木马病毒----谁知道?

所谓的木马程式 先从名字来看 木马 取自希腊神话 特洛伊木马屠城纪 是说敌人留一只木马 而你又傻傻的把他弄进城里 杀你全家

木马程式跟木马屠城很像 都是你自己把木马(病毒)迎进家门口的 但是木马程式的种类很多 最常用的就是一些腥煽色的东西 所以来路不明的东西不要下载 在来是 木马有分很多种 最基本的是测录你的纪录 最强的是远端遥控 木马应该不算病毒 他不太会造成你系统毁损 但是你的资料会不保 资源会被占用 等等后果 而且木马程式用一般的扫毒软体无法扫掉( 诺顿 趋势)而是要另外去查询方法 用手动的方法去扫掉 大概就是这样吧

PWSteal.Lemir.Gen 是对一类游戏盗密木马的统称，与一般的木马病毒不同的是这个名称并不代表著一个固定的木马，而是一类木马，并且这类木马的数目极其繁多，清除方法也各不相同。 以前我们曾经撰写过一篇《手工彻底清除 PWSteal.Lemir.Gen(SysModule32.DLL,SysModule64.DLL) 木马的方法》 的文章，用来介绍清除一个档案是 SysModule32.DLL、SysModule64.DLL 的 PWSteal.Lemir.Gen 木马，但由於许多朋友没有留意到文章前面的提示，以为 PWSteal.Lemir.Gen 指的都是同一个木马，使用这个方法应该是可以的，结果按照指示反覆操作也无法成功，非常失望。

一般的，当您遇到这种木马时可以先尝试用自己的防毒软体来清除它，但如果防毒软体在发现这种木马后却无法成功清除掉它，总是报告清除失败或隔离失败，那该怎麼办呢？

费尔托斯特安全是一款可以清除木马和病毒的软体，它可以清除大量的 PWSteal.Lemir.Gen 木马，如果您有它的正式版可以在升级到最新病毒码后尝试用它扫瞄清除，但这里需要特别提醒一下：由於这类木马新变种层出不穷，所以不能保证费尔托斯特安全能够识别出目前所有的或者您遇到的。 那麼除此之外难道就没有其他办法了吗？有的，下方就介绍一个借助免费工具「费尔木马强力清除助手」来清除这种顽固性 PWSteal.Lemir.Gen 木马的方法：

使用这个方法前必须要先知道这个木马的档案名是什麼。防毒软体在发现木马后一般都会报告它的完整档案名，您需要先准确的记录下这个档案名。比如：如果防毒软体提示 C:\Windows\hello.dll 是 PWSteal.Lemir.Gen 木马，则记下 C:\Windows\hello.dll 这个名子。这里需要注意档案名一定要记准确，因为有许多木马会把自己的档案名故意伪装成和正常的档案名很接近，比如 svch0st.exe(木马)-svchost.exe(正常)、Expl0rer.exe(木马)-Explorer.exe(正常)、intrenat.exe / internet.exe(木马)-internat.exe(正常)等等。特别是数位0几乎和大写字母O一样，很容易让人看错，所以一定要注意区分它们，否则万一记错将有可能把正常的档案清除掉，那就麻烦了；

暂停防毒软体的即时监控，防止在清除时被它阻止造成失败。比如如果当初是你的诺顿发现了这个木马，那麼请先暂停诺顿的即时监控或即时扫瞄；

下载费尔木马强力清除助手 http://dl.filseclab.com/down/powerrmv.zip；

释放 PowerRmv.zip 到一个目录，然后执行其中的 PowerRmv.exe 启动「费尔木马强力清除助手」。在「档案名」中输入要清除的 PWSteal.Lemir.Gen 木马档案名。比如如果您在第1步中记下的档案名是 C:\Windows\hello.dll，那麼这时就输入它；

按「清除」。这时程式会询问你是否要举报此病毒到费尔安全实验室，建议点「是」表示同意。接著程式会继续提示是否确定要清除它，仍然选「是」；

之后，如果此木马被成功清除程式会提示成功；或者也可能提示此木马无法被立即删除需要重新启动电脑。无论是哪种情况请点选「确定」，这时如果您在前面同意了举报此木马那麼程式会自动创建并开启一个「病毒举报」的电子邮件，其中会包含这个木马的样本档案，如果您看到了这个邮件请把它直接传送给 virus@filseclab.com 。如果您并没有看到这封邮件也没有关系，可以忽略。

