科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道smss.exe和lsass.exe及捆绑病毒介绍及查杀方法

smss.exe和lsass.exe及捆绑病毒介绍及查杀方法

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

smss.exe是微软Windows操作系统的一部分。该进程调用对话管理子系统和负责操作你系统的对话。

作者:论坛整理 来源:zdnet网络安全 2008年2月27日

关键字: 杀毒软件 木马 反病毒 病毒防范 防病毒 病毒

  • 评论
  • 分享微博
  • 分享邮件

在本页阅读全文(共2页)

第四

近期高危险病毒SMSS近几日连续接收几台被SMSS病毒感染的XP机子,用镜像恢复系统没有作用。

其中有一个进程为smss.exe,路径为c:\winnt\smss.exe

(其实2000,xp都有smss.exe必须的进程,但是它的路径是c:\winnt\system32,看路径的工具可以用Process Explorer这个工具来看)

在D盘写一个autocommand.ini文件,可以删除,但是删除后又回自动生成。

一、恢复系统盘镜像后,进入系统。发现依然中毒

二 查看注册表启动项目run有个加载项目tprogram=c:\winnt\smss.exe,可以删除,启动后注册表又有这个!

二 下载木马客星最新版本,安装完毕。木马克星不能启动。提示无法加载病毒库。

三 换木马清道夫,安装后。也是无法启动,提示提示无法加载病毒库,因为c:\winnt\smss.exe

四 安装nod32杀毒,启动提示无法扫描。

四 进入安全模式。安装木马克星,问题依然。这个smss.exe依然存在。

五 进入dos,删除smss.exe.重新启动后,病毒自动生成smss.exe.郁闷。

六、格式化重装系统,仍然有病毒!

七、DM删除分区后重新分区,格式化重装系统,病毒终于没有了!

在网上收集了以下有关该病毒的资料,提供于此,希望对各位防治该病毒有所帮助。

征途旗帜图标木马——SMSS.EXE

据说有新的“变态”木马,SMSS.EXE

主程序:%Windows%\SMSS.EXE图标:征途旗帜图标

通告:http://www.qqread.com/virus/l210732.html 更多内容请看QQ病毒、手机病毒揭密、病毒专栏专题,或进入讨论组讨论。

文件:

%Windows%\1.com

%Windows%\ExERoute.exe(EXE关联)

%Windows%\explorer.com

%Windows%\finder.com

%Windows%\SMSS.EXE

%Windows%\BOOT.BIN.BAK

%Windows%\Debug\DebugProgram.exe

%Windows%\Debug\PASSWD.LOG

%System%\command.pif

%System%\dxdiag.com

%System%\finder.com

%System%\MSCONFIG.COM

%System%\regedit.com

%System%\rundll32.com

%ProgramFiles%\Internet Explorer\iexplore.com

%ProgramFiles%\Common Files\iexplore.pif

D:\autorun.inf

D:\pagefile.pif

创建的启动项:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "TProgram"="%Windows%\SMSS.EXE"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices] "TProgram"="%Windows%\SMSS.EXE"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"="Explorer.exe 1"

修改了EXE关联到:

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\winfiles]

干掉对手:

TROJDIE*

RAVMON.EXE

KPOP*

*ASSISTSE*

KPFW*

AGENTSVR*

KREG*

IEFIND*

IPARMOR*

SVI.EXE

UPHC*

RULEWIZE*

FYGT*

RFWSRV*

RFWMA*

清除方法之一……

1. 运行Procexp.exe和SREng.exe

2. 用ProceXP结束%Windows%\SMSS.EXE进程,注意路径和图标

3. 用SREng恢复EXE文件关联1,2,3步要注意顺序,不要颠倒。

4. 可以删除文件和启动项了……

删除的启动项:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "TProgram"="%Windows%\SMSS.EXE"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices] "TProgram"="%Windows%\SMSS.EXE"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"="Explorer.exe 1"修改为:"Shell"="Explorer.exe"

删除的文件就是一开始说的那些,别删错就行。

5. 最后打开注册表编辑器,恢复被修改的信息:

查找“explorer.com”,把找到的“explorer.com”修改为“explorer.exe”;

查找“finder.com”、“command.pif”、“rundll32.com”,把找到的“finder.com”、“command.pif”、“rundll32.com”修改为“rundll32.exe”;

查找“iexplore.com”,把找到的“iexplore.com”修改为“iexplore.exe”;

查找“iexplore.pif”,把找到的“iexplore.pif”,连同路径一起修改为正常的IE路径和文件名,比如“C:\Program Files\Internet Explorer\iexplore.exe”。

这些主要是在以下几个位置:HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.bfc HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.lnk\ HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Applications\iexplore.exe HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D} HKEY_LOCAL_MACHINE\SOFTWARE\Classes\cplfile

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Drive

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\dunfile

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ftp

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile HKEY_LOCAL_MACHINE\SOFTWARE\Classes\HTTP

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\inffile HKEY_LOCAL_MACHINE\SOFTWARE\Classes\InternetShortcut HKEY_LOCAL_MACHINE\SOFTWARE\Classes\scrfile HKEY_LOCAL_MACHINE\SOFTWARE\Classes\scriptletfile HKEY_LOCAL_MACHINE\SOFTWARE\Classes\telnet HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Unknown HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章