(其實(shí)2000,xp都有smss.exe必須的進(jìn)程，但是它的路徑是c:\winnt\system32，看路徑的工具可以用Process Explorer這個(gè)工具來看）
　　在D盤寫一個(gè)autocommand.ini文件，可以刪除，但是刪除后又回自動(dòng)生成。
　　
　　一、恢復(fù)系統(tǒng)盤鏡像后，進(jìn)入系統(tǒng)。發(fā)現(xiàn)依然中毒
　　
　　二查看注冊(cè)表啟動(dòng)項(xiàng)目run有個(gè)加載項(xiàng)目tprogram=c:\windows\smss.exe,可以刪除，啟動(dòng)后注冊(cè)表又有這個(gè)！
　　
　　二下載木馬客星最新版本，安裝完畢。木馬克星不能啟動(dòng)。提示無法加載病毒庫。
　　
　　三換木馬清道夫，安裝后。也是無法啟動(dòng)，提示提示無法加載病毒庫，因?yàn)閏:\windows\smss.exe
　　
　　四 安裝nod32殺毒，啟動(dòng)提示無法掃描。
　　
　　四進(jìn)入安全模式。安裝木馬克星，問題依然。這個(gè)smss.exe依然存在。
　　
　　五進(jìn)入dos，刪除smss.exe.重新啟動(dòng)后，病毒自動(dòng)生成smss.exe.郁悶。
　　
　　六、格式化重裝系統(tǒng)，仍然有病毒！
　　
　　七、DM刪除分區(qū)后重新分區(qū)，格式化重裝系統(tǒng)，病毒終于沒有了！

在網(wǎng)上收集了以下有關(guān)該病毒的資料，提供于此，希望對(duì)各位防治該病毒有所幫助。

征途旗幟圖標(biāo)木馬——SMSS.EXE

據(jù)說有新的“變態(tài)”木馬，SMSS.EXE

主程序：%Windows%\SMSS.EXE
圖標(biāo)：征途旗幟圖標(biāo)

文件：
%Windows%\1.com
%Windows%\ExERoute.exe（EXE關(guān)聯(lián)）
%Windows%\explorer.com
%Windows%\finder.com
%Windows%\SMSS.EXE
%Windows%\BOOT.BIN.BAK
%Windows%\Debug\DebugProgram.exe
%Windows%\Debug\PASSWD.LOG
%System%\command.pif
%System%\dxdiag.com
%System%\finder.com
%System%\MSCONFIG.COM
%System%\regedit.com
%System%\rundll32.com
%ProgramFiles%\Internet Explorer\iexplore.com
%ProgramFiles%\Common Files\iexplore.pif
D:\autorun.inf
D:\pagefile.pif

創(chuàng)建的啟動(dòng)項(xiàng)：
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TProgram"="%Windows%\SMSS.EXE"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices]
"TProgram"="%Windows%\SMSS.EXE"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe 1"

修改了EXE關(guān)聯(lián)到：
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\winfiles]

*掉對(duì)手：
TROJDIE*
RAVMON.EXE
KPOP*
*ASSISTSE*
KPFW*
AGENTSVR*
KREG*
IEFIND*
IPARMOR*
SVI.EXE
UPHC*
RULEWIZE*
FYGT*
RFWSRV*
RFWMA*

清除方法之一……
1. 運(yùn)行Procexp.exe和SREng.exe
2. 用ProceXP結(jié)束%Windows%\SMSS.EXE進(jìn)程，注意路徑和圖標(biāo)
3. 用SREng恢復(fù)EXE文件關(guān)聯(lián)
1,2,3步要注意順序，不要顛倒。

4. 可以刪除文件和啟動(dòng)項(xiàng)了……

刪除的啟動(dòng)項(xiàng)：
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TProgram"="%Windows%\SMSS.EXE"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices]
"TProgram"="%Windows%\SMSS.EXE"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe 1"
修改為：
"Shell"="Explorer.exe"

刪除的文件就是一開始說的那些，別刪錯(cuò)就行。

5. 最后打開注冊(cè)表編輯器，恢復(fù)被修改的信息：
查找“explorer.com”，把找到的“explorer.com”修改為“explorer.exe”；
查找“finder.com”、“command.pif”、“rundll32.com”，把找到的“finder.com”、“command.pif”、“rundll32.com”修改為“rundll32.exe”；
查找“iexplore.com”，把找到的“iexplore.com”修改為“iexplore.exe”；
查找“iexplore.pif”，把找到的“iexplore.pif”，連同路徑一起修改為正常的IE路徑和文件名，比如“C:\Program Files\Internet Explorer\iexplore.exe”。

這些主要是在以下幾個(gè)位置：
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.bfc
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.lnk\
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Applications\iexplore.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\cplfile
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Drive
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\dunfile
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ftp
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\HTTP
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\inffile
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\InternetShortcut
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\scrfile
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\scriptletfile
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\telnet
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Unknown
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet

最新評(píng)論