最后，如果程式前面提示了重新启动电脑后才能清除那麼请一定重新启动您的电脑，在电脑重新启动后这个木马应该就被清除掉了。

重要提示： 如果您按上面的方法操作之后，发现不久这个木马又出现了，并且还是同样的档案名，那麼您可以用上面的方法再重复执行一次，不过这次操作时请选择程式中的「抑制档案再次生成」选项， 这样清除后一般木马就很难再复活了。这个功能是最新版「费尔木马强力清除助手」中提供的，如果您的没有这个选项，请从上面的位址中重新下载一次。

注意：

「费尔木马强力清除助手」有很强的档案删除能力，清除后的档案将无法再还原，所以在清除前一定要确定档案名没有输入错误。

如果您按上面的方法操作后仍然不能成功清除掉木马，则可能是电脑中还存在著另外一个更主要的木马程式或备份，在它被清除后会自动从另外一处还原。这时您需要用防毒软体扫瞄出所有的这些木马，然后逐一或同时清除才行。

三、rootkit 的类型：

我们可将 rootkit 分为两大类

1.Application rootkit - 建立於应用层级

Application rootkit 是最常被拿来使用的 rootkit。攻击者以 rootkit 中的木马程式来替

换系统中正常的应用程式与系统档案。木马程式会提供后门给攻击者并隐藏其踪迹，攻击者做的

任何活动都不会储存在纪录档中。下面列举了一些攻击者可能取代的档案：

‧隐藏攻击者踪迹的程式 -

(1).ls, find, du - 木马程式可以隐藏攻击者档案、欺骗系统，让系统的档案及目录泄露讯息。

(2).ps, top, pidof - 这些程式都是程序监看程式，它们可以让攻击者在进行攻击的过程中，

隐藏攻击者本身的程序。

(3).netstat - netstat 是用来检查网路活动的连结与监听，如开放的通讯埠等等。木马程式

netstat 可以隐藏攻击者的网路活动，例如 ssh daemon 或其他服务。

(4).killall - 木马程式 killall 让管理者无法停止程序。

(5).ifconfig - 当监听软体正在执行时，木马程式 ifconfig 不会显示 PROMISC flag，这样

可以隐藏攻击者，不被监听软体察觉。

(6).crontab - 木马程式 crontab 可以隐藏攻击者的 crontab 进入情况。

(7).tcpd, syslogd - 木马程式 tcpd 与 "syslog" 不会纪录攻击者的行为。

‧后门程式 -

(1).chfn - 提升使用者的权限。执行 chfn，在输入新使用者名称时，只要输入 rootkit 密码

，就可以取得 root 的权限。

(2).chsh - 提升使用者的权限。执行 chsh，在输入新 shell 时，只要输入 rootkit 密码，

就可以取得 root 的权限。

(3).passwd - 提升使用者的权限。执行 passwd，在输入新密码时，只要输入 rootkit 密码，

就可以取得 root 的权限。

(4).login - 能够纪录任何使用者名称，包含 root 登入的密码。

(5).bd2 - 木马程式 rpcbind 允许攻击者在受害主机上执行任意程式码。

‧木马程式程式 -

(1).inetd - 木马程式 inetd 可以替攻击者打开远端登入的通讯埠，只要输入密码就可以取得

root 的权限。

(2).rshd - 替攻击者提供远端的 shell。(范例：rsh [hostname] - l [rootkit password])

(3).rsh - 透过 rsh 可以取得 root 的密码。(范例：rsh [hostname] - l [rootkit password])

(4).sshd -攻击者以特定帐号密码登入就能拥有 root shell 的权限。

‧监听程式 -

(1).linsniffer - linux 小型的监听程式。

(2).sniffchk - 这个程式可以检验与确认网路监听程式是否正在执行。

(3).le - Solaris Ethernet 封包的监听程式。

(4).snif - linux 其他封包的监听程式。

(5).sniff-10mb - 这是一个设计来监听 10mbps Ethernet 的监听程式。

(6).sniff-100mb - 这是一个设计来监听 100mbps Ethernet 的监听程式。

‧其他种类 -

(1).fix - 安装木马程式时 (例如：ls) 更改的时间戳记与检验封包值的讯息。

(2).wted - wtmp 的编辑程式。可让攻击者修改 wtmp。

(3).z2 - 移除 wtmp/utmp/lastlog。

(4).bindshell - 把 rootshell 与某个通讯埠结合在一起。(预设埠号为 31337)

(5).zap3 - 攻击者会从 wtmp, utmp, lastlog, wtmpx 和 utmpx 移除他们的踪迹。zap3 通常

根据下列目录来找寻纪录档的位置，例如 /var/log, /var/adm, /usr/adm, 与 /var/run。

木马病毒

可以使用金山清理专家扫描恶意软件

下载地址：http://www.duba.net

如果可以找到病毒文件的具体位置 可以使用百宝箱里的文件粉碎器

粉碎掉病毒文件(找不到病毒文件 继续下步操作)

然后使用windows清理助手清理系统

http://www.arswp.com/download/arswp/arswp.rar

特鲁伊木马病毒！

这种病毒怎么清除? 特洛伊木马（Trojan horse）

完整的木马程序一般由两个部份组成：一个是服务器程序，一个是控制器程序。“中了木马”就是指安装了木马的服务器程序，若你的电脑被安装了服务器程序，则拥有控制器程序的人就可以通过网络控制你的电脑、为所欲为，这时你电脑上的各种文件、程序，以及在你电脑上使用的帐号、密码就无安全可言了。

木马程序不能算是一种病毒，但越来越多的新版的杀毒软件，已开始可以查杀一些木马了，所以也有不少人称木马程序为黑客病毒。

特洛伊木马是如何启动的

1. 在Win.ini中启动

在Win.ini的[windows]字段中有启动命令"load＝"和"run＝"，在一般情况下 "＝"后面是空白的，如果有后跟程序，比方说是这个样子：

run=c:\windows\file.exe

load=c:\windows\file.exe

要小心了，这个file.exe很可能是木马哦。

2.在System.ini中启动

System.ini位于Windows的安装目录下，其[boot]字段的shell=Explorer.exe是木马喜欢的隐藏加载之所，木马通常的做法是将该何变为这样:shell=Explorer.exefile.exe。注意这里的file.exe就是木马服务端程序!

另外，在System.中的[386Enh]字段，要注意检查在此段内的"driver＝路径\程序名"这里也有可能被木马所利用。再有，在System.ini中的[mic]、[drivers]、[drivers32]这3个字段，这些段也是起到加载驱动程序的作用，但也是增添木马程序的好场所，现在你该知道也要注意这里喽。

3.利用注册表加载运行

如下所示注册表位置都是木马喜好的藏身加载之所，赶快检查一下，有什么程序在其下。

4.在Autoexec.bat和Config.sys中加载运行

请大家注意，在C盘根目录下的这两个文件也可以启动木马。但这种加载方式一般都需要控制端用户与服务端建立连接后，将己添加木马启动命令的同名文件上传到服务端覆盖这两个文件才行，而且采用这种方式不是很隐蔽。容易被发现，所以在Autoexec.bat和Confings中加载木马程序的并不多见，但也不能因此而掉以轻心。

5.在Winstart.bat中启动

Winstart.bat是一个特殊性丝毫不亚于Autoexec.bat的批处理文件，也是一个能自动被Windows加载运行的文件。它多数情况下为应用程序及Windows自动生成，在执行了Windows自动生成，在执行了Win.com并加截了多数驱动程序之后

开始执行 (这一点可通过启动时按F8键再选择逐步跟踪启动过程的启动方式可得知)。由于Autoexec.bat的功能可以由Witart.bat代替完成，因此木马完全可以像在Autoexec.bat中那样被加载运行，危险由此而来。

6.启动组

木马们如果隐藏在启动组虽然不是十分隐蔽，但这里的确是自动加载运行的好场所，因此还是有木马喜欢在这里驻留的。启动组对应的文件夹为C:\Windows\start menu\programs\startup,在注册表中的位置:HKEY_CURRENT_USER\Software\Microsoft\windows\CurrentVersion\Explorer\shell

Folders Startup="c:\windows\start menu\programs\startup"。要注意经常检查启动组哦!

7.*.INI

即应用程序的启动配置文件，控制端利用这些文件能启动程序的特点，将制作好的带有木马启动命令的同名文件上传到服务端覆盖这同名文件，这样就可以达到启动木马的目的了。只启动一次的方式:在winint.ini.中(用于安装较多)。

8.修改文件关联

修改文件关联是木马们常用手段 (主要是国产木马，老外的木马大都没有这个功能)，比方说正常情况下TXT文件的打开方式为Notepad.EXE文件，但一旦中了文件关联木马，则txt文件打开方式就会被修改为用木马程序打开，如著名的国产木马冰河就是这样干的. "冰河"就是通过修改HKEY_CLASSES_ROOT\txtfile\whell\open\command下的键值，将“C:\WINDOWS\NOTEPAD.EXE本应用Notepad打开，如著名的国产HKEY一CLASSES一ROOT\txt闹e\shell\open\commandT的键值，将 "C:\WINDOWS\NOTEPAD.EXE%l"改为 "C:\WINDOWS\SYSTEM\SYSEXPLR.EXE%l"，这样，一旦你双击一个TXT文件，原本应用Notepad打开该文件，现在却变成启动木马程序了，好狠毒哦!请大家注意，不仅仅是TXT文件，其他诸如HTM、EXE、ZIP.COM等都是木马的目标，要小心搂。

对付这类木马，只能经常检查HKEY_C\shell\open\command主键，查看其键值是否正常。

9.捆绑文件

实现这种触发条件首先要控制端和服务端已通过木马建立连接，然后控制端用户用工具软件将木马文件和某一应用程序捆绑在一起，然后上传到服务端覆盖源文件，这样即使木马被删除了，只要运行捆绑了木马的应用程序，木马义会安装上去。绑定到某一应用程序中，如绑定到系统文件，那么每一次Windows启动均会启动木马。

10.反弹端口型木马的主动连接方式

反弹端口型木马我们已经在前面说过了，由于它与一般的木马相反，其服务端 (被控制端)主动与客户端 (控制端)建立连接，并且监听端口一般开在80，所以如果没有合适的工具、丰富的经验真的很难防范。这类木马的典型代表就是网络神偷"。由于这类木马仍然要在注册表中建立键值注册表的变化就不难查到它们。同时，最新的天网防火墙(如我们在第三点中所讲的那样)，因此只要留意也可在网络神偷服务端进行主动连接时发现它。

WORM_NUGACHE.G(威金)和TROJ_CLAGGE.B 特洛伊木马（Trojan horse）

的解决方案:

WORM_NUGACHE.G(威金)

病毒码发布日期: Dec 8, 2006

解决方案:

Note: To fully remove all associated malware, perform the clean solution for TROJ_DLOADER.IBZ.

Terminating the Malware Program

This procedure terminates the running malware process.

Open Windows Task Manager.

• On Windows 98 and ME, press

CTRL+ALT+DELETE

• On Windows NT, 2000, XP, and Server 2003, press

CTRL+SHIFT+ESC, then click the Processes tab.

In the list of running programs*, locate the process:

MSTC.EXE

Select the malware process, then press either the End Task or the End Process button, depending on the version of Windows on your computer.

To check if the malware process has been terminated, close Task Manager, and then open it again.

Close Task Manager.

*NOTE: On computers running Windows 98 and ME, Windows Task Manager may not show certain processes. You can use a third party process viewer such as Process Explorer to terminate the malware process.

On computers running all Windows platforms, if the process you are looking for is not in the list displayed by Task Manager or Process Explorer, continue with the next solution procedure, noting additional instructions. If the malware process is in the list displayed by either Task Manager or Process Explorer, but you are unable to terminate it, restart your computer in safe mode.

Editing the Registry

This malware modifies the computer's registry. Users affected by this malware may need to modify or delete specific registry keys or entries. For detailed information regarding registry editing, please refer to the following articles from Microsoft:

HOW TO: Backup, Edit, and Restore the Registry in Windows 95, Windows 98, and Windows ME

HOW TO: Backup, Edit, and Restore the Registry in Windows NT 4.0

HOW TO: Backup, Edit, and Restore the Registry in Windows 2000

HOW TO: Back Up, Edit, and Restore the Registry in Windows XP and Server 2003

Removing Autostart Entries from the Registry

Removing autostart entries from the registry prevents the malware from executing at startup.

If the registry entry below is not found, the malware may not have executed as of detection. If so, proceed to the succeeding solution set.

Open Registry Editor. Click StartRun, type REGEDIT, then press Enter.

In the left panel, double-click the following:

HKEY_LOCAL_MACHINESOFTWAREMicrosoft

WindowsCurrentVersionRun

In the right panel, locate and delete the entry:

Microsoft Domain Controller = "%System%\mstc.exe"

(Note: %System% is the Windows system folder, which is usually C:\Windows\System on Windows 98 and ME, C:\WINNT\System32 on Windows NT and 2000, and C:\Windows\System32 on Windows XP and Server 2003.)

