.Oda892
今天又中毒了,前几天在中了一个QQ尾巴.(真是的.), 开始以为是 “爱情后门”(以前有遇到过),在D盘右键菜单中添加自动播放选项,D盘内生成 Autorun.inf , command.com 文件,Autorun.inf 指向Command.com 病毒文件. 病毒进程smss.exe,(该进程和系统进程smss.exe一样,但是位于C:\\WINNT\\目录下, 正常的系统进程smss.exe 位于c:\\winnt\\system32\\ 下, 好了现在开始杀毒,先结束病毒进程 SMSS.EXE ,(系统自带的任务管理器无法结束. 可以去下载一个超强任务管理器,或者用命令 ntsd -c q -p PID , PID号用任务管理器可以看到, 选择内存占用比较大的那个SMSS.EXE , 将其结束,然后删除病毒文件, (哈哈,搞定了? 我高兴得太早了!) ,还没开始删,任务管理器里面,那个该死的SMSS.EXE 又冒出来了,-.-!! . 好,安全模式来杀你. 重起到安全模式,郁闷的是,病毒文件一样被加载了,进程管理起还是有两个SMSS.EXE,将其结束,不一会,又冒出来.删除的病毒文件,又被创建出来了. 这下怎么办呢,用百度GOOGLE一下吧,……… 一翻搜索,最后下载了一个辅助软件 费尔木马强力清除助手,结束SMSS.EXE进程,然后用费尔木马强力清除助手 抑制该文件(c:\\winnt\\smss.exe)再次生成,这下终于搞定. 进程里面没有发现可疑的SMSS.EXE 再出现. 接下来删除病毒文件,恢复系统设置.
主要有DebugProgram.exe C:\\WINNT\\Debugdxdiag.com C:\\WINNT\\system32inexplore.com C:\\Program Files\\Internet Explorerinexplore C:\\Program Files\\Common FilesMSCONFIG.COM C:\\WINNT\\system32regedit.com C:\\WINNT\\system32rund1132.com C:\\WINNT\\system321.com C:\\WINNTregedit.com C:\\WINNTinexplore.pif C:\\WINNTinexplore.com C:\\WINNT大概只这些,可能有遗漏,文件大小45K,一般是隐藏文件.删除之后,重新启动,病毒终于没有再发作.感谢百度啊.然后就是恢复 系统设置了,删除 病毒的启动项,然后修改[HKEY_CLASSES_ROOT\\exefile\\shell\\open\\command]@=”\\”%1\\” %*”恢复EXE文件关联.注册表项[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon]“Shell”=”explorer.exe 1″ 修改为默认“Shell”=”explorer.exe”开浏览器的时候发现,提示找不到inexplore.com, 运行本地的 .HTM .HTML 文件是提示:找不到inexplore.PIF 请运行注册表编辑器 查找:inexplore.com 和 inexplore.pif ,有这个两个的地方 都修改为iexplore.exe ,然后大功告成了.终于恢复正常,一个字:累.