转:smss.exe病毒查杀
1 view
Skip to first unread message
jsm_...@163.com
Aug 25, 2006, 10:06:50 PM8/25/06
to 电脑医院
此病毒发作后,会在系统目录,或system目录下生成一些常用运行命令的.com文件.
比如:正常的msconfig命令所启动的应该是msconfig.exe(扩展名为.exe),但由于系统启动软件的搜索顺序是.com,.exe,所以当病毒生成一个msconfig.com(注意,病毒生成的是.com,正确的是.exe),此病毒文件会先被执行,然后再由它来调用正确的.exe文件,当然,这个过程中它也顺便加载了smss.exe文件.
所以我们总会在运行一些常用命令后发现smss.exe又被加载了.
下面为正确的查杀方法:
先到此网址下载System Repair
Engineer软件,用来修正文件关联。
http://www.kztechs.com/sreng/download.html
1.先查找smss.exe文件,看看文件大小,还有创建日期.(我找到的大小是42KB)
2.查找比smss.exe大3K以下的所有*.exe,*.com文件.找到后先不要急着删除!一般会发现以下几个(我在文件名后给出正确的系统文件名,并加<括号指出与病毒文件不相同的地方):
1.com
ExERoute.exe
explorer.com (explorer.<exe> )
finder.com
smss.exe
DebugProgram.exe
dxdiag.com (dxdiag.<exe>)
finder.com
MSCONFIG.COM (MSCONFIG.<exe>)
regedit.com (regedit.<exe>)
rundll32.com (rundll32.<exe>)
inexplore.exe (i <少了个n> explore.exe)
这些文件一般大小也都和smss.exe一样大.除了ExERoute.exe是43KB外.
3.运行我们下载下来的程序,选择"系统修复",把文件关联修复.(如果你已经把上面的文件全删了,可能会出现无法打开.exe文件的提示,没关系,把下载的程序改名为.com就可以运行了)
4.把上面找到的文件删掉.
5.显示所有隐藏文件夹和文件,对我的电脑点右键,用资源管理器打开我的电脑,在资源管理器的左框列表中打开盘符.(不要双击右框盘符来打开,这样会使病毒文件得以运行!)你会发现在C,D盘(最后查看所有盘根目录)的根目录下有两个文件:
autorun.inf
command.cmd
将其删除.
注意:这就是为什么有些朋友说此病毒重装后还会再感染的原因,它在其它盘符留下了这两个文件,当用户双击盘符时,病毒又开始悄悄运行了.
6.最后就是查找注册表,把smss.exe的所有项删除.把inexplore.exe项改成iexplore.exe.
7.重启电脑.一切已经恢复正常.
呵,写得有点罗嗦,希望大家能看得明白.
在后面再附上我在网上搜到的解决方法:
文章转自该地址:http://bbs.pcpro.com.cn/archiver/?tid-28498.html
shhicii 2006-3-16 05:57 AM
我的处理方法 大致如下:
要点:由于这个木马在你双击系统盘时 可能调用
自动运行
所以在删除干净系统盘的病毒文件前,不要双击系统盘,否则可能有重新启动木马程序。
1. ntsd 停止进程smss.exe
2. 删除相关文件:如上面所说的:
%Windows%\1.com
%Windows%\ExERoute.exe
%Windows%\explorer.com
%Windows%\finder.com
%Windows%\smss.exe
%Windows%\Debug\DebugProgram.exe
%System%\dxdiag.com
%System%\finder.com
%System%\MSCONFIG.COM
%System%\regedit.com
%System%\rundll32.com
%ProgramFiles%\Internet Explorer\inexplore.exe
%ProgramFiles%\Common Files\inexplore.exe
%SystemRoot%\autorun.inf
%SystemRoot%\command.cmd
基本上可以从生成文件的日期来判断,一般为今天。
3。删除注册表启动项
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Torjan Program"="%Windows%\smss.exe"
修改[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon]下
比如:正常的msconfig命令所启动的应该是msconfig.exe(扩展名为.exe),但由于系统启动软件的搜索顺序是.com,.exe,所以当病毒生成一个msconfig.com(注意,病毒生成的是.com,正确的是.exe),此病毒文件会先被执行,然后再由它来调用正确的.exe文件,当然,这个过程中它也顺便加载了smss.exe文件.
