|
論壇說明 |
歡迎您來到『史萊姆論壇』 ^___^ 您目前正以訪客的身份瀏覽本論壇,訪客所擁有的權限將受到限制,您可以瀏覽本論壇大部份的版區與文章,但您將無法參與任何討論或是使用私人訊息與其他會員交流。若您希望擁有完整的使用權限,請註冊成為我們的一份子,註冊的程序十分簡單、快速,而且最重要的是--註冊是完全免費的! 請點擊這裡:『註冊成為我們的一份子!』 |
|
主題工具 | 顯示模式 |
2006-05-23, 01:33 AM | #1 |
榮譽會員
|
軟體 - 征途旗幟圖示木馬清理方法——移除SMSS.EXE行程木馬
征途旗幟圖示木馬清理方法——移除SMSS.EXE行程木馬
主程序:%Windows%\SMSS.EXE 圖示:征途旗幟圖示 本帖包含圖片: 文件: %Windows%\1.com %Windows%\ExERoute.exe(EXE關聯) %Windows%\explorer.com %Windows%\finder.com %Windows%\SMSS.EXE %Windows%\BOOT.BIN.BAK %Windows%\Debug\DebugProgram.exe %Windows%\Debug\PASSWD.LOG %System%\command.pif %System%\dxdiag.com %System%\finder.com %System%\MSCONFIG.COM %System%\regedit.com %System%\rundll32.com %ProgramFiles%\Internet Explorer\iexplore.com %ProgramFiles%\Common Files\iexplore.pif D:\autorun.inf D:\pagefile.pif 新增的啟動項: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "TProgram"="%Windows%\SMSS.EXE" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices] "TProgram"="%Windows%\SMSS.EXE" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"="Explorer.exe 1" 修改了EXE關聯到: [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\winfiles] 幹掉對手: TROJDIE* RAVMON.EXE KPOP* *ASSISTSE* KPFW* AGENTSVR* KREG* IEFIND* IPARMOR* SVI.EXE UPHC* RULEWIZE* FYGT* RFWSRV* RFWMA* 清除方法之一…… 1. 執行Procexp.exe和SREng.exe 2. 用ProceXP結束%Windows%\SMSS.EXE行程,注意路徑和圖示 3. 用SREng恢復EXE文件關聯 1,2,3步要注意順序,不要顛倒。 4. 可以移除文件和啟動項了…… 移除的啟動項: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "TProgram"="%Windows%\SMSS.EXE" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices] "TProgram"="%Windows%\SMSS.EXE" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"="Explorer.exe 1" 修改為: "Shell"="Explorer.exe" 移除的文件就是一開始說的那些,別刪錯就行。 5. 最後開啟註冊表編輯器,恢復被修改的訊息: 搜尋「explorer.com」,把找到的「explorer.com」修改為「explorer.exe」; 搜尋「finder.com」、「command.pif」、「rundll32.com」,把找到的「finder.com」、「command.pif」、「rundll32.com」修改為「rundll32.exe」; 搜尋「iexplore.com」,把找到的「iexplore.com」修改為「iexplore.exe」; 搜尋「iexplore.pif」,把找到的「iexplore.pif」,連同路徑一起修改為正常的IE路徑和檔案名,比如「C:\Program Files\Internet Explorer\iexplore.exe」。 這些主要是在以下幾個位置: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.bfc HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.lnk\ HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Applications\iexplore.exe HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D} HKEY_LOCAL_MACHINE\SOFTWARE\Classes\cplfile HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Drive HKEY_LOCAL_MACHINE\SOFTWARE\Classes\dunfile HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ftp HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile HKEY_LOCAL_MACHINE\SOFTWARE\Classes\HTTP HKEY_LOCAL_MACHINE\SOFTWARE\Classes\inffile