Removing Added Key from the Registry

Still in Registry Editor, in the left panel, double-click the following:

HKEY_LOCAL_MACHINESOFTWARE

In the left panel, locate and delete the following key:

GNU

Close Registry Editor.

Important Windows ME/XP Cleaning Instructions

Users running Windows ME and XP must disable System Restore to allow full scanning of infected computers.

Users running other Windows versions can proceed with the succeeding solution set(s).

Running Trend Micro Antivirus

If you are currently running in safe mode, please restart your computer normally before performing the following solution.

Scan your computer with Trend Micro antivirus and delete files detected as WORM_NUGACHE.G. To do this, Trend Micro customers must download the latest virus pattern file and scan their computer. Other Internet users can use HouseCall, the Trend Micro online virus scanner.

Applying Patch

This malware exploits known vulnerability in Windows. Download and install the fix patch supplied by Microsoft. Refrain from using this product until the appropriate patch has been installed. Trend Micro advises users to download critical patches upon release by vendors.

TROJ_CLAGGE.B 特洛伊木马（Trojan horse）

病毒码发布日期: Sep 18, 2006

解决方案:

Identifying the Malware Program

To remove this malware, first identify the malware program.

Scan your computer with your Trend Micro antivirus product.

NOTE the path and file name of all files detected as TROJ_CLAGGE.B.

Trend Micro customers need to download the latest virus pattern file before scanning their computer. Other users can use Housecall, the Trend Micro online virus scanner.

Editing the Registry

This malware modifies the computer's registry. Users affected by this malware may need to modify or delete specific registry keys or entries. For detailed information regarding registry editing, please refer to the following articles from Microsoft:

HOW TO: Backup, Edit, and Restore the Registry in Windows 95, Windows 98, and Windows ME

HOW TO: Backup, Edit, and Restore the Registry in Windows NT 4.0

HOW TO: Backup, Edit, and Restore the Registry in Windows 2000

HOW TO: Back Up, Edit, and Restore the Registry in Windows XP and Server 2003

Removing Malware Entry from the Registry

Open Registry Editor. Click StartRun, type REGEDIT, then press Enter.

In the left panel, double-click the following:

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices

SharedAccessParametersFiREWaLLpolicyStAnDaRDPrOFiLe

AUtHorizedapplicationsList

In the right panel, locate and delete the entry:

{Malware path and file name} ="{Malware path and file name}:*:ENABLED:0"

Close Registry Editor.

Important Windows ME/XP Cleaning Instructions

Users running Windows ME and XP must disable System Restore to allow full scanning of infected computers.

Users running other Windows versions can proceed with the succeeding solution set(s).

Running Trend Micro Antivirus

If you are currently running in safe mode, please restart your computer normally before performing the following solution.

Scan your computer with Trend Micro antivirus and delete files detected as TROJ_CLAGGE.B and TROJ_KEYLOG.CO. To do this, Trend Micro customers must download the latest virus pattern file and scan their computer. Other Internet users can use HouseCall, the Trend Micro online virus scanner

木马是病毒吗

是病毒的一种

木马被称为“特洛伊”，在Internet上，指包含了可以控制用户的计算机系统的程序，能造成系统被破坏甚至瘫痪

木马隐藏途径有：在任务栏中隐藏自己，这是最基本的只要把Form的Visible属性设为False、ShowInTaskBar设为False，程序运行时就不会出现在任务栏中了。在任务管理器中隐形：将程序设为“系统服务”可以很轻松地伪装自己。

在win.ini文件中，在[WINDOWS]下面，“run=”和“load=”是可能加载“木马”程序的途径，必须仔细留心它们。一般情况下，它们的等号后面什么都没有，如果发现后面跟有路径与文件名不是你熟悉的启动文件，你的计算机就可能中上“木马”了。当然你也得看清楚，因为好多“木马”，如“AOL Trojan木马”，它把自身伪装成command.exe文件，

在system.ini文件中，在[BOOT]下面有个“shell=文件名”。正确的文件名应该是“explorer.exe”，如果不是“explorer.exe”，而是“shell= explorer.exe 程序名”，那么后面跟着的那个程序就是“木马”程序，就是说你已经中“木马”了。

