打开百度，搜索SVOHOST.EXE，才知道原来是武汉男生变种的木马。。接着我想到了昨天下班的时候机子就有过CPU100%的情况，那时候也没注意，以为是windows的小问题，重启后就直接关机回家了。。。现在想想，肯定是昨天在网上找资料的时候，那些网站的广告随便乱跳出来。。。。汗下。。。

    由于平时不喜欢在机子上安装杀毒软件，所以决定手动kill了它。。

    于是又在百度上寻觅查杀SVOHOST.EXE得方法，发现方法就是到安全模式下删除C:\WINDOWS\system32\SVOHOST.EXE，然后把启动项内的启动项目也删除即可

    按照方法做了……可是发现马上又有了。。。然后打开regedit，搜索SVOHOST，把所有相关都删除。。。结果还是无济于事。。。开始佩服这个木马的霸道和强大了。。。。

    不管三七二十一了，决定用Ghost恢复系统，反正之前做过备份，恢复起来很快的

    系统恢复，ok，心情轻松了。。。

    准备打开E盘，安装以下备份后没有安装的软件。。。打不开！发现D盘和F盘也打不开。。。小问题，重启下，ok，进去了，然后完完整整的把恢复后的系统全部整理完毕后，打开任务管理器。。。我傻眼了。。。SVOHOST.EXE赫然在目。。。为什么？重装系统也没用？这个东西。。。
接着马上想到了之前的D、E、F盘打不开的情况。。。。
看来是被加入了自动播放的autorun文件了

    既然这样，我再用ghost恢复一次C盘，好好看看怎样才能把这个木马给枪毙了。。。嘿嘿，你霸道，我也不弱……

    恢复系统后，不敢直接双击D、E、F盘打开了，用右击，发现右击菜单上多出了个Auto，是自动播放……不选择，直接选择打开，进入盘符后，设置显示隐藏文件，发现没有autorun.inf的文件！！不可能的……然后再看看是不是没设置好。。重新设置一次，还是没有，再设置一次。。发现刚刚明明设置到显示所有文件和文件夹的，竟然选项又变回不显示隐藏的文件和文件夹。。。看来连设置显示隐藏也被这个木马给屏蔽了……

    最后一个办法，决定从command里试试看……

    依次单击“开始”——>“运行”，输入CMD，按回车键，进入F：盘，通过输入dir和dir /a查看比较目录下所有文件和文件夹（包括隐藏的），哈哈……终于被我看到了。

    在dir /a的命令后，隐藏的文件多出来了两个sxs.exe和autorun.inf，看来这两个就是罪魁祸首，既然如此，那么肯定可以在这里把这两个文件给删除的。。

    在F:\>后输入attrib -a -s -h -r sxs.exe命令执行
    再输入attrib -a -s -h -r autorun.inf命令执行，把这两个文件的隐藏属性给取消了
    结束再输入del sxs.exe和del autorun.inf把这两个文件分别删除
    哈哈，再把D、E盘里的也同样删除掉，ok除毒成功，打开F盘试试看……
    竟然弹出一个选择打开文件的程序的提示框。

    郁闷了，这个病毒也太可恶了。。。。

    运行regedit，搜索sxs.exe，发现在下面三条注册表信息下有sxs.exe的信息。。
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{e94c3814-d758-11da-8647-806d6172696f}
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{e94c3815-d758-11da-8647-806d6172696f}
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{e94c3816-d758-11da-8647-806d6172696f}
    这三条分别我电脑上D、E、F盘的启动的设置，里面有设置打开方式为sxs.exe的设置，打开他们的子目录就可以发现了。。

    把这三条记录删除后，再打开三个盘，，HOHO~~终于完全恢复了……

    说真的，之前也手动杀过不少病毒。。但是第一次碰到这么顽强的病毒。。也挺佩服病毒制作者的。。。这样的病毒就算重装了系统也是无济于事的。。。哎

    这里总结下查杀这个病毒的方法：
    1.首先打开任务管理器，结束SVOHOST.EXE的进程
    2.我的电脑，工具>>文件加选项>>查看>>把“隐藏受保护的操作系统文件（推荐）”之前的钩钩取掉
    3.右击C盘>>打开，然后到C:\WINDOWS\system32\下找到SVOHOST.EXE删除掉。这里不能用搜索的，因为搜索不到的。。只能用自己的肉眼找……
    4.开始>>运行msconfig>>启动>>把SVOHOST.EXE的启动项取消
    5.开始>>运行cmd>>用dir /a的命令检查所有盘符下有没有sxs.exe和autorun.inf两个文件，有的话，用上面我说的方法全部删除
    6.最后一步，开始>>运行regedit>>找到注册表HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2目录下的{e94c3812-d758-11da-8647-806d6172696f}、{e94c3813-d758-11da-8647-806d6172696f}等的表信息，删除即可。