史萊姆論壇

返回   史萊姆論壇 > 教學文件資料庫 > Hacker/Cracker 及加解密技術文件
忘記密碼?
論壇說明 標記討論區已讀

歡迎您來到『史萊姆論壇』 ^___^

您目前正以訪客的身份瀏覽本論壇,訪客所擁有的權限將受到限制,您可以瀏覽本論壇大部份的版區與文章,但您將無法參與任何討論或是使用私人訊息與其他會員交流。若您希望擁有完整的使用權限,請註冊成為我們的一份子,註冊的程序十分簡單、快速,而且最重要的是--註冊是完全免費的!

請點擊這裡:『註冊成為我們的一份子!』

Google 提供的廣告


 
 
主題工具 顯示模式
舊 2006-05-23, 01:33 AM   #1
psac
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設 軟體 - 征途旗幟圖示木馬清理方法——移除SMSS.EXE行程木馬

征途旗幟圖示木馬清理方法——移除SMSS.EXE行程木馬



主程序:%Windows%\SMSS.EXE
圖示:征途旗幟圖示

本帖包含圖片:

文件:
%Windows%\1.com
%Windows%\ExERoute.exe(EXE關聯)
%Windows%\explorer.com
%Windows%\finder.com
%Windows%\SMSS.EXE
%Windows%\BOOT.BIN.BAK
%Windows%\Debug\DebugProgram.exe
%Windows%\Debug\PASSWD.LOG
%System%\command.pif
%System%\dxdiag.com
%System%\finder.com
%System%\MSCONFIG.COM
%System%\regedit.com
%System%\rundll32.com
%ProgramFiles%\Internet Explorer\iexplore.com
%ProgramFiles%\Common Files\iexplore.pif
D:\autorun.inf
D:\pagefile.pif
新增的啟動項:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TProgram"="%Windows%\SMSS.EXE"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices]
"TProgram"="%Windows%\SMSS.EXE"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe 1"
修改了EXE關聯到:
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\winfiles]
幹掉對手:
TROJDIE*
RAVMON.EXE
KPOP*
*ASSISTSE*
KPFW*
AGENTSVR*
KREG*
IEFIND*
IPARMOR*
SVI.EXE
UPHC*
RULEWIZE*
FYGT*
RFWSRV*
RFWMA*
清除方法之一……
1. 執行Procexp.exe和SREng.exe
2. 用ProceXP結束%Windows%\SMSS.EXE行程,注意路徑和圖示
3. 用SREng恢復EXE文件關聯
1,2,3步要注意順序,不要顛倒。
4. 可以移除文件和啟動項了……
移除的啟動項:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TProgram"="%Windows%\SMSS.EXE"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices]
"TProgram"="%Windows%\SMSS.EXE"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe 1"
修改為:
"Shell"="Explorer.exe"
移除的文件就是一開始說的那些,別刪錯就行。
5. 最後開啟註冊表編輯器,恢復被修改的訊息:
搜尋「explorer.com」,把找到的「explorer.com」修改為「explorer.exe」;
搜尋「finder.com」、「command.pif」、「rundll32.com」,把找到的「finder.com」、「command.pif」、「rundll32.com」修改為「rundll32.exe」;
搜尋「iexplore.com」,把找到的「iexplore.com」修改為「iexplore.exe」;
搜尋「iexplore.pif」,把找到的「iexplore.pif」,連同路徑一起修改為正常的IE路徑和檔案名,比如「C:\Program Files\Internet Explorer\iexplore.exe」。
這些主要是在以下幾個位置:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.bfc
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.lnk\
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Applications\iexplore.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\cplfile
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Drive
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\dunfile
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ftp
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\HTTP
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\inffile
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\InternetShortcut
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\scrfile
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\scriptletfile
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\telnet
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Unknown
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet
=======================
清理方法
另一解決方法:
對於那個木馬文件smss.exe,路徑為c:\windows\,正常應該是c:\windows\system32,直接移除根本就沒用,因為工作管理器裡一直會有它的行程,用ntsd指令關掉後馬上又出來了,後來得到龍捲風一位兄弟的方法搞定了,
具體步驟是:執行gpedit.msc開啟群組原則-電腦設定-Windows設定-安全性設定-軟體限制原則-其它規則,在右邊視窗空白處右鍵選項"新散列規則"
[attachment=302384]
然後點擊瀏覽找到木馬文件,也就是c:\windows\smss.exe,安全等級選項"不允許的",
[attachment=302385]
這樣smss.exe就不會再執行了,然後用ntsd指令關掉工作管理器中的smss.exe行程,記住,要關那個用戶不是SYSTEM的.
這樣就解決了smss.exe,這個也是很主要的,接下來移除下面這些文件:
C:\MSCONFIG.SYS
%Windows%\1.com
%Windows%\ExERoute.exe
%Windows%\explorer.com
%Windows%\finder.com
%Windows%\smss.exe
%Windows%\Debug\DebugProgram.exe
%System%\command.pif
%System%\dxdiag.com
%System%\finder.com
%System%\MSCONFIG.COM
%System%\regedit.com
%System%\rundll32.com
%ProgramFiles%\Internet Explorer\iexplore.com
%ProgramFiles%\Common Files\iexplore.pif
%Program Files%\sfx software\svchost.exe
然後到註冊表中將下面的鍵值移除:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Torjan Program"="%Windows%\smss.exe"
並修改[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon]下
"shell"="Explorer.exe 1"

"shell"="Explorer.exe"
接下來需要修復EXE文件關聯,可以用註冊表文件搞定,網上很容易搜尋,找不到的可以PM找我要.
然後恢復病毒修改的註冊表訊息:
(1)分別搜尋「command.pif」、「finder.com」、「rundll32.com」的訊息,將「command.pif」、「finder.com」、「rundll32.com」修改為「rundll32.exe」
(2)搜尋「explorer.com」的訊息,將「explorer.com」修改為「explorer.exe」
(3)搜尋「iexplore.com」的訊息,將「iexplore.com」修改為「iexplore.exe」
(4)搜尋「iexplore.pif」的訊息,將找到的「%ProgramFiles%\Common Files\iexplore.pif」修改為「%ProgramFiles%\Internet Explorer\iexplore.exe」
到這裡基本上就搞定了.
對於那個行程中自動出現的IEXPLORE.EXE,似乎和這個不是一個木馬,而是另外一個,用卡巴監控能發現,但木馬殺客找不到,會在c:\program files下自動產生1.exe,3.exe,4.exe類似的文件,都隱藏為系統檔案了,在c:\program files\internet explorer目錄下會有一個隱藏的系統檔案叫IEXPLORE.SYS,依然用上面提到的群組原則把這個文件禁用,然後移除1.exe,3.exe,4.exe.
最後,在C碟根目錄中找到病毒產生的目錄,一般都是隱藏的資料夾,移除即可,至於如何判斷是否系統檔案,就不用我囉嗦了吧.
至此,基本就算搞定了,然後將系統中的臨時文件,包括IE臨時文件全部移除,將殺毒軟體昇級到最新病毒庫全盤掃瞄,用木馬專殺工具掃瞄木馬.
smss - smss.exe - 行程訊息
行程文件: smss or smss.exe
行程名稱: Session Manager Subsystem
描述: 該行程為會話管理子系統用以啟始化系統變數,MS-DOS驅動名稱類似LPT1以及COM,使用Win32殼子系統和執行在Windows登入程序。
一般錯誤: N/A
是否為系統行程: 是
遇到的還有C:\WINDOWS\SVCHOST。EXE及KB1什麼的病毒文件?用ICESWORD殺掉了SMSS.EXE行程,並用SREng恢復EXE文件關聯及"Shell"="Explorer.exe 1",但迅速的又產生了SMSS.EXE,最後用ICESWORD的行程新增規則禁止SMSS.EXE產生,結果導致系統奇慢而崩潰。由於此病毒涉及的病毒文件很多搞得我沒了頭緒,最後沒法只有重裝了。
可能是純手動式殺毒(客戶安裝的是瑞星,卻沒有一點防護力了),使得沒有戰勝這個病毒,很遺憾!
__________________
http://bbsimg.qianlong.com/upload/01/08/29/68/1082968_1136014649812.gif
psac 目前離線  
送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次
向 psac 送花的會員:
wer920 (2018-09-20)
感謝您發表一篇好文章
 


主題工具
顯示模式

發表規則
不可以發文
不可以回覆主題
不可以上傳附加檔案
不可以編輯您的文章

論壇啟用 BB 語法
論壇啟用 表情符號
論壇啟用 [IMG] 語法
論壇禁用 HTML 語法
Trackbacks are 禁用
Pingbacks are 禁用
Refbacks are 禁用


所有時間均為台北時間。現在的時間是 05:53 AM


Powered by vBulletin® 版本 3.6.8
版權所有 ©2000 - 2024, Jelsoft Enterprises Ltd.


SEO by vBSEO 3.6.1