PTT數位生活區 / AntiVirus (防毒)

Re: [Log ] SMSS一直搞不定

看板AntiVirus (防毒)作者 (itrose)時間18年前 (2006/07/25 20:44), 編輯推噓0(001)
留言1則, 1人參與, 最新討論串2/2 (看更多)
此篇亦是 說明:以下是病毒的描述及清除方法 病毒文件名為SMSS.EXE,對lsass.exe及winlogon.exe操作方法相同 主程序:%Windows%\SMSS.EXE 圖標:征途旗幟圖標 生成文件: %Windows%\1.com %Windows%\ExERoute.exe(EXE關聯) %Windows%\explorer.com %Windows%\finder.com %Windows%\SMSS.EXE %Windows%\BOOT.BIN.BAK %Windows%\Debug\DebugProgram.exe %Windows%\Debug\PASSWD.LOG %System%\command.pif %System%\dxdiag.com %System%\finder.com %System%\MSCONFIG.COM %System%\regedit.com %System%\rundll32.com %ProgramFiles%\Internet Explorer\iexplore.com %ProgramFiles%\Common Files\iexplore.pif D:\autorun.inf D:\pagefile.pif 創建的啟動項: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "TProgram"="%Windows%\SMSS.EXE" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices] "TProgram"="%Windows%\SMSS.EXE" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"="Explorer.exe 1" 修改了EXE關聯到: [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\winfiles] 干掉對手: TROJDIE* RAVMON.EXE KPOP* *ASSISTSE* KPFW* AGENTSVR* KREG* IEFIND* IPARMOR* SVI.EXE UPHC* RULEWIZE* FYGT* RFWSRV* RFWMA* 清除方法之一…… 1. 運行Procexp.exe和SREng.exe 2. 用ProceXP結束%Windows%\SMSS.EXE進程,注意路徑和圖標 3. 用SREng恢复EXE文件關聯 1,2,3步要注意順序,不要顛倒。 4. 可以刪除文件和啟動項了…… 刪除的啟動項: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "TProgram"="%Windows%\SMSS.EXE" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices] "TProgram"="%Windows%\SMSS.EXE" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"="Explorer.exe 1" 修改為: "Shell"="Explorer.exe" 刪除的文件就是一開始說的那些,別刪錯就行。 5. 最后打開注冊表編輯器,恢复被修改的信息: 查找“explorer.com”,把找到的“explorer.com”修改為“explorer.exe”; 查找“finder.com”、“command.pif”、“rundll32.com”,把找到的“finder.com”、 “command.pif”、“rundll32.com”修改為“rundll32.exe”; 查找“iexplore.com”,把找到的“iexplore.com”修改為“iexplore.exe”; 查找“iexplore.pif”,把找到的“iexplore.pif”,連同路徑一起修改為正常的IE路徑和 文件名,比如“C:\Program Files\Internet Explorer\iexplore.exe”。 這些主要是在以下几個位置: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.bfc HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.lnk\ HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Applications\iexplore.exe HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D} HKEY_LOCAL_MACHINE\SOFTWARE\Classes\cplfile HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Drive HKEY_LOCAL_MACHINE\SOFTWARE\Classes\dunfile HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ftp HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile HKEY_LOCAL_MACHINE\SOFTWARE\Classes\HTTP HKEY_LOCAL_MACHINE\SOFTWARE\Classes\inffile HKEY_LOCAL_MACHINE\SOFTWARE\Classes\InternetShortcut HKEY_LOCAL_MACHINE\SOFTWARE\Classes\scrfile HKEY_LOCAL_MACHINE\SOFTWARE\Classes\scriptletfile HKEY_LOCAL_MACHINE\SOFTWARE\Classes\telnet HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Unknown HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~  胯ゅ徹 (^Z/F1)弧  (^P/^G)礎昋才腹/瓜  (^X/^Q)瞞墶訸礎昋攃aipr訸 1: 1 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 222.136.104.136
07/26 02:14, , 1F
又上了一課..^^
07/26 02:14, 1F
更多 itrose 的文章
文章代碼(AID): #14nX8yL- (AntiVirus)
討論串 (同標題文章)
完整討論串 (本文為第 2 之 2 篇):
排序: 最舊先 | 最新先 | 留言數
在新視窗開啟完整討論串 (共2篇)
AntiVirus 近期熱門文章
更多 近期熱門文章 >>
PTT數位生活區 即時熱門文章
更多 即時熱門文章 >>
更多 itrose 的文章
文章代碼(AID): #14nX8yL- (AntiVirus)