SysLive

syslive.exe是一種木馬的宿主檔案,陪她的一定還有一個AUTORUN.INF的檔案（u盤自動播放）！

不知道你用的什麼防毒軟體，如果是360、瑞星一類的建議你先換為國外殺軟如卡巴、BitDefender、avast等，升到最新病毒庫防毒，再用360的木馬專殺殺一次。如果還沒有殺掉的話，進入安全模式再試一次。

首先有可能在桌面上創建了個Intennet Exploler，然後接下是小網站，一點計算機肯定完蛋。而且刪不了，一刪就是說有什麼程式使用她，就是不給刪。

PS:TMD這病毒也夠覺絕的 映像劫持了那么多 鬱悶的是360粉碎工具沒被加進去 寫這個的人也夠缺德的 比上興 鴿子還難搞。

1、關閉病毒進程

Ctrl + Alt + Del 任務管理器，在進程中查找 sxs 或 SVOHOST（不是SVCHOST，相差一個字母），有的話就將它結束掉（並不是所有的系統都顯示有這個進程，沒有的就略過此步）。

2、恢復註冊表（有的系統可能病毒沒有修改註冊表，檢驗辦法是，如果您的系統能看到隱藏檔案那么這步可以省略，建議大家都看一下）

(刪除病毒自啟動項)打開註冊表 運行——regedit

HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Run

SVOHOST.exe 或 sxs.exe

下找到 SoundMam（注意不是soundman,只差一個字母） 鍵值，可能有兩個，刪除其中的鍵值為 C:\\WINDOWS\system32\SVOHOST.exe 的

（顯示出被隱藏的系統檔案）

HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL，將CheckedValue鍵值修改為1

這裡要注意，病毒會把本來有效的DWORD值CheckedValue刪除掉，新建了一個無效的字元串值CheckedValue,類型為REG_SZ，並且把鍵值改為0！我們將這個改為1是毫無作用的。大家要看清楚CheckedValue後面的類型，正確的是“RED_DWORD”而不是“REG_SZ”（有部分病毒變種會直接把這個CheckedValue給刪掉，只需和下面一樣，自己再重新建一個就可以了）

方法：刪除此CheckedValue鍵值，單擊右鍵 新建——Dword值——命名為CheckedValue，然後修改它的鍵值為1，這樣就可以選擇“顯示所有隱藏檔案”和“顯示系統檔案”。

在資料夾——工具——資料夾選項中將系統檔案和隱藏檔案設定為顯示

3、刪除病毒體檔案（第一種方法）

在分區盤上單擊滑鼠右鍵——打開，看到每個盤跟目錄下有 autorun.inf 和 sxs.exe 兩個檔案，將其刪除。然後進入“C:\WINDOWS\sysetm32”將SVOHOST.exe此病毒體檔案刪除即可。

此方法本人已試過，行得通

5、刪除病毒體檔案（第二種方法）

在分區盤上單擊滑鼠右鍵——打開，看到每個盤跟目錄下有 autorun.inf 和 sxs.exe 兩個檔案，將其刪除。

最徹底的刪除辦法是：單擊開始--運行--cmd 確定後在dos狀態下寫如下命令

(一般系統盤跟目錄下可能沒有病毒體檔案，但是其他盤應該都存在)

attrib -h -r -s c:\sxs.exe

del c:\sxs.exe

attrib -h -s -r c:\autorun.inf

del c:\autorun.inf

attrib -h -r -s d:\sxs.exe

del d:\sxs.exe

attrib -h -s -r d:\autorun.inf

del d:\autorun.inf

如果大家還有其他的盤符可以參考我上面的寫一下就可以，如果有E盤，那就是

attrib -h -r -s e:\sxs.exe

del e:\sxs.exe

attrib -h -s -r e:\autorun.inf

del e:\autorun.inf