- 论坛徽章:
- 0
|
C:\Program Files\Internet Explorer
有iedw.exe和iexplore.exe
删除以后,不到1秒又自动出现。前一阶段中过winlogon.exe病毒。现在只要打开IE,就会生成以当前用户身份运行的winlogon.exe进程,我用傲游,不会生成此进程。其它一切正常。
====================以下为转载==============================
smss.exe,winlogon.exe"落雪木马专杀工具及手动清除过程
附上找到的此病毒的专杀工具。
相关介绍:
http://www.pcfix.com.cn/Article_Print.asp?ArticleID=980
直接下载此工具:
http://www.jiangmin.com/download/TrojanKiller.exe
注:手动清除时,务必把病毒生成的所有文删掉,由于具体环境的差别,病毒生成的文件可能会略有差异。比如我机子上就没有下面说的3721木马。
如何清除smss.exe病毒手动清除方法介绍(winlogon.exe清除过程类似,只是在把相关对smss.exe的操作换为对winlogon.exe的),
smss.exe病毒手动清除
SMSS病毒介绍:这是一种Windows下的PE病毒,它采用VB6编写 ,
是一个自动访问某站点(3721)的木马病毒。
该病毒会在注册表中多处添加自己的启动项,还会修改系统文件WIN.INI
,并在[WINDOWS]项中加入"RUN" = "%WINDIR%\SMSS.EXE"。
症状:确定自己中招没就看看吧!如果系统进程中出现了2个smss.exe进程,
而且其中的smss.exe路径是"WINDOWS\SMSS.EXE",那就是中了
TrojanClicker.Nogard.a病毒。 清除过程:和ROSE ADOBER这2个小垃圾不一样,
纯粹的清除其相关病毒文件,修改注册表,更改启动项是没用的,
那时在浪费时间。所以说这个木马病毒比较高级,挺麻烦。
步骤:手动杀毒的时候先把文件夹选项搞好了再进行清除*作,
养成个好习惯。显示隐藏文件,把那个隐藏受保护的*作系统文件的勾点掉。
1.运行gpedit.msc打开组策略-计算机配置-Windows设置-安全设置-软件限制策略-
其它规则,在右边窗口空白处右键选择"新散列规则"。
这样smss.exe就不会再运行了。
2.运行Procexp.exe(没得话可以去下个,这个东东很叼,很好用),
然后结束%Windows%\SMSS.EXE进程,注意路径。
要是结束SYSTEM的SMSS会重启的,
当然也可以用ntsd命令关掉任务管理器中的smss.exe进程。
结束并防止其再次启动是SMSS.EXE病毒手动清除的关键,
ROSE等直接可以结束其进程然后删文件改注册表就行了。
如果不进行第一和第二步骤是不能清楚SMSS病毒的。
3.接下来删除下面这些文件:
C:\MSCONFIG.SYS 下面的文件名在注册表中也会出现,
忘记是哪几个了,搜索下要么修改要么删除,
呵呵,对了还有个WOW你在注册表中搜艘看是不是有好几个?
%Windows%\1.com(是不是在你注册表中发现WWW.3721.COM啊
哈哈知道怎么中的了吧)
%Windows%\ExERoute.exe %Windows%\explorer.com %Windows%\finder.com %
Windows%\smss.exe %Windows%\Debug\DebugProgram.exe %System%\command.pif
%System%\dxdiag.com %System%\finder.com %System%\MSCONFIG.COM %
System%\regedit.com %System%\rundll32.com %ProgramFiles%\Internet
Explorer\iexplore.com %ProgramFiles%\Common Files\iexplore.pif %Program
Files%\sfx software\svchost.exe 其它关联木马》
木马路径:C:\WINDOWS\system32\cns.exe
木马路径:C:\WINDOWS\system32\cns.dll
木马路径:C:\WINDOWS\system32\command.pif
木马路径:C:\WINDOWS\system32\MSCONFIG.COM
木马路径:C:\WINDOWS\system32\dxdiag.com
木马路径:C:\WINDOWS\system32\regedit.com
木马路径:C:\WINDOWS\system32\drivers\CnsMinKP.sys
然后到注册表中将下面的键值删除:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Torjan Program"="%Windows%\smss.exe"
(也可以直接搜索注册表的这样比较稳妥和全面一点)并修改
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon]
下 "shell"="Explorer.exe 1" 为 "shell"="Explorer.exe"
以下步骤可以不进行*作的,不过最好还是扫下吧:
分别查找“command.pif”、“finder.com”、“rundll32.com”的信息,
将“command.pif”、“finder.com”、“rundll32.com”修改为“rundll32.exe”
查找“explorer.com”的信息,将“explorer.com”修改为“explorer.exe”
查找“iexplore.com”的信息,将“iexplore.com”修改为“iexplore.exe”
查找“iexplore.pif”的信息,将找到的“%ProgramFiles%\Common
Files\iexplore.pif”修改为“%ProgramFiles%\Internet Explorer\iexplore.exe”
其中可能有几个找不到,没关系,找相同时间的文件出来删之
(比如这一木马创立的时间是2006-6-18 15:51你就搜索所有6-18创建的文件,
当然,时间也要一致,可别删错了)如果没找到,那最好了,
说明他已经不存在了。SMSS.EXE病毒相关文件大小全部一样为112K,
反正我这里是这么大小,看网上其他人和我写的不一样。
搞到这里你可以用些修复软件对系统进行下恢复,当然也可以不修复的。
等等,接下来你不能运行EXE文件,你开个视频都要你打开方式的,
好下面我们修改下注册表:不要在运行中输入东西打不开的。
方法一:复制WINDOWS目录下的regedit.exe到桌面并改名为regedit.com,
然后打开regedit.com,找到下列分支:
HKEY_CLASSES_ROOT\exefile\shell\open\command,
双击右侧窗口中的 (默认) 值,设置为 "%1" %* [包含引号] 再找到:
HKEY_CLASSES_ROOT\.exe 双击右侧窗口中的 (默认) 值,
设置为 exefile 然后退出注册表编辑器,重启电脑 方
法二:复制WINDOWS\system32目录下的cmd.exe到桌面并改名为cmd.com
命令行中,依次执行以下命令: ftype exefile="%1" %* [包含引号](回车)
assoc .exe=exefile 重启电脑。 至此SMSS.EXE病毒清除成功。
SMSS病毒是利用IE漏洞传播,可能你随便开个网页都有可能中毒,防止这个病毒最好是下个补丁。
[ 本帖最后由 qintel 于 2006-9-16 20:57 编辑 ] |
|