(其实2000,xp都有smss.exe必须的进程,但是它的路径是c:winntsystem32,看路径的工具可以用ProcessExplorer这个工具来看)
在D盘写一个autocommand.ini文件,可以删除,但是删除后又回自动生成。
一、恢复系统盘镜像后,进入系统。发现依然中毒
二查看注册表启动项目run有个加载项目tprogram=c:windowssmss.exe,可以删除,启动后注册表又有这个!
二下载木马客星最新版本,安装完毕。木马克星不能启动。提示无法加载病毒库。
三换木马清道夫,安装后。也是无法启动,提示提示无法加载病毒库,因为c:windowssmss.exe
四安装nod32杀毒,启动提示无法扫描。
四进入安全模式。安装木马克星,问题依然。这个smss.exe依然存在。
五进入dos,删除smss.exe.重新启动后,病毒自动生成smss.exe.郁闷。
六、格式化重装系统,仍然有病毒!
七、DM删除分区后重新分区,格式化重装系统,病毒终于没有了!
在网上收集了以下有关该病毒的资料,提供于此,希望对各位防治该病毒有所帮助。
征途旗帜图标木马——SMSS.EXE
据说有新的“变态”木马,SMSS.EXE
主程序:%Windows%SMSS.EXE
图标:征途旗帜图标
文件:
%Windows%1.com
%Windows%ExERoute.exe(EXE关联)
%Windows%explorer.com
%Windows%finder.com
%Windows%SMSS.EXE
%Windows%BOOT.BIN.BAK
%Windows%DebugDebugProgram.exe
%Windows%DebugPASSWD.LOG
%System%command.pif
%System%dxdiag.com
%System%finder.com
%System%MSCONFIG.COM
%System%regedit.com
%System%rundll32.com
%ProgramFiles%InternetExploreriexplore.com
%ProgramFiles%CommonFilesiexplore.pif
D:autorun.inf
D:pagefile.pif
创建的启动项:
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
"TProgram"="%Windows%SMSS.EXE"
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunservices]
"TProgram"="%Windows%SMSS.EXE"
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionWinlogon]
"Shell"="Explorer.exe1"
修改了EXE关联到:
[HKEY_LOCAL_MACHINESOFTWAREClasseswinfiles]
*掉对手:
TROJDIE*
RAVMON.EXE
KPOP*
*ASSISTSE*
KPFW*
AGENTSVR*
KREG*
IEFIND*
IPARMOR*
SVI.EXE
UPHC*
RULEWIZE*
FYGT*
RFWSRV*
RFWMA*
清除方法之一……
1.运行Procexp.exe和SREng.exe
2.用ProceXP结束%Windows%SMSS.EXE进程,注意路径和图标
3.用SREng恢复EXE文件关联
1,2,3步要注意顺序,不要颠倒。
4.可以删除文件和启动项了……
删除的启动项:
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
"TProgram"="%Windows%SMSS.EXE"
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunservices]
"TProgram"="%Windows%SMSS.EXE"
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionWinlogon]
"Shell"="Explorer.exe1"
修改为:
"Shell"="Explorer.exe"
删除的文件就是一开始说的那些,别删错就行。
5.最后打开注册表编辑器,恢复被修改的信息:
查找“explorer.com”,把找到的“explorer.com”修改为“explorer.exe”;
查找“finder.com”、“command.pif”、“rundll32.com”,把找到的“finder.com”、“command.pif”、“rundll32.com”修改为“rundll32.exe”;
查找“iexplore.com”,把找到的“iexplore.com”修改为“iexplore.exe”;
查找“iexplore.pif”,把找到的“iexplore.pif”,连同路径一起修改为正常的IE路径和文件名,比如“C:ProgramFilesInternetExploreriexplore.exe”。
这些主要是在以下几个位置:
HKEY_LOCAL_MACHINESOFTWAREClasses.bfc
HKEY_LOCAL_MACHINESOFTWAREClasses.lnk
HKEY_LOCAL_MACHINESOFTWAREClassesApplicationsiexplore.exe
HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{871C5380-42A0-1069-A2EA-08002B30309D}
HKEY_LOCAL_MACHINESOFTWAREClassescplfile
HKEY_LOCAL_MACHINESOFTWAREClassesDrive
HKEY_LOCAL_MACHINESOFTWAREClassesdunfile
HKEY_LOCAL_MACHINESOFTWAREClassesftp
HKEY_LOCAL_MACHINESOFTWAREClasseshtmlfile
HKEY_LOCAL_MACHINESOFTWAREClasseshtmlfile
HKEY_LOCAL_MACHINESOFTWAREClasseshtmlfile
HKEY_LOCAL_MACHINESOFTWAREClassesHTTP
HKEY_LOCAL_MACHINESOFTWAREClassesinffile
HKEY_LOCAL_MACHINESOFTWAREClassesInternetShortcut
HKEY_LOCAL_MACHINESOFTWAREClassesscrfile
HKEY_LOCAL_MACHINESOFTWAREClassesscriptletfile
HKEY_LOCAL_MACHINESOFTWAREClassestelnet
HKEY_LOCAL_MACHINESOFTWAREClassesUnknown
HKEY_LOCAL_MACHINESOFTWAREClientsStartMenuInternet