昨天偶然发现,隐藏属性的文件不能通过显示所有文件和文件夹显示文件了,奇怪!一查进程多了个SVOHOST.EXE,可不是svchost.exe,可能中了什么木马.杀掉现象依旧,应该是注册表被其改动,隐藏其身份.
” 在”开始”菜单中点击”运行”命令,在弹出的对话框里键入regedit打开注册表,找到HKEY_LOCAL_MACHINE\Software \Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\Hidden\。在这里有两 个主键,分别是NOHIDDEN、SHOWALL(windows2000)。在SHOWALL下面有个二进制键值CheckedValue,把它的键值 修改是”0″ ,原来如此!将其改为”1″后,原以为ok,结果现象依旧!
把NOHIDDEN的CheckedValue 值改为1,SHOWALL的CheckedValue值也改为0,点了不显示隐藏……按确定后,隐藏的文件夹全显了出来,后又点了显示所 有……按确定后,文件夹反而藏了起,正好与事实相反!虽然可以通过”不显示隐藏……”看隐藏文件,但总不爽,且菜单中没有缺省选中项了, 不知是否windows的BUG.
对比后,恍然大悟,原来木马把SHOWALL的CheckedValue的值的属性改成REG_SZ,而不是DWORD!!!所以无论SHOWALL的CheckedValue是否==1,都不起作用!改回后回复正常!sxs.exe病毒手动删除方法

特征:在每个盘根目录下自动生成sxs.exe,autorun.inf文件,有的还在windows\system32下生成SVOHOST.exe 或 sxs.exe ,文件属性为隐含属性。自动禁用杀毒软件。
Ctrl + Alt + Del 任务管理器,在进程中查找 sxs 或 SVOHOST(不是SVCHOST,相差一个字母),有的话就将它结束掉(并不是所有的系统都显示有这个进程,没有的就略过此步)。

(显示出被隐藏的系统文件)
HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL,将CheckedValue键值修改为1
这 里要注意,病毒会把本来有效的DWORD值CheckedValue删除掉,新建了一个无效的字符串值CheckedValue,类型为REG_SZ,并 且把键值改为0!我们将这个改为1是毫无作用的。大家要看清楚CheckedValue后面的类型,正确的是”RED_DWORD”而不 是”REG_SZ”(有部分病毒变种会直接把这个CheckedValue给删掉,只需和下面一样,自己再重新建一个就可以了)