在注册表中的情况最复杂，通过regedit命令打开注册表编辑器，在点击至：“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”目录下，查看键值中有没有自己不熟悉的自动启动文件，扩展名为EXE，这里切记：有的“木马”程序生成的文件很像系统自身文件，想通过伪装蒙混过关，如“Acid Battery v1.0木马”，它将注册表“HKEY-LOCAL-MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”下的Explorer 键值改为Explorer=“C:\WINDOWS\expiorer.exe”，“木马”程序与真正的Explorer之间只有“i”与“l”的差别。当然在注册表中还有很多地方都可以隐藏“木马”程序，如：“HKEY-CURRENT-USER\Software\Microsoft\Windows\CurrentVersion\Run”、“HKEY-USERS\****\Software\Microsoft\Windows\CurrentVersion\Run”的目录下都有可能，最好的办法就是在“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下找到“木马”程序的文件名，再在整个注册表中搜索即可。

查杀“木马”最有效的方法就是马上将计算机与网络断开，防止黑客通过网络对你进行攻击。然后编辑win.ini文件，将[WINDOWS]下面，“run=“木马”程序”或“load=“木马”程序”更改为“run=”和“load=”；编辑system.ini文件，将[BOOT]下面的“shell=‘木马’文件”，更改为：“shell=explorer.exe”；在注册表中，用regedit对注册表进行编辑，先在“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下找到“木马”程序的文件名，再在整个注册表中搜索并替换掉“木马”程序，有时候还需注意的是：有的“木马”程序并不是直接将“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下的“木马”键值删除就行了，因为有的“木马”如：BladeRunner“木马”，如果你删除它，“木马”会立即自动加上，你需要的是记下“木马”的名字与目录，然后退回到MS-DOS下，找到此“木马”文件并删除掉。重新启动计算机，然后再到注册表中将所有“木马”文件的键值删除

那个软件可以破企业微信的恶意打卡

路行助手软件。

1、下载安装好路行助手软后，激活软件，然后给予软件全部运行权限（否则部分功能无法使用），再把企业微信添加到路行助手软件里面去。

2、点击刚才添加进来的路行助手破解软件，再点击虚拟定位功能，给企业微信设置一个打卡定位的地址，我们以设置广州市为例来设置地址。

3、软件还可以在打卡时上传相册里面的照片，在拍照拦截功能里面就可以设置上传到企业微信的照片，我们设置小贝的照片上传。

4、在路行助手软件里面把地址和照片都设置好以后，然后在路行助手软件里面登录并且操作企业微信打卡定位拍照就可以了。

谁知道我的电脑中的是什么病毒啊？

你中的不是一个病毒,而是多个,其中一个麻烦的病毒我替你解决,其他的你自己用卡巴自己杀吧

你那个必须用右键打开的问题这么解决:

可以用WINRAR软件打开D: E: F:等盘 看看 , 是不是每个盘都有SES.EXE文件?如果是的话 那么中的是修改过的ROSE病毒

手工处理如下:

任务管理器可以结束SXS的进程删除，记住，用鼠标右键进入硬盘

同时按下Ctrl+Shift+Esc三个键 打开windows任务管理器

选择里面的“进程”标签

在“映像名称”下查找“sxs.exe” 但击它 再选择“结束进程”

一定要结束所有的“sxs.exe”进程

打开我的电脑 单击 工具菜单下的“文件夹选项”

单击“查看”标签 把“高级设置”中的

“隐藏受保护的操作系统文件（推荐）”前面的勾取消

并选择下面的“显示所有文件和文件夹”选项

单击“确定”

用鼠标右键点C盘（不能双击！） 选择 “打开”

删除C盘下的 “autorun.inf”文件 和“sxs.exe”文件

用鼠标右键点D盘 选择 “打开”

删除D盘下的 “autorun.inf”文件 和“sxs.exe”文件（另外有个文件也是，是个.exe 同样删了它）

……

以此类推 删除所有盘上的 AUTORUN.INF文件 和“rose.exe”文件

单击开始 选择“运行” 输入 "regedit"(没有引号) ，回车

依次展开注册表编辑器左边的 我的电脑HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

删除Run项中的 ROSE （c:\windows\system32\SXS.exe)这个项目

关闭注册表编辑器

然后重新启动计算机

删除硬盘上是ROSE：

按下shift键不放 插入U盘 直到电脑提示“新硬件可以使用”

打开我的电脑

这时在U盘的图标上点鼠标右键 选择“打开” （不要点自动播放或者是双击！）

删除 SXS.exe和autorun.inf文件 病毒就没有了