差点中了smss.exe，还是先留下对策，以防万一

smallpig

正常情况下，资源管理器只有一个smss.exe,若然多于两个，那就是中招了

http://bbs.cnns.net/redirect.php?tid=4461&goto=lastpost说明:以下是病毒的描述及清除方法
病毒文件名为SMSS.EXE,对lsass.exe及winlogon.exe操作方法相同

主程序：%Windows%\SMSS.EXE
图标：征途旗帜图标

生成文件：
%Windows%\1.com
%Windows%\ExERoute.exe（EXE关联）
%Windows%\explorer.com
%Windows%\finder.com
%Windows%\SMSS.EXE
%Windows%\BOOT.BIN.BAK
%Windows%\Debug\DebugProgram.exe
%Windows%\Debug\PASSWD.LOG
%System%\command.pif
%System%\dxdiag.com
%System%\finder.com
%System%\MSCONFIG.COM
%System%\regedit.com
%System%\rundll32.com
%ProgramFiles%\Internet Explorer\iexplore.com
%ProgramFiles%\Common Files\iexplore.pif
D:\autorun.inf
D:\pagefile.pif

创建的启动项：
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TProgram"="%Windows%\SMSS.EXE"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices]
"TProgram"="%Windows%\SMSS.EXE"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe 1"

修改了EXE关联到：
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\winfiles]

干掉对手：
TROJDIE*
RAVMON.EXE
KPOP*
*ASSISTSE*
KPFW*
AGENTSVR*
KREG*
IEFIND*
IPARMOR*
SVI.EXE
UPHC*
RULEWIZE*
FYGT*
RFWSRV*
RFWMA*

清除方法之一……
1. 运行Procexp.exe和SREng.exe
（http://www.sysinternals.com/Utilities/Proces***plorer.html）
2. 用ProceXP结束%Windows%\SMSS.EXE进程，注意路径和图标
3. 用SREng恢复EXE文件关联
1,2,3步要注意顺序，不要颠倒。

4. 可以删除文件和启动项了……

删除的启动项：
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TProgram"="%Windows%\SMSS.EXE"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices]
"TProgram"="%Windows%\SMSS.EXE"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe 1"
修改为：
"Shell"="Explorer.exe"

删除的文件就是一开始说的那些，别删错就行。

5. 最后打开注册表编辑器，恢复被修改的信息：
查找“explorer.com”，把找到的“explorer.com”修改为“explorer.exe”；
查找“finder.com”、“command.pif”、“rundll32.com”，把找到的“finder.com”、

“command.pif”、“rundll32.com”修改为“rundll32.exe”；
查找“iexplore.com”，把找到的“iexplore.com”修改为“iexplore.exe”；
查找“iexplore.pif”，把找到的“iexplore.pif”，连同路径一起修改为正常的IE路径和
文件名，比如“C:\Program Files\Internet Explorer\iexplore.exe”。

这些主要是在以下几个位置：
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.bfc
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.lnk\
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Applications\iexplore.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\cplfile
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Drive
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\dunfile
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ftp
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\HTTP
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\inffile
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\InternetShortcut
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\scrfile
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\scriptletfile
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\telnet
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Unknown
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet

[ 本帖最后由 smallpig 于 2006-8-7 17:22 编辑 ]

smallpig

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
清理方法

另一解决方法:

对于那个木马文件smss.exe,路径为c:\windows\,正常应该是c:\windows\system32,直接删除根本就没用,因为任务管理器里一直会有它的进程,用ntsd命令关掉后马上又出来了,后来得到龙卷风一位兄弟的方法搞定了,
具体步骤是:运行gpedit.msc打开组策略-计算机配置-Windows设置-安全设置-软件限制策略-其它规则,在右边窗口空白处右键选择"新散列规则"
[attachment=302384]
然后点击浏览找到木马文件,也就是c:\windows\smss.exe,安全级别选择"不允许的",
[attachment=302385]
这样smss.exe就不会再运行了,然后用ntsd命令关掉任务管理器中的smss.exe进程,记住,要关那个用户不是SYSTEM的.
这样就解决了smss.exe,这个也是很主要的,接下来删除下面这些文件:
C:\MSCONFIG.SYS
%Windows%\1.com
%Windows%\ExERoute.exe
%Windows%\explorer.com
%Windows%\finder.com
%Windows%\smss.exe
%Windows%\Debug\DebugProgram.exe
%System%\command.pif
%System%\dxdiag.com
%System%\finder.com
%System%\MSCONFIG.COM
%System%\regedit.com
%System%\rundll32.com
%ProgramFiles%\Internet Explorer\iexplore.com
%ProgramFiles%\Common Files\iexplore.pif
%Program Files%\sfx software\svchost.exe
然后到注册表中将下面的键值删除:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Torjan Program"="%Windows%\smss.exe"
并修改[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon]下
"shell"="Explorer.exe 1"
为
"shell"="Explorer.exe"
接下来需要修复EXE文件关联,可以用注册表文件搞定,网上很容易搜索,找不到的可以PM找我要.
然后恢复病毒修改的注册表信息：
(1)分别查找“command.pif”、“finder.com”、“rundll32.com”的信息，将“command.pif”、“finder.com”、“rundll32.com”修改为“rundll32.exe”

(2)查找“explorer.com”的信息，将“explorer.com”修改为“explorer.exe”

(3)查找“iexplore.com”的信息，将“iexplore.com”修改为“iexplore.exe”

(4)查找“iexplore.pif”的信息，将找到的“%ProgramFiles%\Common Files\iexplore.pif”修改为“%ProgramFiles%\Internet Explorer\iexplore.exe”
到这里基本上就搞定了.
对于那个进程中自动出现的IEXPLORE.EXE,似乎和这个不是一个木马,而是另外一个,用卡巴监控能发现,但木马杀客找不到,会在c:\program files下自动生成1.exe,3.exe,4.exe类似的文件,都隐藏为系统文件了,在c:\program files\internet explorer目录下会有一个隐藏的系统文件叫IEXPLORE.SYS,依然用上面提到的组策略把这个文件禁用,然后删除1.exe,3.exe,4.exe.
最后,在C盘根目录中找到病毒生成的目录,一般都是隐藏的文件夹,删除即可,至于如何判断是否系统文件,就不用我啰嗦了吧.
至此,基本就算搞定了,然后将系统中的临时文件,包括IE临时文件全部删除,将杀软升级到最新病毒库全盘扫描,用木马专杀工具扫描木马.

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
清理方法：

具体操作方法如下：
1、重新启动计算机并进入安全模式；
2、进入文件夹c:windows;
3、找到一个名字为smss.exe的文件（图表为注册表图表）删除；
4、开始—运行—输入regedit<回车>
5、打开注册表后找到HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun删除smss启动项以及（HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices）中的smss启动项；
6、注：使用xp以上的用户不必做这一步：
  进入c:windows找到win.ini文件，打开后删除run=后面的语句！

最后：重新启动计算机进入系统就可以了！

(-.-)游謉

啊
我搜索自己台電腦
有SMSS.EXE
呢個文件夾噢，但系我用巴基掃描冇毒噢

smallpig

原帖由 (-.-)游謉 于 2006-8-7 17:11 发表
啊
我搜索自己台電腦
有SMSS.EXE
呢個文件夾噢，但系我用巴基掃描冇毒噢

你按 ctrl+del+alt 查看资源管理器，只有一个 smss.exe是正常的，多于两个就不正常了

轻水惜寒

楼猪不在开头说清楚，以致魂魂大惊小怪。。。。

(-.-)游謉

冇事～～～
哇哈哈哈哈哈哈

下死我啊
岩岩先重裝完冇幾耐

扑街仔

原帖由 (-.-)游謉 于 2006-8-7 17:19 发表
冇事～～～
哇哈哈哈哈哈哈
下死我啊
岩岩先重裝完冇幾耐

我都想重装，边个借只碟俾我啊……

(-.-)游謉

原帖由 扑街仔 于 2006-8-7 17:22 发表


我都想重装，边个借只碟俾我啊……

:time:與其問人地借不如自己過只仲好喇

轻水惜寒

AV碟要不要？？？？- -#

流星

给楼主+5分。

游魂

smss.exe，lsass.exe,winlogon.exe
这三个病毒差不多的。。。
删除的方法也大同小异。。
网上有专杀的工具。。

阿Dee

用杀毒软件可不可以杀的啊？例如卡巴斯基呢？