smss.exe和lsass.exe及捆绑病毒介绍及查杀方法

第四：

近期高危险病毒SMSS近几日连续接收几台被SMSS病毒感染的XP机子，用镜像恢复系统没有作用。

其中有一个进程为smss.exe，路径为c：\winnt\smss.exe

（其实2000，xp都有smss.exe必须的进程，但是它的路径是c：\winnt\system32，看路径的工具可以用Process Explorer这个工具来看）

在D盘写一个autocommand.ini文件，可以删除，但是删除后又回自动生成。

一、恢复系统盘镜像后，进入系统。发现依然中毒

二 查看注册表启动项目run有个加载项目tprogram=c：\winnt\smss.exe，可以删除，启动后注册表又有这个！

二 下载木马客星最新版本，安装完毕。木马克星不能启动。提示无法加载病毒库。

三 换木马清道夫，安装后。也是无法启动，提示提示无法加载病毒库，因为c：\winnt\smss.exe

四 安装nod32杀毒，启动提示无法扫描。

四 进入安全模式。安装木马克星，问题依然。这个smss.exe依然存在。

五 进入dos，删除smss.exe.重新启动后，病毒自动生成smss.exe.郁闷。

六、格式化重装系统，仍然有病毒！

七、DM删除分区后重新分区，格式化重装系统，病毒终于没有了！

在网上收集了以下有关该病毒的资料，提供于此，希望对各位防治该病毒有所帮助。

征途旗帜图标木马——SMSS.EXE

据说有新的“变态”木马，SMSS.EXE

主程序：%Windows%\SMSS.EXE图标：征途旗帜图标

通告:http://www.qqread.com/virus/l210732.html 更多内容请看QQ病毒、手机病毒揭密、病毒专栏专题，或进入讨论组讨论。

文件：

%Windows%\1.com

%Windows%\ExERoute.exe（EXE关联）

%Windows%\explorer.com

%Windows%\finder.com

%Windows%\SMSS.EXE

%Windows%\BOOT.BIN.BAK

%Windows%\Debug\DebugProgram.exe

%Windows%\Debug\PASSWD.LOG

%System%\command.pif

%System%\dxdiag.com

%System%\finder.com

%System%\MSCONFIG.COM

%System%\regedit.com

%System%\rundll32.com

%ProgramFiles%\Internet Explorer\iexplore.com

%ProgramFiles%\Common Files\iexplore.pif

D:\autorun.inf

D:\pagefile.pif

创建的启动项：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "TProgram"="%Windows%\SMSS.EXE"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices] "TProgram"="%Windows%\SMSS.EXE"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"="Explorer.exe 1"

修改了EXE关联到：

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\winfiles]

干掉对手：

TROJDIE*

RAVMON.EXE

KPOP*

*ASSISTSE*

KPFW*

AGENTSVR*

KREG*

IEFIND*

IPARMOR*

SVI.EXE

UPHC*

RULEWIZE*

FYGT*

RFWSRV*

RFWMA*

清除方法之一……

1. 运行Procexp.exe和SREng.exe

2. 用ProceXP结束%Windows%\SMSS.EXE进程，注意路径和图标

3. 用SREng恢复EXE文件关联1，2，3步要注意顺序，不要颠倒。

4. 可以删除文件和启动项了……

删除的启动项：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "TProgram"="%Windows%\SMSS.EXE"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices] "TProgram"="%Windows%\SMSS.EXE"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"="Explorer.exe 1"修改为："Shell"="Explorer.exe"

删除的文件就是一开始说的那些，别删错就行。

5. 最后打开注册表编辑器，恢复被修改的信息：

查找“explorer.com”，把找到的“explorer.com”修改为“explorer.exe”；

查找“finder.com”、“command.pif”、“rundll32.com”，把找到的“finder.com”、“command.pif”、“rundll32.com”修改为“rundll32.exe”；

查找“iexplore.com”，把找到的“iexplore.com”修改为“iexplore.exe”；

查找“iexplore.pif”，把找到的“iexplore.pif”，连同路径一起修改为正常的IE路径和文件名，比如“C：\Program Files\Internet Explorer\iexplore.exe”。

这些主要是在以下几个位置：HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.bfc HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.lnk\ HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Applications\iexplore.exe HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D} HKEY_LOCAL_MACHINE\SOFTWARE\Classes\cplfile

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Drive

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\dunfile

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ftp

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile HKEY_LOCAL_MACHINE\SOFTWARE\Classes\HTTP

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\inffile HKEY_LOCAL_MACHINE\SOFTWARE\Classes\InternetShortcut HKEY_LOCAL_MACHINE\SOFTWARE\Classes\scrfile HKEY_LOCAL_MACHINE\SOFTWARE\Classes\scriptletfile HKEY_LOCAL_MACHINE\SOFTWARE\Classes\telnet HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Unknown HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet