作者itrose (itrose)
看板AntiVirus
標題Re: [Log ] SMSS一直搞不定
時間Tue Jul 25 20:45:16 2006
此篇亦是
說明:以下是病毒的描述及清除方法
病毒文件名為SMSS.EXE,對lsass.exe及winlogon.exe操作方法相同
主程序:%Windows%\SMSS.EXE
圖標:征途旗幟圖標
生成文件:
%Windows%\1.com
%Windows%\ExERoute.exe(EXE關聯)
%Windows%\explorer.com
%Windows%\finder.com
%Windows%\SMSS.EXE
%Windows%\BOOT.BIN.BAK
%Windows%\Debug\DebugProgram.exe
%Windows%\Debug\PASSWD.LOG
%System%\command.pif
%System%\dxdiag.com
%System%\finder.com
%System%\MSCONFIG.COM
%System%\regedit.com
%System%\rundll32.com
%ProgramFiles%\Internet Explorer\iexplore.com
%ProgramFiles%\Common Files\iexplore.pif
D:\autorun.inf
D:\pagefile.pif
創建的啟動項:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TProgram"="%Windows%\SMSS.EXE"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices]
"TProgram"="%Windows%\SMSS.EXE"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe 1"
修改了EXE關聯到:
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\winfiles]
干掉對手:
TROJDIE*
RAVMON.EXE
KPOP*
*ASSISTSE*
KPFW*
AGENTSVR*
KREG*
IEFIND*
IPARMOR*
SVI.EXE
UPHC*
RULEWIZE*
FYGT*
RFWSRV*
RFWMA*
清除方法之一……
1. 運行Procexp.exe和SREng.exe
2. 用ProceXP結束%Windows%\SMSS.EXE進程,注意路徑和圖標
3. 用SREng恢复EXE文件關聯
1,2,3步要注意順序,不要顛倒。
4. 可以刪除文件和啟動項了……
刪除的啟動項:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TProgram"="%Windows%\SMSS.EXE"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices]
"TProgram"="%Windows%\SMSS.EXE"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe 1"
修改為:
"Shell"="Explorer.exe"
刪除的文件就是一開始說的那些,別刪錯就行。
5. 最后打開注冊表編輯器,恢复被修改的信息:
查找“explorer.com”,把找到的“explorer.com”修改為“explorer.exe”;
查找“finder.com”、“command.pif”、“rundll32.com”,把找到的“finder.com”、
“command.pif”、“rundll32.com”修改為“rundll32.exe”;
查找“iexplore.com”,把找到的“iexplore.com”修改為“iexplore.exe”;
查找“iexplore.pif”,把找到的“iexplore.pif”,連同路徑一起修改為正常的IE路徑和
文件名,比如“C:\Program Files\Internet Explorer\iexplore.exe”。
這些主要是在以下几個位置:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.bfc
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.lnk\
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Applications\iexplore.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\cplfile
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Drive
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\dunfile
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ftp
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\HTTP
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\inffile
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\InternetShortcut
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\scrfile
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\scriptletfile
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\telnet
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Unknown
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet
~
~
~
~
~
~
~
~
~
~
~
~
~
~
~
~
~
~
~
~
~
~
胯ゅ徹 (^Z/F1)弧 (^P/^G)礎昋才腹/瓜 (^X/^Q)瞞墶訸礎昋攃aipr訸 1: 1
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 222.136.104.136
1F:→ PaPaBearLin:又上了一課..^^ 07/26 02:14