smss.exe是什么进程,征途旗帜图标木马清理方法——删除SMSS.EXE进程木马

征途旗帜图标木马清理方法——删除SMSS.EXE进程木马 - 故障解答 - 电脑教程网

征途旗帜图标木马清理方法——删除SMSS.EXE进程木马

日期:2006-06-06   荐:
征途旗帜图标木马清理方法——删除SMSS.EXE进程木马 
 
主程序:%Windows%\SMSS.EXE 
图标:征途旗帜图标 
 
本帖包含图片: 
 
文件: 
%Windows%\1.com 
%Windows%\ExERoute.exe(EXE关联) 
%Windows%\explorer.com 
%Windows%\finder.com 
%Windows%\SMSS.EXE 
%Windows%\BOOT.BIN.BAK 
%Windows%\Debug\DebugProgram.exe 
%Windows%\Debug\PASSWD.LOG 
%System%\command.pif 
%System%\dxdiag.com 
%System%\finder.com 
%System%\MSCONFIG.COM 
%System%\regedit.com 
%System%\rundll32.com 
%ProgramFiles%\Internet Explorer\iexplore.com 
%ProgramFiles%\Common Files\iexplore.pif 
D:\autorun.inf 
D:\pagefile.pif 
创建的启动项: 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 
"TProgram"="%Windows%\SMSS.EXE" 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices] 
"TProgram"="%Windows%\SMSS.EXE" 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] 
"Shell"="Explorer.exe 1" 
修改了EXE关联到: 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\winfiles] 
干掉对手: 
TROJDIE* 
RAVMON.EXE 
KPOP* 
*ASSISTSE* 
KPFW* 
AGENTSVR* 
KREG* 
IEFIND* 
IPARMOR* 
SVI.EXE 
UPHC* 
RULEWIZE* 
FYGT* 
RFWSRV* 
RFWMA* 
清除方法之一…… 
1. 运行Procexp.exe和SREng.exe 
2. 用ProceXP结束%Windows%\SMSS.EXE进程,注意路径和图标 
3. 用SREng恢复EXE文件关联 
1,2,3步要注意顺序,不要颠倒。 
4. 可以删除文件和启动项了…… 
删除的启动项: 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 
"TProgram"="%Windows%\SMSS.EXE" 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices] 
"TProgram"="%Windows%\SMSS.EXE" 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] 
"Shell"="Explorer.exe 1" 
修改为: 
"Shell"="Explorer.exe" 
删除的文件就是一开始说的那些,别删错就行。 
5. 最后打开注册表编辑器,恢复被修改的信息: 


查找“explorer.com”,把找到的“explorer.com”修改为“explorer.exe”; 
查找“finder.com”、“command.pif”、“rundll32.com”,把找到的“finder.com”、“command.pif”、“rundll32.com”修改为“rundll32.exe”; 
查找“iexplore.com”,把找到的“iexplore.com”修改为“iexplore.exe”; 
查找“iexplore.pif”,把找到的“iexplore.pif”,连同路径一起修改为正常的IE路径和文件名,比如“C:\Program Files\Internet Explorer\iexplore.exe”。 
这些主要是在以下几个位置: 
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.bfc 
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.lnk\ 
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Applications\iexplore.exe 
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D} 
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\cplfile 
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Drive 
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\dunfile 
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ftp 
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile 
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile 
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile 
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\HTTP 
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\inffile 
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\InternetShortcut 
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\scrfile 
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\scriptletfile 
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\telnet 
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Unknown 
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet 
======================= 
清理方法 
另一解决方法: 
对于那个木马文件smss.exe,路径为c:\windows\,正常应该是c:\windows\system32,直接删除根本就没用,因为任务管理器里一直会有它的进程,用ntsd命令关掉后马上又出来了,后来得到龙卷风一位兄弟的方法搞定了, 
具体步骤是:运行gpedit.msc打开组策略-计算机配置-Windows设置-安全设置-软件限制策略-其它规则,在右边窗口空白处右键选择"新散列规则" 
[attachment=302384] 
然后点击浏览找到木马文件,也就是c:\windows\smss.exe,安全级别选择"不允许的", 
[attachment=302385] 
这样smss.exe就不会再运行了,然后用ntsd命令关掉任务管理器中的smss.exe进程,记住,要关那个用户不是SYSTEM的. 


这样就解决了smss.exe,这个也是很主要的,接下来删除下面这些文件: 
C:\MSCONFIG.SYS 
%Windows%\1.com 
%Windows%\ExERoute.exe 
%Windows%\explorer.com 
%Windows%\finder.com 
%Windows%\smss.exe 
%Windows%\Debug\DebugProgram.exe 
%System%\command.pif 
%System%\dxdiag.com 
%System%\finder.com 
%System%\MSCONFIG.COM 
%System%\regedit.com 
%System%\rundll32.com 
%ProgramFiles%\Internet Explorer\iexplore.com 
%ProgramFiles%\Common Files\iexplore.pif 
%Program Files%\sfx software\svchost.exe 
然后到注册表中将下面的键值删除: 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 
"Torjan Program"="%Windows%\smss.exe" 
并修改[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon]下 
"shell"="Explorer.exe 1" 
为 
"shell"="Explorer.exe" 
接下来需要修复EXE文件关联,可以用注册表文件搞定,网上很容易搜索,找不到的可以PM找我要. 
然后恢复病毒修改的注册表信息: 
(1)分别查找“command.pif”、“finder.com”、“rundll32.com”的信息,将“command.pif”、“finder.com”、“rundll32.com”修改为“rundll32.exe” 


(2)查找“explorer.com”的信息,将“explorer.com”修改为“explorer.exe” 
(3)查找“iexplore.com”的信息,将“iexplore.com”修改为“iexplore.exe” 
(4)查找“iexplore.pif”的信息,将找到的“%ProgramFiles%\Common Files\iexplore.pif”修改为“%ProgramFiles%\Internet Explorer\iexplore.exe” 
到这里基本上就搞定了. 
对于那个进程中自动出现的IEXPLORE.EXE,似乎和这个不是一个木马,而是另外一个,用卡巴监控能发现,但木马杀客找不到,会在c:\program files下自动生成1.exe,3.exe,4.exe类似的文件,都隐藏为系统文件了,在c:\program files\internet explorer目录下会有一个隐藏的系统文件叫IEXPLORE.SYS,依然用上面提到的组策略把这个文件禁用,然后删除1.exe,3.exe,4.exe. 
最后,在C盘根目录中找到病毒生成的目录,一般都是隐藏的文件夹,删除即可,至于如何判断是否系统文件,就不用我啰嗦了吧. 
至此,基本就算搞定了,然后将系统中的临时文件,包括IE临时文件全部删除,将杀软升级到最新病毒库全盘扫描,用木马专杀工具扫描木马.
标签: