我的MP3中了SXS.EXE和AUTO.INF的病毒,怎么清除掉?

这是一个盗取QQ帐号密码的木马病毒，特点是可以通过可移动磁盘传播。该病毒的主要危害是盗取QQ帐户和密码；该病毒还会结束大量反病毒软件，降低系统的安全等级。

1，生成文件
%system%\SVOHOST.exe
%system%\winscok.dll

2，添加启动项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"SoundMam" = "%system%\SVOHOST.exe"

3，盗取方式
键盘记录，包括软件盘；将盗取的号码和密码通过邮件发送到指定邮箱。

4，传播方式
检测系统是否有可移动磁盘，是则拷贝病毒到可移动磁盘根目录。
sxs.exe
autorun.inf

5，autorun.inf添加下列内容，达到自运行的目的。
[AutoRun]
open=sxs.exe
shellexecute=sxs.exe

6，关闭窗口名为下列的应用程序
QQKav
雅虎助手
防火墙
网镖
杀毒
病毒
木马
恶意
QQAV
噬菌体

7，结束下列进程
sc.exe
net.exe
sc1.exe
net1.exe
PFW.exe
Kav.exe
KVOL.exe
KVFW.exe
TBMon.exe
kav32.exe
kvwsc.exe
CCAPP.exe
EGHOST.exe
KRegEx.exe
kavsvc.exe
VPTray.exe
RAVMON.exe
KavPFW.exe
SHSTAT.exe
RavTask.exe
TrojDie.kxp
Iparmor.exe
MAILMON.exe
MCAGENT.exe
KAVPLUS.exe
RavMonD.exe
Rtvscan.exe
Nvsvc32.exe
KVMonXP.exe
Kvsrvxp.exe
CCenter.exe
KpopMon.exe
RfwMain.exe
KWATCHUI.exe
MCVSESCN.exe
MSKAGENT.exe
kvolself.exe
KVCenter.kxp
kavstart.exe
RAVTIMER.exe
RRfwMain.exe
FireTray.exe
UpdaterUI.exe
KVSrvXp_1.exe
RavService.exe

8，删启动项
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
RavTask
KvMonXP
YLive.exe
yassistse
KAVPersonal50
NTdhcp
WinHoxt

上网中毒！完美解决方案。站长亲历的解决方法！与大家分享。

最近，一些网友反映经常上网中毒。我也不例外中招了！
对那些为了一己私利，而不顾一切损害大家。感觉到痛心和不齿！借用一句前段时间流行的话，人不能无此到这中地步！l
从我的良知和道德出发，为大家提供一个安全、快乐的网络环境。还大家一个蔚蓝的网络天空！
为此，今天特意把已经关闭的论坛，重新开启为大家服务！！
下面步人正题： 第一步： 下载下面软件
金山毒霸2006真正无限升级第4版
----（目前最完美的版本)

软件类型: 杀毒
软件语言: 中文
软件大小: 17 MBB

软件简介:

1、实现主程序升级。
2、完全正版服务器升级
3、破解文件自动升级
4、免序列号，通行证，免重启。
5、说白了，比正版还牛。不信可以试用。

注意：老版用户，要把原版卸载！

第二步： 安装
安装前请看注意说明：
1.下载后解压到你安装金山毒霸的路径下，把里面的文件替换掉原来的金山文件。
然后用Update2.EXE升级即可
2.本程序并没有加载任何病毒，木马，如果你在别的地方下载的我不敢保证，但是在我这里下载的肯定是没有病毒的，如果你下载后被金山查出是病毒的话，那是很正常的。因为这个软件违反了金山的利益，你是金山的话你也会添加到病毒库中去的。
3.不要把程序改名字，改为Update.EXE的话，立刻就会被金山替换掉，如果你为了方便的话，你得为Update2.EXE新建一个快捷方式到桌面自己升级吧。不要以为从此一劳永逸。
4.该程序有可能会叫你输入注册号，在弹开的窗口那里已经有提供了，你只要复制后粘贴就可以了
5.再次希望你们看清楚了说明再用，不要老说升级不成功。我天天升，我朋友也跟着升，大家都没有问题
如果金山把它当病毒的话，我会查明后再做修改，请注意这两天的通知。
6.为何有的朋友发来的是感谢回帖，有的是投诉贴。请问那些不成功的朋友，你们是否有看清楚我写的东西。
第二步：杀毒
用 Update2.EXE升级到最新的数据库。
再开始全面杀毒
至此杀毒完毕系统恢复正常！
软件本站下载地址：http://www.hhh123.com/bbs/viewthread.php?tid=1&page=1&extra=page%3D1#pid1别的地方下载的我不敢保证没有加载任何病毒，木马.
我的电脑打不开，硬盘双击出现sxs.exe。
sxs.exe是病毒，已经被杀。
因为中毒时，在你的硬盘增加了一个批处理文件。autorun.inf硬盘双击
时先运行sxs.exe。详细请见：http://www.hhh123.com/bbs/viewth ... extra=page%3D1#pid2

