|
(其实2000,xp都有smss.exe必须的进程,但是它的路径是c:\winnt\system32,看路径的工具可以用Process Explorer这个工具来看)
在D盘写一个autocommand.ini文件,可以删除,但是删除后又回自动生成。 一、恢复系统盘镜像后,进入系统。发现依然中毒 二查看注册表启动项目run有个加载项目tprogram=c:\windows\smss.exe,可以删除,启动后注册表又有这个! 二下载木马客星最新版本,安装完毕。木马克星不能启动。提示无法加载病毒库。 三换木马清道夫,安装后。也是无法启动,提示提示无法加载病毒库,因为c:\windows\smss.exe 四 安装nod32杀毒,启动提示无法扫描。 四进入安全模式。安装木马克星,问题依然。这个smss.exe依然存在。 五进入dos,删除smss.exe.重新启动后,病毒自动生成smss.exe.郁闷。 六、格式化重装系统,仍然有病毒! 七、DM删除分区后重新分区,格式化重装系统,病毒终于没有了! 在网上收集了以下有关该病毒的资料,提供于此,希望对各位防治该病毒有所帮助。 征途旗帜图标木马——SMSS.EXE 据说有新的“变态”木马,SMSS.EXE 主程序:%Windows%\SMSS.EXE 图标:征途旗帜图标 文件: %Windows%\1.com %Windows%\ExERoute.exe(EXE关联) %Windows%\explorer.com %Windows%\finder.com %Windows%\SMSS.EXE %Windows%\BOOT.BIN.BAK %Windows%\Debug\DebugProgram.exe %Windows%\Debug\PASSWD.LOG %System%\command.pif %System%\dxdiag.com %System%\finder.com %System%\MSCONFIG.COM %System%\regedit.com %System%\rundll32.com %ProgramFiles%\Internet Explorer\iexplore.com %ProgramFiles%\Common Files\iexplore.pif D:\autorun.inf D:\pagefile.pif 创建的启动项: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "TProgram"="%Windows%\SMSS.EXE" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices] "TProgram"="%Windows%\SMSS.EXE" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"="Explorer.exe 1" 修改了EXE关联到: [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\winfiles] *掉对手: TROJDIE* RAVMON.EXE KPOP* *ASSISTSE* KPFW* AGENTSVR* KREG* IEFIND* IPARMOR* SVI.EXE UPHC* RULEWIZE* FYGT* RFWSRV* RFWMA* 清除方法之一…… 1. 运行Procexp.exe和SREng.exe 2. 用ProceXP结束%Windows%\SMSS.EXE进程,注意路径和图标 3. 用SREng恢复EXE文件关联 1,2,3步要注意顺序,不要颠倒。 4. 可以删除文件和启动项了…… 删除的启动项: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "TProgram"="%Windows%\SMSS.EXE" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices] "TProgram"="%Windows%\SMSS.EXE" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"="Explorer.exe 1" 修改为: "Shell"="Explorer.exe" 删除的文件就是一开始说的那些,别删错就行。 5. 最后打开注册表编辑器,恢复被修改的信息: 查找“explorer.com”,把找到的“explorer.com”修改为“explorer.exe”; 查找“finder.com”、“command.pif”、“rundll32.com”,把找到的“finder.com”、“command.pif”、“rundll32.com”修改为“rundll32.exe”; 查找“iexplore.com”,把找到的“iexplore.com”修改为“iexplore.exe”; 查找“iexplore.pif”,把找到的“iexplore.pif”,连同路径一起修改为正常的IE路径和文件名,比如“C:\Program Files\Internet Explorer\iexplore.exe”。 这些主要是在以下几个位置: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.bfc HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.lnk\ HKEY_LOCAL_MACHINE\SOFTWARE\Classes\applications\iexplore.exe HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D} HKEY_LOCAL_MACHINE\SOFTWARE\Classes\cplfile HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Drive HKEY_LOCAL_MACHINE\SOFTWARE\Classes\dunfile HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ftp HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile HKEY_LOCAL_MACHINE\SOFTWARE\Classes\HTTP HKEY_LOCAL_MACHINE\SOFTWARE\Classes\inffile HKEY_LOCAL_MACHINE\SOFTWARE\Classes\InternetShortcut HKEY_LOCAL_MACHINE\SOFTWARE\Classes\scrfile HKEY_LOCAL_MACHINE\SOFTWARE\Classes\scriptletfile HKEY_LOCAL_MACHINE\SOFTWARE\Classes\telnet HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Unknown HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet |
