9,506
社区成员
发帖
与我相关
我的任务
分享我中了SMSS.exe木马怎么办????
我中了smss.exe这个木马,注册表启动项多了个tprogram这个东东,而且D盘也打不开,用木马工具查杀完后所有的快捷方式都打不开,提不找不到文件,重启之后又有了,好晕啊。在网上看了好多文章,都没办法解决,我可不希望要分区格式化才能解决这问题啊,请各位大哥帮帮小弟
...全文
请发表友善的回复…
发表回复
BIGDOG 2006-07-31
- 打赏
- 举报
征途旗帜图标木马——SMSS.EXE
据说有新的“变态”木马,SMSS.EXE
主程序:%Windows%\SMSS.EXE
图标:征途旗帜图标
文件:
%Windows%\1.com
%Windows%\ExERoute.exe(EXE关联)
%Windows%\explorer.com
%Windows%\finder.com
%Windows%\SMSS.EXE
%Windows%\BOOT.BIN.BAK
%Windows%\Debug\DebugProgram.exe
%Windows%\Debug\PASSWD.LOG
%System%\command.pif
%System%\dxdiag.com
%System%\finder.com
%System%\MSCONFIG.COM
%System%\regedit.com
%System%\rundll32.com
%ProgramFiles%\Internet Explorer\iexplore.com
%ProgramFiles%\Common Files\iexplore.pif
D:\autorun.inf
D:\pagefile.pif
创建的启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TProgram"="%Windows%\SMSS.EXE"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices]
"TProgram"="%Windows%\SMSS.EXE"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe 1"
修改了EXE关联到:
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\winfiles]
干掉对手:
TROJDIE*
RAVMON.EXE
KPOP*
*ASSISTSE*
KPFW*
AGENTSVR*
KREG*
IEFIND*
IPARMOR*
SVI.EXE
UPHC*
RULEWIZE*
FYGT*
RFWSRV*
RFWMA*
清除方法之一……
1. 运行Procexp.exe和SREng.exe
2. 用ProceXP结束%Windows%\SMSS.EXE进程,注意路径和图标
3. 用SREng恢复EXE文件关联
1,2,3步要注意顺序,不要颠倒。
4. 可以删除文件和启动项了……
删除的启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TProgram"="%Windows%\SMSS.EXE"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices]
"TProgram"="%Windows%\SMSS.EXE"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe 1"
修改为:
"Shell"="Explorer.exe"
删除的文件就是一开始说的那些,别删错就行。
5. 最后打开注册表编辑器,恢复被修改的信息:
查找“explorer.com”,把找到的“explorer.com”修改为“explorer.exe”;
查找“finder.com”、“command.pif”、“rundll32.com”,把找到的“finder.com”、“command.pif
”、“rundll32.com”修改为“rundll32.exe”;
查找“iexplore.com”,把找到的“iexplore.com”修改为“iexplore.exe”;
查找“iexplore.pif”,把找到的“iexplore.pif”,连同路径一起修改为正常的IE路径和文件名,比如
“C:\Program Files\Internet Explorer\iexplore.exe”。
这些主要是在以下几个位置:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.bfc
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.lnk\
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Applications\iexplore.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\cplfile
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Drive
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\dunfile
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ftp
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\HTTP
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\inffile
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\InternetShortcut
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\scrfile
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\scriptletfile
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\telnet
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Unknown
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet
据说有新的“变态”木马,SMSS.EXE
主程序:%Windows%\SMSS.EXE
图标:征途旗帜图标
文件:
%Windows%\1.com
%Windows%\ExERoute.exe(EXE关联)
%Windows%\explorer.com
%Windows%\finder.com
%Windows%\SMSS.EXE
%Windows%\BOOT.BIN.BAK
%Windows%\Debug\DebugProgram.exe
%Windows%\Debug\PASSWD.LOG
%System%\command.pif
%System%\dxdiag.com
%System%\finder.com
%System%\MSCONFIG.COM
%System%\regedit.com
%System%\rundll32.com
%ProgramFiles%\Internet Explorer\iexplore.com
%ProgramFiles%\Common Files\iexplore.pif
D:\autorun.inf
D:\pagefile.pif
创建的启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TProgram"="%Windows%\SMSS.EXE"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices]
"TProgram"="%Windows%\SMSS.EXE"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe 1"
修改了EXE关联到:
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\winfiles]
干掉对手:
TROJDIE*
RAVMON.EXE
KPOP*
*ASSISTSE*
KPFW*
AGENTSVR*
KREG*
IEFIND*
IPARMOR*
SVI.EXE
UPHC*
RULEWIZE*
FYGT*
RFWSRV*
RFWMA*
清除方法之一……
1. 运行Procexp.exe和SREng.exe
2. 用ProceXP结束%Windows%\SMSS.EXE进程,注意路径和图标
3. 用SREng恢复EXE文件关联
1,2,3步要注意顺序,不要颠倒。
4. 可以删除文件和启动项了……
删除的启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TProgram"="%Windows%\SMSS.EXE"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices]
"TProgram"="%Windows%\SMSS.EXE"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe 1"
修改为:
"Shell"="Explorer.exe"
删除的文件就是一开始说的那些,别删错就行。
5. 最后打开注册表编辑器,恢复被修改的信息:
查找“explorer.com”,把找到的“explorer.com”修改为“explorer.exe”;
查找“finder.com”、“command.pif”、“rundll32.com”,把找到的“finder.com”、“command.pif
”、“rundll32.com”修改为“rundll32.exe”;
查找“iexplore.com”,把找到的“iexplore.com”修改为“iexplore.exe”;
查找“iexplore.pif”,把找到的“iexplore.pif”,连同路径一起修改为正常的IE路径和文件名,比如
“C:\Program Files\Internet Explorer\iexplore.exe”。
这些主要是在以下几个位置:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.bfc
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.lnk\
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Applications\iexplore.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\cplfile
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Drive
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\dunfile
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ftp
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\HTTP
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\inffile
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\InternetShortcut
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\scrfile
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\scriptletfile
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\telnet
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Unknown
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet
adwqx 2006-05-08
- 打赏
- 举报
楼主有能力的话 强烈建议用冰刃手杀~~~
如果不行的话
进安全模式 然后用卡吧杀
如果问题依旧 建议重装系统 一定要先格式盘
另外注意安装盘是否有问题
至于优化系统 在硬件良好的情况下 不建议优化系统 否则未知的问题会越多
如果您对与病毒毫无办法 又不想丢失数据 请联系adminwqx@163.com 我们提供一流的手杀技术~!
如果不行的话
进安全模式 然后用卡吧杀
如果问题依旧 建议重装系统 一定要先格式盘
另外注意安装盘是否有问题
至于优化系统 在硬件良好的情况下 不建议优化系统 否则未知的问题会越多
如果您对与病毒毫无办法 又不想丢失数据 请联系adminwqx@163.com 我们提供一流的手杀技术~!
紫郢剑侠 2006-05-07
- 打赏
- 举报
也许EXE文件关联也被修改了
Scarroot 2006-05-07
- 打赏
- 举报
唉,你首先要确定你中的是什么木马病毒才行啊,还是发HijackThis log上来看看再说
luyf0429 2006-05-07
- 打赏
- 举报
http://www.xren.net/security/14336.html
这个供参考,不一定有用,因为随机产生的文件太多,多的能达到三十多个,如果手动删除,漏掉一个没删,那就会又出来了,稳妥的办法是格式系统,删除掉D盘根目录的那两个autorun.inf和pagefile.com文件,可能还有“command.com”,然后重装系统。
这个供参考,不一定有用,因为随机产生的文件太多,多的能达到三十多个,如果手动删除,漏掉一个没删,那就会又出来了,稳妥的办法是格式系统,删除掉D盘根目录的那两个autorun.inf和pagefile.com文件,可能还有“command.com”,然后重装系统。
VVO2008 2006-05-06
- 打赏
- 举报
去这里看看吧
http://bbs.crsky.com/read.php?tid=656230&fpage=1
http://bbs.crsky.com/read.php?tid=656230&fpage=1
zhangzumiao 2006-05-03
- 打赏
- 举报
smss.exe查找这个文件.....在安全模式下删除..用瑞星杀....
紫郢剑侠 2006-05-03
- 打赏
- 举报
用HijackThis扫描log发上来看看。
