SoundMam 或者 SVOHOST 手工清除的方法

特征：双击盘符出现无法打开的现象、自动禁用杀毒软件，开机后杀毒软件自动关闭。
检查会发现：在每个盘根目录下自动生成sxs.exe,autorun.inf文件，有的还在windows\system32下生成SVOHOST.exe 或 sxs.exe ，文件属性为隐含属性。
传染途径：主要通过U盘，移动硬盘
危害：可以盗取qq密码
迷惑性：
1、按ctrl+del+alt查看进程，可能多出svohost进程，他与系统自带的svchost只差一字，大家要看清楚！
2、注册表修改项隐蔽更强，如何修改我将在下面详细说明。
3、自动修改注册表，使系统“显示所有隐藏文件”功能失效，从而达到隐藏自己病毒体文件的目的。
4、最重要一条，即使电脑的安装驱动盘被格式化，依然可以在其它盘符下存在，而且只要双击盘符就可以自动生成。
清除办法：在操作中注意用鼠标右键打开盘符，切勿双击。
1、关闭病毒进程
Ctrl + Alt + Del 任务管理器，在进程中查找sxs 或 SVOHOST（不是SVCHOST，相差一个字母），有的话就将它结束掉（并不是所有的系统都显示有这个进程，没有的就略过此步）。
2、恢复注册表（有的系统可能病毒没有修改注册表，检验办法是，如果您的系统能看到隐藏文件那么这步可以省略，建议大家都看一下）
2.1删除病毒自启动项
打开注册表 运行——regedit
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Run下找到 SoundMam（注意不是soundman,只差一个字母） 键值，可能有两个，删除其中的键值为 C:\\WINDOWS\system32\SVOHOST.exe 。
2.2 显示出被隐藏的系统文件
HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL，将CheckedValue键值修改为1
这里要注意，病毒会把本来有效的DWORD值CheckedValue删除掉，新建了一个无效的字符串值CheckedValue,类型为REG_SZ，并且把键值改为0！我们将这个改为1是毫无作用的。大家要看清楚CheckedValue后面的类型，正确的是“RED_DWORD”而不是“REG_SZ”（有部分病毒变种会直接把这个CheckedValue给删掉，只需和下面一样，自己再重新建一个就可以了）
方法：删除此CheckedValue键值，单击右键 新建——Dword值——命名为CheckedValue，然后修改它的键值为1，这样就可以选择“显示所有隐藏文件”和“显示系统文件”。
在文件夹——工具——文件夹选项中将系统文件和隐藏文件设置为显示
3、删除病毒体文件
在分区盘上单击鼠标右键——打开，看到每个盘跟目录下有 autorun.inf 和sxs.exe 两个文件，将其删除。
最彻底的删除办法是：单击开始--运行--cmd 确定后在dos状态下写如下命令
(一般系统盘跟目录下可能没有病毒体文件，但是其他盘应该都存在)
attrib -h -r -s c:\ sxs.exe
del c:\ sxs.exe
attrib -h -s -r c:\autorun.inf
del c:\autorun.inf
attrib -h -r -s d:\ sxs.exe
del d:\ sxs.exe
attrib -h -s -r d:\autorun.inf
del d:\autorun.inf
建议大家可以写成一的批处理，然后运行一下就ok了
最后到 C:\\WINDOWS\system32\ 目录下删除 SVOHOST.exe 或sxs.exe
为了方便大家转载网上一个批处理删除病毒体文件，运行的时候如果提示“没有发现该文件”说明找不到病毒体文件，没有关系的。因为有些目录病毒可能没有复制到里面去。
大家把这个复制后用文本文件保存，然后改名为delsxs.bat,最后双击运行就ok了。
attrib -h -r -s c:\ sxs.exe
del c:\ sxs.exe
attrib -h -s -r c:\autorun.inf
del c:\autorun.inf
attrib -h -r -s d:\ sxs.exe
del d:\ sxs.exe
attrib -h -s -r d:\autorun.inf
del d:\autorun.inf
attrib -h -r -s e:\ sxs.exe
del e:\ sxs.exe
attrib -h -s -r e:\autorun.inf
del e:\autorun.inf
attrib -h -r -s f:\ sxs.exe
del f:\ sxs.exe
attrib -h -s -r f:\autorun.inf
del f:\autorun.inf
Attention：使用u盘或者是移动硬盘的时候要在插入后，立刻按住shift键，防止自动运行程序启动，打开的时候要点右键--打开，这样病毒就不会运行（如果存在病毒文件sxs.exe和autorun.inf直接删除就ok了），否则如果你的u盘上有此病毒，你双击后，非但打不开u盘，还运行了病毒程序，呵呵上面做的一切都要重做了哦。
至于杀毒软件不能自动启动的问题，那可以重新安装或者参考各杀毒软件的处理办法了，这里就不一一列举了。
===========其他的相关说明-仅供参考网上复制部分====
[金山毒霸关于本病毒的描述Win32.Troj.QQRobber.cj] sxs.exe这是一个盗取QQ帐号密码的木马病毒，特点是可以通过可移动磁盘传播。该病毒的主要危害是盗取QQ帐户和密码；该病毒还会结束大量反病毒软件，降低系统的安全等级。
1，生成文件
%system%\SVOHOST.exe
%system%\winscok.dll
2，添加启动项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"SoundMam" = "%system%\SVOHOST.exe"
3，盗取方式
键盘记录，包括软件盘；将盗取的号码和密码通过邮件发送到指定邮箱。
4，传播方式
检测系统是否有可移动磁盘，是则拷贝病毒到可移动磁盘根目录。
sxs.exe
autorun.inf
5，autorun.inf添加下列内容，达到自运行的目的。
[AutoRun]
open=sxs.exe
