手动查杀SVOHOST.EXE实录。。。

今天早上上来准备继续帮客户做实现网页table导出到excel的功能的

结果开启jsp的tomcat服务器，发现出错，服务器启动失败，我以为是tomcat出了问题，然后又启动同样是jsp的另一个服务器resin，发现找不到8080端口。。。。
问题至此严重了。。。两个服务器都不能启动，那肯定不是服务器问题，而是电脑的问题了，紧接着就发现CPU占用率100%居高不下
查找可疑进程，发现一名为SVOHOST.EXE的进程，显然是想伪装为SVCHOST的坏家伙。。

打开百度，搜索SVOHOST.EXE，才知道原来是武汉男生变种的木马。。接着我想到了昨天下班的时候机子就有过CPU100%的情况，那时候也没注意，以为是windows的小问题，重启后就直接关机回家了。。。现在想想，肯定是昨天在网上找资料的时候，那些网站的广告随便乱跳出来。。。。汗下。。。

由于平时不喜欢在机子上安装杀毒软件，所以决定手动kill了它。。

于是又在百度上寻觅查杀SVOHOST.EXE得方法，发现方法就是到安全模式下删除C:\WINDOWS\system32\SVOHOST.EXE，然后把启动项内的启动项目也删除即可

按照方法做了。。可是发现马上又有了。。。然后打开regedit，搜索SVOHOST，把所有相关都删除。。。结果还是无济于事。。。开始佩服这个木马的霸道和强大了。。。。

NND，不管三七二十一了，决定用Ghost恢复系统，反正之前做过备份，恢复起来很快的

系统恢复，ok，心情轻松了。。。

准备打开E盘，安装以下备份后没有安装的软件。。。打不开！发现D盘和F盘也打不开。。。小问题，重启下，ok，进去了，然后完完整整的把恢复后的系统全部整理完毕后，打开任务管理器。。。我傻眼了。。。SVOHOST.EXE赫然在目。。。为什么？重装系统也没用？这个东西。。。
接着马上想到了之前的D、E、F盘打不开的情况。。。。
看来是被加入了自动播放的autorun文件了

既然这样，我再用ghost恢复一次C盘，好好看看怎样才能把这个木马给枪毙了。。。嘿嘿，你霸道，我也不弱。。

恢复系统后，不敢直接双击D、E、F盘打开了，用右击，发现右击菜单上多出了个Auto，是自动播放。。。不选择，直接选择打开，进入盘符后，设置显示隐藏文件，发现没有autorun.inf的文件！！不可能的。。。然后再看看是不是没设置好。。重新设置一次，还是没有，再设置一次。。发现刚刚明明设置到显示所有文件和文件夹的，竟然选项又变回不显示隐藏的文件和文件夹。。。看来连设置显示隐藏也被这个木马给屏蔽了。。。强的。。。

最后一个办法，决定从command里试试看。。

运行cmd，进入F：盘，输入dir和dir /a查看比较了下目录下所有文件和文件夹（包括隐藏的），哈哈。。。终于被我看到了

在dir /a的命令后，隐藏的文件多出来了两个。。sxs.exe和autorun.inf，看来这两个就是罪魁祸首，既然如此，那么肯定可以在这里把这两个文件给删除的。。

在F:\>后输入attrib -a -s -h -r sxs.exe命令执行
再输入attrib -a -s -h -r autorun.inf命令执行，把这两个文件的隐藏属性给取消了
结束再输入del sxs.exe和del autorun.inf把这两个文件分别删除

哈哈，再把D、E盘里的也同样删除掉，ok除毒成功，打开F盘试试看。。。
竟然弹出一个选择打开文件的程序的提示框。。

郁闷了，这个病毒也太可恶了。。。。

TNND

运行regedit，搜索sxs.exe，发现在下面三条注册表信息下有sxs.exe的信息。。
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{e94c3814-d758-11da-8647-806d6172696f}
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{e94c3815-d758-11da-8647-806d6172696f}
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{e94c3816-d758-11da-8647-806d6172696f}
这三条分别我电脑上D、E、F盘的启动的设置，里面有设置打开方式为sxs.exe的设置，打开他们的子目录就可以发现了。。

把这三条记录删除后。。再打开三个盘。。HOHO~~终于完全恢复了。。。

说真的，之前也手动杀过不少病毒。。但是第一次碰到这么顽强的病毒。。也挺佩服病毒制作者的。。。这样的病毒就算重装了系统也是无济于事的。。。哎

这里总结下查杀这个病毒的方法：
1.首先打开任务管理器，结束SVOHOST.EXE的进程
2.我的电脑，工具>>文件加选项>>查看>>把“隐藏受保护的操作系统文件（推荐）”之前的钩钩取掉
3.右击C盘>>打开，然后到C:\WINDOWS\system32\下找到SVOHOST.EXE删除掉。这里不能用搜索的，因为搜索不到的。。只能用自己的肉眼找。。汗记
4.开始>>运行msconfig>>启动>>把SVOHOST.EXE的启动项取消
5.开始>>运行cmd>>用dir /a的命令检查所有盘符下有没有sxs.exe和autorun.inf两个文件，有的话，用上面我说的方法全部删除
6.最后一步（如果前五步之后，能够顺利地直接打开D、E、F盘，则无需进行这步），开始>>运行regedit>>找到注册表HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2目录下的{e94c3812-d758-11da-8647-806d6172696f}、{e94c3813-d758-11da-8647-806d6172696f}等的表信息，删除即可

这里补充下，有些朋友在第三步中找不到SVOHOST.EXE那是因为系统显示隐藏文件被禁止了，所以这里提供几个方法：
1.试试看利用winrar压缩包来找出它来并删除
2.在cmd里使用类似第五步的方法找出svohost并将其删除
3.重装系统，然后直接从第五步开始执行
4.查看本文第26楼朋友的回复（在此感谢他一下），他的回复弥补了本文的不足，就是让系统恢复显示隐藏文件的功能，所以这一步也可以用来让系统显示本来怎么也看不到的svohost