HKEY_LOCAL_MACHINE\SOFTWARE\Classes\InternetShortcut HKEY_LOCAL_MACHINE\SOFTWARE\Classes\scrfile HKEY_LOCAL_MACHINE\SOFTWARE\Classes\scriptletfile HKEY_LOCAL_MACHINE\SOFTWARE\Classes\telnet HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Unknown HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet ======================= 清理方法 另一解決方法: 對於那個木馬文件smss.exe,路徑為c:\windows\,正常應該是c:\windows\system32,直接移除根本就沒用,因為工作管理器裡一直會有它的行程,用ntsd指令關掉後馬上又出來了,後來得到龍捲風一位兄弟的方法搞定了, 具體步驟是:執行gpedit.msc開啟群組原則-電腦設定-Windows設定-安全性設定-軟體限制原則-其它規則,在右邊視窗空白處右鍵選項"新散列規則" [attachment=302384] 然後點擊瀏覽找到木馬文件,也就是c:\windows\smss.exe,安全等級選項"不允許的", [attachment=302385] 這樣smss.exe就不會再執行了,然後用ntsd指令關掉工作管理器中的smss.exe行程,記住,要關那個用戶不是SYSTEM的. 這樣就解決了smss.exe,這個也是很主要的,接下來移除下面這些文件: C:\MSCONFIG.SYS %Windows%\1.com %Windows%\ExERoute.exe %Windows%\explorer.com %Windows%\finder.com %Windows%\smss.exe %Windows%\Debug\DebugProgram.exe %System%\command.pif %System%\dxdiag.com %System%\finder.com %System%\MSCONFIG.COM %System%\regedit.com %System%\rundll32.com %ProgramFiles%\Internet Explorer\iexplore.com %ProgramFiles%\Common Files\iexplore.pif %Program Files%\sfx software\svchost.exe 然後到註冊表中將下面的鍵值移除: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Torjan Program"="%Windows%\smss.exe" 並修改[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon]下 "shell"="Explorer.exe 1" 為 "shell"="Explorer.exe" 接下來需要修復EXE文件關聯,可以用註冊表文件搞定,網上很容易搜尋,找不到的可以PM找我要. 然後恢復病毒修改的註冊表訊息: (1)分別搜尋「command.pif」、「finder.com」、「rundll32.com」的訊息,將「command.pif」、「finder.com」、「rundll32.com」修改為「rundll32.exe」 (2)搜尋「explorer.com」的訊息,將「explorer.com」修改為「explorer.exe」 (3)搜尋「iexplore.com」的訊息,將「iexplore.com」修改為「iexplore.exe」 (4)搜尋「iexplore.pif」的訊息,將找到的「%ProgramFiles%\Common Files\iexplore.pif」修改為「%ProgramFiles%\Internet Explorer\iexplore.exe」 到這裡基本上就搞定了. 對於那個行程中自動出現的IEXPLORE.EXE,似乎和這個不是一個木馬,而是另外一個,用卡巴監控能發現,但木馬殺客找不到,會在c:\program files下自動產生1.exe,3.exe,4.exe類似的文件,都隱藏為系統檔案了,在c:\program files\internet explorer目錄下會有一個隱藏的系統檔案叫IEXPLORE.SYS,依然用上面提到的群組原則把這個文件禁用,然後移除1.exe,3.exe,4.exe. 最後,在C碟根目錄中找到病毒產生的目錄,一般都是隱藏的資料夾,移除即可,至於如何判斷是否系統檔案,就不用我囉嗦了吧. 至此,基本就算搞定了,然後將系統中的臨時文件,包括IE臨時文件全部移除,將殺毒軟體昇級到最新病毒庫全盤掃瞄,用木馬專殺工具掃瞄木馬. smss - smss.exe - 行程訊息 行程文件: smss or smss.exe 行程名稱: Session Manager Subsystem 描述: 該行程為會話管理子系統用以啟始化系統變數,MS-DOS驅動名稱類似LPT1以及COM,使用Win32殼子系統和執行在Windows登入程序。 一般錯誤: N/A 是否為系統行程: 是 遇到的還有C:\WINDOWS\SVCHOST。EXE及KB1什麼的病毒文件?用ICESWORD殺掉了SMSS.EXE行程,並用SREng恢復EXE文件關聯及"Shell"="Explorer.exe 1",但迅速的又產生了SMSS.EXE,最後用ICESWORD的行程新增規則禁止SMSS.EXE產生,結果導致系統奇慢而崩潰。由於此病毒涉及的病毒文件很多搞得我沒了頭緒,最後沒法只有重裝了。 可能是純手動式殺毒(客戶安裝的是瑞星,卻沒有一點防護力了),使得沒有戰勝這個病毒,很遺憾! |
__________________ |
|
送花文章: 3,
|
向 psac 送花的會員:
|
wer920 (2018-09-20)
感謝您發表一篇好文章 |