mp3格式化了还有的话
就绝对是从电脑里传过来的了~ (不过不保证是你的电脑)

因为据说 sxs会使显示隐藏文件的项不可用(强制改了注册表了) 所以可能会看不到auto.inf也说不准(但理论下应该是什么隐藏文件都看不到了呀 怎么你还看到了sxs.exe 笑 不懂)
你看看我今天写的日志吧
我自己没中过这毒 但今天去网上总结了下 写的 笑
http://hi.baidu.com/funway/blog/item/5cea33d327a592003af3cfa5.html

“落雪”(GamePass)木马专杀1.1

http://www.jiangmin.com/download/TrojanKiller.rar

“落雪”GamePass木马病毒专杀工具
使用方法：下载文件至本机，解压后双击运行即可
查杀引擎版本：1.1
工具大小:51.7 KB
最新更新日期：2006.08.23
落雪木马专杀工具 V1.1 绿色版

http://down1.sz1001.net/up/小型软件2_0810/TrojanKiller.rar

“落雪”木马也叫“游戏大盗”（ Trojan/PSW.GamePass），由VB 程序语言编写，通过 nSPack 3.1 加壳处理（即通常所说的“北斗壳”North Star），该木马文件图标一般是红色的图案，伪装成网络游戏的登陆器。

病毒运行后，在C盘program file以及windows目录下生成winlogon.exe、regedit.com等14个病毒文件，病毒文件之多比较少见，，事实上这14个不同文件名的病毒文件系同一种文件，“落雪”之名亦可能由此而来。病毒文件名被模拟成正常的系统工具名称，但是文件扩展名变成了 .com。江民反病毒工程师分析，这是病毒利用了Windows操作系统执行.com文件的优先级比EXE文件高的特性，这样，当用户调用系统配置文件Msconfig.exe的时候，一般习惯上输入 Msconfig，而这是执行的并不是微软的Msconfig.exe程序，而是病毒文件 Msconfig.com ，病毒作者的“良苦用心”由此可见。病毒另一狡诈之处还有，病毒还创建一名为winlogon.exe的进程，并把 winlogon.exe 的路径指向c:\windows\winlogon.exe，而正常的系统进程路径是C:\WINDOWS\system32\ winlogon.exe，以此达到迷惑用户的目的。

江民反病毒工程师介绍，除了在C盘下生成很多病毒文件外，病毒还修改注册表文件关联，每当用户点击html文件时，都会运行病毒。此外，病毒还在D盘下生成一个自动运行批处理文件，这样即使C盘目录下的病毒文件被清除，当用户打开D盘时，病毒仍然被激活运行。这也是许多用户反映病毒屡杀不绝的原因。

rose病毒：
症状：双击盘符无法打开，只能通过右键打开；几天之后删除系统NTDETECT.COM文件，系统无法启动。
传播途径：U盘、MP3、移动硬盘
检查方法：将文件夹选项--查看中的"隐藏受保护的操作系统文件（推荐）"前的勾去掉，并在此项下面选择“显示所有文件和文件夹”。然后打开任一盘符，如果发现有“rose.exe”和“AUTORUN.INF”文件，则已中毒。
解决方法：
手动：
结束rose.exe进程，然后删掉以下文件：各个盘符下的autorun.inf和rose.exe文件（包括自己的U盘等），c:\windows\system32\run.reg，c:\windows\system32\systemdate.ini(里面记录着删掉NTDETECT.COM文件的时间)，d:\systemfile.com文件；最后将注册表中HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下面的dll键值删掉，然后重启即可。
自动：
清除工具下载地址:http://www.blog.edu.cn/UploadFiles/2006-5/56357941.rar
然后重启即可。

格式化该盘即可