemRoot%\SVOHOST.EXE
DEL /F /Q /A -R -H -S -A %SystemRoot%\WINSCOK.DLL

ATTRIB -R -H -S -A %SystemRoot%\System\SXS.EXE
ATTRIB -R -H -S -A %SystemRoot%\System\SVOHOST.EXE
ATTRIB -R -H -S -A %SystemRoot%\System\WINSCOK.DLL
DEL /F /Q /A -R -H -S -A %SystemRoot%\System\SXS.EXE
DEL /F /Q /A -R -H -S -A %SystemRoot%\System\SVOHOST.EXE
DEL /F /Q /A -R -H -S -A %SystemRoot%\System\WINSCOK.DLL

ATTRIB -R -H -S -A %SystemRoot%\System32\dllcache\SXS.EXE
ATTRIB -R -H -S -A %SystemRoot%\System32\dllcache\SVOHOST.EXE
ATTRIB -R -H -S -A %SystemRoot%\System32\dllcache\WINSCOK.DLL
DEL /F /Q /A -R -H -S -A %SystemRoot%\System32\dllcache\SXS.EXE
DEL /F /Q /A -R -H -S -A %SystemRoot%\System32\dllcache\SVOHOST.EXE
DEL /F /Q /A -R -H -S -A %SystemRoot%\System32\dllcache\WINSCOK.DLL

@echo::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
@echo::删除每个分区下的SXS.EXE和AUTORUN.INF文件，请稍侯.......
@echo::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
FOR %%a IN ( C: D: E: F: G: H: I: J: K: L: M: N: O: P: Q: R: S: T: U: V: W: X: Y: Z: ) DO ATTRIB -R -H -S -A %%a\SXS.EXE & DEL /F /Q /A -R -H -S -A %%a\SXS.EXE & ATTRIB -R -H -S -A %%a\AUTORUN.INF & DEL /F /Q /A -R -H -S -A %%a\AUTORUN.INF

@echo::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
@echo::删除注册表中自启动项，请稍侯......
@echo::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
ECHO Windows Registry Editor Version 5.00>SoundMam.reg

ECHO [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SoundMam]>>SoundMam.reg

ECHO [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]>>SoundMam.reg
ECHO "SoundMam"=->>SoundMam.reg

REGEDIT /S SoundMam.reg

DEL /F /Q SoundMam.reg


REGEDIT /S SHOWALL.reg

DEL /F /Q SHOWALL.reg

建议最好在安全模式下进行查杀


“落雪”木马也叫“游戏大盗”（ Trojan/PSW.GamePass），由VB 程序语言编写，通过 nSPack 3.1 加壳处理（即通常所说的“北斗壳”North Star），该木马文件图标一般是红色的图案，伪装成网络游戏的登陆器。
    中毒后的特征:在C盘下生成很多病毒文件；修改注册表文件关联；双击D盘打不开；网络游戏帐号莫名被盗；杀毒软件突然异常终止
    病毒运行后，在C盘program file以及windows目录下生成winlogon.exe、regedit.com等14个病毒文件，病毒文件之多比较少见，，事实上这14个不同文件名的病毒文件系同一种文件，“落雪”之名亦可能由此而来。病毒文件名被模拟成正常的系统工具名称，但是文件扩展名变成了 .com。江民反病毒工程师分析，这是病毒利用了Windows操作系统执行.com文件的优先级比EXE文件高的特性，这样，当用户调用系统配置文件Msconfig.exe的时候，一般习惯上输入 Msconfig，而这是执行的并不是微软的Msconfig.exe程序，而是病毒文件 Msconfig.com ，病毒作者的“良苦用心”由此可见。病毒另一狡诈之处还有，病毒还创建一名为winlogon.exe的进程，并把   winlogon.exe 的路径指向c:\windows\winlogon.exe，而正常的系统进程路径是C:\WINDOWS\system32\ winlogon.exe，以此达到迷惑用户的目的。
    江民反病毒工程师介绍，除了在C盘下生成很多病毒文件外，病毒还修改注册表文件关联，每当用户点击html文件时，都会运行病毒。此外，病毒还在D盘下生成一个自动运行批处理文件，这样即使C盘目录下的病毒文件被清除，当用户打开D盘时，病毒仍然被激活运行。这也是许多用户反映病毒屡杀不绝的原因。
    针对“落雪”病毒，江民杀毒软件KV系列产品已及时升级，用户只需升级病毒库到最新状态、开启病毒实时监控即可有效防杀该病毒，亦可使用江民未知病毒检测功能处理该病毒。没有安装杀毒软件的用户，也可以下载使用江民“落雪”木马专杀工具进行杀毒，以免遭“落雪”病毒侵害。