所以我们总会在运行一些常用命令后发现smss.exe又被加载了.
下面为正确的查杀方法:
先到此网址下载System Repair
Engineer软件,用来修正文件关联。
http://www.kztechs.com/sreng/download.html
1.先查找smss.exe文件,看看文件大小,还有创建日期.(我找到的大小是42KB)
2.查找比smss.exe大3K以下的所有*.exe,*.com文件.找到后先不要急着删除!一般会发现以下几个(我在文件名后给出正确的系统文件名,并加<括号指出与病毒文件不相同的地方):
1.com
ExERoute.exe
explorer.com (explorer.<exe> )
finder.com
smss.exe
DebugProgram.exe
dxdiag.com (dxdiag.<exe>)
finder.com
MSCONFIG.COM (MSCONFIG.<exe>)
regedit.com (regedit.<exe>)
rundll32.com (rundll32.<exe>)
inexplore.exe (i <少了个n> explore.exe)
这些文件一般大小也都和smss.exe一样大.除了ExERoute.exe是43KB外.
3.运行我们下载下来的程序,选择"系统修复",把文件关联修复.(如果你已经把上面的文件全删了,可能会出现无法打开.exe文件的提示,没关系,把下载的程序改名为.com就可以运行了)
4.把上面找到的文件删掉.
5.显示所有隐藏文件夹和文件,对我的电脑点右键,用资源管理器打开我的电脑,在资源管理器的左框列表中打开盘符.(不要双击右框盘符来打开,这样会使病毒文件得以运行!)你会发现在C,D盘(最后查看所有盘根目录)的根目录下有两个文件:
autorun.inf
command.cmd
将其删除.
注意:这就是为什么有些朋友说此病毒重装后还会再感染的原因,它在其它盘符留下了这两个文件,当用户双击盘符时,病毒又开始悄悄运行了.
6.最后就是查找注册表,把smss.exe的所有项删除.把inexplore.exe项改成iexplore.exe.
7.重启电脑.一切已经恢复正常.
呵,写得有点罗嗦,希望大家能看得明白.
在后面再附上我在网上搜到的解决方法:
文章转自该地址:http://bbs.pcpro.com.cn/archiver/?tid-28498.html
shhicii 2006-3-16 05:57 AM
我的处理方法 大致如下:
要点:由于这个木马在你双击系统盘时 可能调用
自动运行
所以在删除干净系统盘的病毒文件前,不要双击系统盘,否则可能有重新启动木马程序。
1. ntsd 停止进程smss.exe
2. 删除相关文件:如上面所说的:
%Windows%\1.com
%Windows%\ExERoute.exe
%Windows%\explorer.com
%Windows%\finder.com
%Windows%\smss.exe
%Windows%\Debug\DebugProgram.exe
%System%\dxdiag.com
%System%\finder.com
%System%\MSCONFIG.COM
%System%\regedit.com
%System%\rundll32.com
%ProgramFiles%\Internet Explorer\inexplore.exe
%ProgramFiles%\Common Files\inexplore.exe
%SystemRoot%\autorun.inf
%SystemRoot%\command.cmd
基本上可以从生成文件的日期来判断,一般为今天。
3。删除注册表启动项
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Torjan Program"="%Windows%\smss.exe"
修改[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon]下
补充:现在网上有落雪木马专杀工具可查杀此病毒并可强制修复注册表
“落雪”木马专杀工具 1.06
Made By 幸福的狮子(C.I.S.R.T.)
http://www.cisrt.org
Reply all
Reply to author
Forward
0 new messages