smss.exe 病毒完全手动清除技巧_病毒查杀

(其实2000,xp都有smss.exe必须的进程，但是它的路径是c:\winnt\system32，看路径的工具可以用Process Explorer这个工具来看）

　　在D盘写一个autocommand.ini文件，可以删除，但是删除后又回自动生成。

　　

　　一、恢复系统盘镜像后，进入系统。发现依然中毒

　　

　　二查看注册表启动项目run有个加载项目tprogram=c:\windows\smss.exe,可以删除，启动后注册表又有这个！

　　

　　二下载木马客星最新版本，安装完毕。木马克星不能启动。提示无法加载病毒库。

　　

　　三换木马清道夫，安装后。也是无法启动，提示提示无法加载病毒库，因为c:\windows\smss.exe

　　

　　四 安装nod32杀毒，启动提示无法扫描。

　　

　　四进入安全模式。安装木马克星，问题依然。这个smss.exe依然存在。

　　

　　五进入dos，删除smss.exe.重新启动后，病毒自动生成smss.exe.郁闷。

　　

　　六、格式化重装系统，仍然有病毒！

　　

　　七、DM删除分区后重新分区，格式化重装系统，病毒终于没有了！

在网上收集了以下有关该病毒的资料，提供于此，希望对各位防治该病毒有所帮助。

征途旗帜图标木马——SMSS.EXE

据说有新的“变态”木马，SMSS.EXE

主程序：%Windows%\SMSS.EXE

图标：征途旗帜图标

文件：

%Windows%\1.com

%Windows%\ExERoute.exe（EXE关联）

%Windows%\explorer.com

%Windows%\finder.com

%Windows%\SMSS.EXE

%Windows%\BOOT.BIN.BAK

%Windows%\Debug\DebugProgram.exe

%Windows%\Debug\PASSWD.LOG

%System%\command.pif

%System%\dxdiag.com

%System%\finder.com

%System%\MSCONFIG.COM

%System%\regedit.com

%System%\rundll32.com

%ProgramFiles%\Internet Explorer\iexplore.com

%ProgramFiles%\Common Files\iexplore.pif

D:\autorun.inf

D:\pagefile.pif

创建的启动项：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"TProgram"="%Windows%\SMSS.EXE"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices]

"TProgram"="%Windows%\SMSS.EXE"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"Shell"="Explorer.exe 1"

修改了EXE关联到：

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\winfiles]

*掉对手：

TROJDIE*

RAVMON.EXE

KPOP*

*ASSISTSE*

KPFW*

AGENTSVR*

KREG*

IEFIND*

IPARMOR*

SVI.EXE

UPHC*

RULEWIZE*

FYGT*

RFWSRV*

RFWMA*

清除方法之一……

1. 运行Procexp.exe和SREng.exe

2. 用ProceXP结束%Windows%\SMSS.EXE进程，注意路径和图标

3. 用SREng恢复EXE文件关联

1,2,3步要注意顺序，不要颠倒。

4. 可以删除文件和启动项了……

删除的启动项：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"TProgram"="%Windows%\SMSS.EXE"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices]

"TProgram"="%Windows%\SMSS.EXE"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"Shell"="Explorer.exe 1"

修改为：

"Shell"="Explorer.exe"

删除的文件就是一开始说的那些，别删错就行。

5. 最后打开注册表编辑器，恢复被修改的信息：

查找“explorer.com”，把找到的“explorer.com”修改为“explorer.exe”；

查找“finder.com”、“command.pif”、“rundll32.com”，把找到的“finder.com”、“command.pif”、“rundll32.com”修改为“rundll32.exe”；

查找“iexplore.com”，把找到的“iexplore.com”修改为“iexplore.exe”；

查找“iexplore.pif”，把找到的“iexplore.pif”，连同路径一起修改为正常的IE路径和文件名，比如“C:\Program Files\Internet Explorer\iexplore.exe”。

这些主要是在以下几个位置：

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.bfc

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.lnk\

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Applications\iexplore.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\cplfile

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Drive

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\dunfile

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ftp

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\HTTP

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\inffile

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\InternetShortcut

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\scrfile

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\scriptletfile

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\telnet

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Unknown

HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet