SMSS病毒发表评论(0)编辑词条

SMSS病毒
　　SMSS病毒介绍：这是一种Windows下的PE病毒，它采用VB6编写
　　，是一个自动访问某站点（3721）的木马病毒。该病毒会在注册表中多处添加自己的启动项，还会修改系统文件WIN.INI，并在[WINDOWS]项中加入"RUN"
　　=
　　"%WINDIR%\SMSS.EXE"。症状：确定自己中招没就看看吧！如果系统进程中出现了2个smss.exe进程，而且其中的smss.exe路径是"WINDOWS\SMSS.EXE"，那就是中了TrojanClicker.Nogard.a病毒。
　　清除过程：和ROSE
　　ADOBER这2个小垃圾不一样，纯粹的清除其相关病毒文件，修改注册表，更改启动项是没用的，那时在浪费时间。所以说这个木马病毒比较高级，挺麻烦。
　　步骤：手动杀毒的时候先把文件夹选项搞好了再进行清除操作，养成个好习惯。显示隐藏文件，把那个隐藏受保护的操作系统文件的勾点掉。
　　1.运行gpedit.msc打开组策略-计算机配置-Windows设置-安全设置-软件限制策略-其它规则,在右边窗口空白处右键选择"新散列规则"。这样smss.exe就不会再运行了。
　　2.运行Procexp.exe（没得话可以去下个，这个东东很叼，很好用），然后结束%Windows%\SMSS.EXE进程，注意路径。要是结束SYSTEM的SMSS会重启的，当然也可以用ntsd命令关掉任务管理器中的smss.exe进程。结束并防止其再次启动是SMSS.EXE病毒手动清除的关键，ROSE等直接可以结束其进程然后删文件改注册表就行了。如果不进行第一和第二步骤是不能清楚SMSS病毒的。
　　3.接下来删除下面这些文件： C:\MSCONFIG.SYS
　　下面的文件名在注册表中也会出现，忘记是哪几个了，搜索下要么修改要么删除，呵呵，对了还有个WOW你在注册表中搜艘看是不是有好几个？
　　%Windows%\1.com（是不是在你注册表中发现WWW.3721.COM啊 哈哈知道怎么中的了吧）
　　%Windows%\ExERoute.exe %Windows%\explorer.com %Windows%\finder.com
　　%Windows%\smss.exe %Windows%\Debug\DebugProgram.exe %System%\command.pif
　　%System%\dxdiag.com %System%\finder.com %System%\MSCONFIG.COM
　　%System%\regedit.com %System%\rundll32.com %ProgramFiles%\Internet
　　Explorer\iexplore.com %ProgramFiles%\Common Files\iexplore.pif %Program
　　Files%\sfx software\svchost.exe 其它关联木马》木马路径：C:\WINDOWS\system32\cns.exe
　　木马路径：C:\WINDOWS\system32\cns.dll 木马路径：C:\WINDOWS\system32\command.pif
　　木马路径：C:\WINDOWS\system32\MSCONFIG.COM 木马路径：C:\WINDOWS\system32\dxdiag.com
　　木马路径：C:\WINDOWS\system32\regedit.com
　　木马路径：C:\WINDOWS\system32\drivers\CnsMinKP.sys 然后到注册表中将下面的键值删除:
　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Torjan
　　Program"="%Windows%\smss.exe"
　　（也可以直接搜索注册表的这样比较稳妥和全面一点）并修改[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon]下
　　"shell"="Explorer.exe 1" 为 "shell"="Explorer.exe"
　　以下步骤可以不进行操作的，不过最好还是扫下吧：分别查找“command.pif”、“finder.com”、“rundll32.com”的信息，将“command.pif”、“finder.com”、“rundll32.com”修改为“rundll32.exe”
　　查找“explorer.com”的信息，将“explorer.com”修改为“explorer.exe”
　　查找“iexplore.com”的信息，将“iexplore.com”修改为“iexplore.exe”
　　查找“iexplore.pif”的信息，将找到的“%ProgramFiles%\Common
　　Files\iexplore.pif”修改为“%ProgramFiles%\Internet Explorer\iexplore.exe”
　　其中可能有几个找不到，没关系，找相同时间的文件出来删之（比如这一木马创立的时间是2006-6-18
　　15：51你就搜索所有6-18创建的文件，当然，时间也要一致，可别删错了）如果没找到，那最好了，说明他已经不存在了。SMSS.EXE病毒相关文件大小全部一样为112K，反正我这里是这么大小，看网上其他人和我写的不一样。搞到这里你可以用些修复软件对系统进行下恢复，当然也可以不修复的。等等，接下来你不能运行EXE文件，你开个视频都要你打开方式的，好下面我们修改下注册表：不要在运行中输入东西打不开的。方法一：复制WINDOWS目录下的regedit.exe到桌面并改名为regedit.com，然后打开regedit.com，找到下列分支：HKEY_CLASSES_ROOT\exefile\shell\open\command，双击右侧窗口中的
　　(默认) 值，设置为 "%1" %* [包含引号] 再找到: HKEY_CLASSES_ROOT\.exe 双击右侧窗口中的 (默认) 值，设置为
　　exefile 然后退出注册表编辑器，重启电脑 方法二：复制WINDOWS\system32目录下的cmd.exe到桌面并改名为cmd.com
　　命令行中，依次执行以下命令： ftype exefile="%1" %* [包含引号](回车) assoc .exe=exefile 重启电脑。
　　至此SMSS.EXE病毒清除成功。
　　最后网上人家说防范措施：在WINDOWS目录下建立一个SMSS.EXE文件并设置为”只读“这样就不会在感染木马了。这话纯属放P，SMSS病毒是利用IE漏洞传播，可能你随便开个网页都有可能中毒，防止这个病毒最好是下个补丁。
　　1、用杀病毒软件清除内存中的病毒进程 k4mm.exe svch0st_.exe qqwb.exe InternetExplorer.exe
　　smss.exe
　　2、搜索计算机中的k4mm.exe svch0st_.exe smss.exe qqwb.exe
　　等病毒文件并手动删除，特别是K4MM.exe和smss.exe
　　这两个文件，现在的杀毒软件还无法识别出是病毒，
　　3、搜索注册表中键值为C:\winnt\smss.exe 的项，全部删除
　　如果没有杀毒软件，就只好启动到安全模式下手动清除了。
　　win2k和winxp用户：
　　查找注册表中HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
　　NT\CurrentVersion\Winlogon下的shell键值，修改为Explorer.exe
　　win98和winme用户：
　　查找system.ini，在system.ini中，查看以下内容：
　　shell=Explorer.exe
　　如果不是的，将其修改为以上内容
　　另外也查找一下run、runservice键值，看有否相应的启动项