,,smss.exe 病毒完全手动清除技巧
(其实2000,xp都有smss.exe必须的进程,但是它的路径是c:\winnt\system32,看路径的工具可以用ProcessExplorer这个工具来看)
在D盘写一个autocommand.ini文件,可以删除,但是删除后又回自动生成。
一、恢复系统盘镜像后,进入系统。发现依然中毒
二查看注册表启动项目奔跑有个加载项目tprogram=c:\windows\smss.exe,可以删除,启动后注册表又有这个!
二下载木马客星最新版本,安装完毕。木马克星不能启动。提示无法加载病毒库。
三换木马清道夫,安装后。也是无法启动,提示提示无法加载病毒库,因为c:\windows\smss.exe
四安装nod32杀毒,启动提示无法扫描。
四进入安全模式。安装木马克星,问题依然。这个smss.exe依然存在。
五进入dos,删除smss.exe .重新启动后,病毒自动生成smss.exe .郁闷。
六、格式化重装系统,仍然有病毒!
七、DM删除分区后重新分区,格式化重装系统,病毒终于没有了!
在网上收集了以下有关该病毒的资料,提供于此,希望对各位防治该病毒有所帮助。
征途旗帜图标木马——短信.可执行程序的扩展名
据说有新的"变态"木马,SMSS .可执行程序的扩展名
主程序:%Windows%\SMSS .可执行程序的扩展名
图标:征途旗帜图标
文件:
%Windows%\1.com
%Windows%\ExERoute.exe(EXE关联)
%Windows%\explorer.com
%Windows%\finder.com
%Windows%\SMSS .可执行程序的扩展名
%Windows%\BOOT .宾BAK
% Windows % \ Debug \ Debug程序。可执行程序的扩展名
%Windows%\Debug\PASSWD .原木
%System%\command.pif
%System%\dxdiag.com
%System%\finder.com
%System%\MSCONFIG .计算机输出缩微胶片
%System%\regedit.com
%System%\rundll32.com
%程序文件% \ internet explorer \ ie xplore。com
%程序文件% \公共文件\ ie xplore。程序信息文件
D:\autorun.inf
D:\pagefile.pif
创建的启动项:
[HKEY _ LOCAL _ MACHINE \ SOFTWARE \ Microsoft \ Windows \ current version \ Run]
TProgram'='%Windows%\SMSS .' EXE '
[HKEY _ LOCAL _ MACHINE \ SOFTWARE \ Microsoft \ Windows \ current version \ run services]
TProgram'='%Windows%\SMSS .' EXE '
[HKEY _ LOCAL _ MACHINE \ SOFTWARE \ Microsoft \ windows nt \ current version \ Winlogon]
Shell'='Explorer.exe1 '
修改了可执行程序的扩展名关联到:
[HKEY _ LOCAL _ MACHINE \ SOFTWARE \ Classes \ winfiles]
*掉对手:
特罗迪*
拉夫蒙。可执行程序的扩展名
KPOP*
*助手*
KPFW*
代理SVR*
KREG*
IEFIND*
IPARMOR*
SVI .可执行程序的扩展名
UPHC*
RULEWIZE*
FYGT*
RFWSRV*
RFWMA*
清除方法之一……
1.运行Procexp.exe和SREng.exe
2.用ProceXP结束%Windows%\SMSS .可执行程序的扩展名进程,注意路径和图标
3.用SREng恢复可执行程序的扩展名文件关联
1,2,3步要注意顺序,不要颠倒。
4.可以删除文件和启动项了……
删除的启动项:
[HKEY _ LOCAL _ MACHINE \ SOFTWARE \ Microsoft \ Windows \ current version \ Run]
TProgram'='%Windows%\SMSS .' EXE '
[HKEY _ LOCAL _ MACHINE \ SOFTWARE \ Microsoft \ Windows \ current version \ run services]
TProgram'='%Windows%\SMSS .' EXE '
[HKEY _ LOCAL _ MACHINE \ SOFTWARE \ Microsoft \ windows nt \ current version \ Winlogon]
Shell'='Explorer.exe1 '
修改为:
Shell'='Explorer.exe '
删除的文件就是一开始说的那些,别删错就行。
5.最后打开注册表编辑器,恢复被修改的信息:
查找“explorer.com”,把找到的《explorer.com》修改为“探索者。exe”;
查找“finder.com”、“command.pif”、“rundll32.com”,把找到的“finder.com”、“command.pif”、“rundll32.com”修改为“rundll32。exe”;
查找“iexplore.com”,把找到的《iexplore.com》修改为“ie xplore。exe”;
查找" iexplore.pif ",把找到的" iexplore.pif ",连同路径一起修改为正常的工业管理学(工业工程)路径和文件名,比如c:\ program files \ internet explorer \ ie xplore。exe。
这些主要是在以下几个位置:
HKEY _ LOCAL _ MACHINE \ SOFTWARE \ class \u .bfc
HKEY _ LOCAL _ MACHINE \ SOFTWARE \ class \u .lnk\
HKEY _ LOCAL _ MACHINE \ SOFTWARE \ class \ Applications \ ie xplore。可执行程序的扩展名
HKEY _ LOCAL _ MACHINE \ SOFTWARE \ Classes \ CLSID \ { 871 c 5380-42 A0-1069-A2EA-08002 b 30309d }
HKEY _ LOCAL _ MACHINE \ SOFTWARE \ class \ CPL文件
HKEY _ LOCAL _ MACHINE \软件\类\驱动器
HKEY _ LOCAL _ MACHINE \ SOFTWARE \ Classes \ dun文件
HKEY _ LOCAL _ MACHINE \ SOFTWARE \ class \ FTP
HKEY _ LOCAL _ MACHINE \ SOFTWARE \ class \ html文件
HKEY _ LOCAL _ MACHINE \ SOFTWARE \ class \ html文件
HKEY _ LOCAL _ MACHINE \ SOFTWARE \ class \ html文件
HKEY _ LOCAL _ MACHINE \ SOFTWARE \ Classes \ HTTP
HKEY _ LOCAL _ MACHINE \ SOFTWARE \ Classes \ inffile
HKEY _ LOCAL _ MACHINE \ SOFTWARE \ class \ internet快捷方式
HKEY _ LOCAL _ MACHINE \ SOFTWARE \ class \ scrfile
HKEY _ LOCAL _ MACHINE \ SOFTWARE \ class \ script let文件
HKEY _ LOCAL _ MACHINE \软件\类\ telnet
HKEY _本地机器\软件\类\未知
HKEY _ LOCAL _ MACHINE \ SOFTWARE \ Clients \ StartMenuInternet
郑重声明:本文由网友发布,不代表盛行IT的观点,版权归原作者所有,仅为传播更多信息之目的,如有侵权请联系,我们将第一时间修改或删除,多谢。