找回密码
 注册

QQ登录

只需一步,快速开始

查看: 1844|回复: 8

电脑中毒

蓝色血 发表于 2006-12-15 12:50:45 | 显示全部楼层 |阅读模式 来自 中国广东深圳

马上注册,结交更多好友,享用更多功能。

您需要 登录 才可以下载或查看,没有帐号?注册

x
最近电脑中了一下叫SMSS的病毒,总是杀了了,请大家介绍一下有什么方法克制啊,
龙晖 发表于 2006-12-15 13:01:10 | 显示全部楼层 来自 中国广东韶关
手工清除时请先结束病毒进程 smss.exe,再删除 Windows 目录下的 smss.exe 文件,然后清除它在注册表和 WIN.INI 文件中的相关项即可
仲小建 发表于 2006-12-15 14:08:19 | 显示全部楼层 来自 中国江苏常州
这样也可以啊,不会吧上面的朋友啊,那注册表里的内容呢
泰歌 发表于 2006-12-15 17:04:14 | 显示全部楼层 来自 中国江苏扬州
原帖由 仲小建 于 2006-12-15 14:08 发表
这样也可以啊,不会吧上面的朋友啊,那注册表里的内容呢

-------------------------------
2楼已把注册表的删除说清楚了
zcs1986 发表于 2006-12-15 19:12:11 | 显示全部楼层 来自 中国山东聊城
你也可用超级进程管理工具进行清理,它可以把注册表里的信息也能除掉.
man520 发表于 2006-12-15 20:53:28 | 显示全部楼层 来自 中国广东深圳
学习学习。。。嘻嘻
小贝壳 发表于 2006-12-15 21:05:06 | 显示全部楼层 来自 中国吉林四平
这个病毒是征途木马,算是最好删的了,你用XP自带的进程管理器是结束不了的,结束时会提示是系统关键进程,不允许中止,只能用冰刃一类的工具软件先结束这个进程,然后在C盘下删除,一般在C:\windows目录下,然后在注册表里删除相关的加载项即可.
糊涂神 发表于 2006-12-15 21:22:04 | 显示全部楼层 来自 中国山东日照

从网上找来的做个参考

smss.exe:Session Manager Subsystem,该进程为会话管理子系统用以初始化系统变量,MS-DOS驱动名称类似LPT1以及COM,调用Win32壳子系统和运行在Windows登陆过程。它是一个会话管理子系统,负责启动用户会话。这个进程是通过系统进程初始化的并且对许多活动的,包括已经正在运行的Winlogon,Win32(Csrss.exe)线程和设定的系统变量作出反映。在它启动这些进程后,它等待Winlogon或者Csrss结束。如果这些过程时正常的,系统就关掉了。如果发生了什么不可预料的事情,smss.exe就会让系统停止响应(挂起)。要注意:如果系统中出现了不只一个smss.exe进程,而且有的smss.exe路径是"/WINDONS/SMSS.EXE",那就是中了TrojanClicker.Nogard.a病毒,这是一种Windows下的PE病毒,它采用VB6编写 ,是一个自动访问某站点的木马病毒。该病毒会在注册表中多处添加自己的启动项,还会修改系统文件WIN.INI,并在[WINDOWS]项中加入"RUN" = "/WINDONS/SMSS.EXE"。手工清除时请先结束病毒进程smss.exe,再删除%WINDONS%下的smss.exe文件,然后清除它在注册表和WIN.INI文件中的相关项.


症状:
1.任务管理器中2个smss.exe进程,一个是系统进程,另外一个用ntsd可以关掉,不过关掉后马上就再出现,文件在c:\windows,不把"显示系统文件"打开就看不到,经过HijackThis扫描修复不管用.直接删除无效,在安全模式删除也没用,用文件粉碎机删除也无效.会在注册表run项中自动加入,删除后马上又再出现.用木马杀客能发现木马,但清除后马上又出现了.
2.在D盘根目录下有2个文件,一个是autorun.ini,内容为
[autorun]
OPEN=D:\command.com
另一个就是command.com文件,与上面的smss.exe一样被伪装成系统文件.autorun.ini和command.com删除后很快就再出现.
3.用卡巴6.0.0.229扫描找不到,但网络监控一直报警,有一些1.com,1.exe之类的东西.
4.在任务管理器中经常会出一个IEXPLORE.EXE进程,有时候会出现2个,没有使用ie也会出现。

不多废话了,具体说下我的解决办法吧:
对于那个木马文件smss.exe,路径为c:\windows\,正常应该是c:\windows\system32,直接删除根本就没用,因为任务管理器里一直会有它的进程,用ntsd命令关掉后马上又出来了,后来得到龙卷风一位兄弟的方法搞定了,
具体步骤是:运行gpedit.msc打开组策略-计算机配置-Windows设置-安全设置-软件限制策略-其它规则,在右边窗口空白处右键选择"新散列规则"
[attachment=302384]
然后点击浏览找到木马文件,也就是c:\windows\smss.exe,安全级别选择"不允许的",
[attachment=302385]
这样smss.exe就不会再运行了,然后用ntsd命令关掉任务管理器中的smss.exe进程,记住,要关那个用户不是SYSTEM的.
这样就解决了smss.exe,这个也是很主要的,接下来删除下面这些文件(在这之前先去处文件的隐藏属性):
C:\MSCONFIG.SYS
%Windows%\1.com
%Windows%\ExERoute.exe
%Windows%\explorer.com
%Windows%\finder.com
%Windows%\smss.exe
%Windows%\Debug\DebugProgram.exe
%System%\command.pif
%System%\dxdiag.com
%System%\finder.com
%System%\MSCONFIG.COM
%System%\regedit.com
%System%\rundll32.com
%ProgramFiles%\Internet Explorer\iexplore.com
%ProgramFiles%\Common Files\iexplore.pif
%Program Files%\sfx software\svchost.exe
其它关联木马》
木马路径:C:\WINDOWS\system32\cns.exe
木马路径:C:\WINDOWS\system32\cns.dll
木马路径:C:\WINDOWS\system32\command.pif
木马路径:C:\WINDOWS\system32\MSCONFIG.COM
木马路径:C:\WINDOWS\system32\dxdiag.com
木马路径:C:\WINDOWS\system32\regedit.com
木马路径:C:\WINDOWS\system32\drivers\CnsMinKP.sys
然后到注册表中将下面的键值删除:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Torjan Program"="%Windows%\smss.exe"
天空蓝 发表于 2006-12-15 21:31:49 | 显示全部楼层 来自 中国山东菏泽
知道了
了了了
您需要登录后才可以回帖 登录 | 注册

本版积分规则

快速回复 返回顶部 返回列表