shellexecute=sxs.exe特征：双击盘符出现无法打开的现象、自动禁用杀毒软件，开机后杀毒软件自动关闭。
检查会发现：在每个盘根目录下自动生成sxs.exe,autorun.inf文件，有的还在windows\system32下生成SVOHOST.exe 或 sxs.exe ，文件属性为隐含属性。
传染途径：主要通过U盘，移动硬盘
危害：可以盗取qq密码
迷惑性：
1、按ctrl+del+alt查看进程，可能多出svohost进程，他与系统自带的svchost只差一字，大家要看清楚！
2、注册表修改项隐蔽更强，如何修改我将在下面详细说明。
3、自动修改注册表，使系统“显示所有隐藏文件”功能失效，从而达到隐藏自己病毒体文件的目的。
4、最重要一条，即使电脑的安装驱动盘被格式化，依然可以在其它盘符下存在，而且只要双击盘符就可以自动生成。
清除办法：在操作中注意用鼠标右键打开盘符，切勿双击。
1、关闭病毒进程
Ctrl + Alt + Del 任务管理器，在进程中查找sxs 或 SVOHOST（不是SVCHOST，相差一个字母），有的话就将它结束掉（并不是所有的系统都显示有这个进程，没有的就略过此步）。
2、恢复注册表（有的系统可能病毒没有修改注册表，检验办法是，如果您的系统能看到隐藏文件那么这步可以省略，建议大家都看一下）
2.1删除病毒自启动项
打开注册表 运行——regedit
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Run下找到 SoundMam（注意不是soundman,只差一个字母） 键值，可能有两个，删除其中的键值为 C:\\WINDOWS\system32\SVOHOST.exe 。
2.2 显示出被隐藏的系统文件
HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL，将CheckedValue键值修改为1
这里要注意，病毒会把本来有效的DWORD值CheckedValue删除掉，新建了一个无效的字符串值CheckedValue,类型为REG_SZ，并且把键值改为0！我们将这个改为1是毫无作用的。大家要看清楚CheckedValue后面的类型，正确的是“RED_DWORD”而不是“REG_SZ”（有部分病毒变种会直接把这个CheckedValue给删掉，只需和下面一样，自己再重新建一个就可以了）
方法：删除此CheckedValue键值，单击右键 新建——Dword值——命名为CheckedValue，然后修改它的键值为1，这样就可以选择“显示所有隐藏文件”和“显示系统文件”。
在文件夹——工具——文件夹选项中将系统文件和隐藏文件设置为显示
3、删除病毒体文件
在分区盘上单击鼠标右键——打开，看到每个盘跟目录下有 autorun.inf 和sxs.exe 两个文件，将其删除。
最彻底的删除办法是：单击开始--运行--cmd 确定后在dos状态下写如下命令
(一般系统盘跟目录下可能没有病毒体文件，但是其他盘应该都存在)
attrib -h -r -s c:\ sxs.exe
del c:\ sxs.exe
attrib -h -s -r c:\autorun.inf
del c:\autorun.inf
attrib -h -r -s d:\ sxs.exe
del d:\ sxs.exe
attrib -h -s -r d:\autorun.inf
del d:\autorun.inf
建议大家可以写成一的批处理，然后运行一下就ok了
最后到 C:\\WINDOWS\system32\ 目录下删除 SVOHOST.exe 或sxs.exe
为了方便大家转载网上一个批处理删除病毒体文件，运行的时候如果提示“没有发现该文件”说明找不到病毒体文件，没有关系的。因为有些目录病毒可能没有复制到里面去。
大家把这个复制后用文本文件保存，然后改名为delsxs.bat,最后双击运行就ok了。
attrib -h -r -s c:\ sxs.exe
del c:\ sxs.exe
attrib -h -s -r c:\autorun.inf
del c:\autorun.inf
attrib -h -r -s d:\ sxs.exe
del d:\ sxs.exe
attrib -h -s -r d:\autorun.inf
del d:\autorun.inf
attrib -h -r -s e:\ sxs.exe
del e:\ sxs.exe
attrib -h -s -r e:\autorun.inf
del e:\autorun.inf
attrib -h -r -s f:\ sxs.exe
del f:\ sxs.exe
attrib -h -s -r f:\autorun.inf
del f:\autorun.inf
Attention：使用u盘或者是移动硬盘的时候要在插入后，立刻按住shift键，防止自动运行程序启动，打开的时候要点右键--打开，这样病毒就不会运行（如果存在病毒文件sxs.exe和autorun.inf直接删除就ok了），否则如果你的u盘上有此病毒，你双击后，非但打不开u盘，还运行了病毒程序，呵呵上面做的一切都要重做了哦。
至于杀毒软件不能自动启动的问题，那可以重新安装或者参考各杀毒软件的处理办法了，这里就不一一列举了。
===========其他的相关说明-仅供参考网上复制部分====
[金山毒霸关于本病毒的描述Win32.Troj.QQRobber.cj] sxs.exe这是一个盗取QQ帐号密码的木马病毒，特点是可以通过可移动磁盘传播。该病毒的主要危害是盗取QQ帐户和密码；该病毒还会结束大量反病毒软件，降低系统的安全等级。
1，生成文件
%system%\SVOHOST.exe
%system%\winscok.dll
2，添加启动项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"SoundMam" = "%system%\SVOHOST.exe"
3，盗取方式
键盘记录，包括软件盘；将盗取的号码和密码通过邮件发送到指定邮箱。
4，传播方式
检测系统是否有可移动磁盘，是则拷贝病毒到可移动磁盘根目录。
sxs.exe
autorun.inf
5，autorun.inf添加下列内容，达到自运行的目的。
[AutoRun]
open=sxs.exe
shellexecute=sxs.exe