C:\WINDOWS\SMSS.EXE病毒没有这么简单,如果你的系统还原并没有关闭,请还原系统到最老的一个还原点。
如果关闭了,请看以下帖子。
这个破马早就有。最初见到它是2005年9月22日,我称之为“传奇龙”木马,因为其主体文件的图标是个红色背景的龙,此马属于传奇盗号木马。最近,这个木马的变种又开始流行。这几天在“江民”论坛看到不少人在议论“征途旗帜图标木马——SMSS.EXE”的查杀,搞得很多人头痛!
其实,这个木马还是可以手工杀净的,只是操作比较麻烦。
我最初写的查杀帖子:http://forum.ikaka.com/topic.asp?board=28&artid=7205233
2005-12-4的另一个查杀帖子:http://forum.ikaka.com/topic.asp?board=28&artid=7495863
2006-01-13写的第三个查杀帖子:http://forum.ikaka.com/topic.asp?board=28&artid=7678628
以下是最近写的一个查杀方法
SMSS.EXE手工查杀流程:
1、安装SSM(下载地址:http://www.syssafety.com/files.html。开机后,SSM会有若干此类报警(见图1)。一律按图1所示操作处理。
2、将SREng改名运行(图2),修复主要文件关联。
3、删除木马文件(图3)。
4、清理注册表:
展开HKEY_CLASSES_ROOT\.bfc\ShellNew
将"Command"="%SystemRoot%\\system32\\rundll32.com %SystemRoot%\\system32\\syncui.dll,Briefcase_Create %2!d! %1"中的Command"="%SystemRoot%\\system32\\rundll32.com 删除。
展开HKEY_CLASSES_ROOT\.lnk\ShellNew
将"Command"="rundll32.com appwiz.cpl,NewLinkHere %1"中的rundll32.com删除
展开HKEY_CLASSES_ROOT\Applications\iexplore.exe\shell\open\command
将@="\"C:\\Program Files\\Internet Explorer\\iexplore.com\" %1"改为@="\"C:\\Program Files\\Internet Explorer\\iexplore.exe\" %1"
展开HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command
将@="\"C:\\Program Files\\Internet Explorer\\iexplore.com\" %1"改为@="\"C:\\Program Files\\Internet Explorer\\iexplore.exe\" %1"
展开HKEY_CLASSES_ROOT\cplfile\shell\cplopen\command
将@="rundll32.com shell32.dll,Control_RunDLL \"%1\",%*"中的rundll32.com 删除
展开HKEY_CLASSES_ROOT\Drive\shell\find\command
将@="%SystemRoot%\\explorer.com"改为@="%SystemRoot%\\explorer.exe"
展开HKEY_CLASSES_ROOT\dunfile\shell\open\command
将@="%SystemRoot%\\system32\\rundll32.com NETSHELL.DLL,InvokeDunFile %1"中的%SystemRoot%\\system32\\rundll32.com删除
展开HKEY_CLASSES_ROOT\ftp\shell\open\command
将@="\"C:\\Program Files\\Internet Explorer\\iexplore.com\" %1"改为@="\"C:\\Program Files\\Internet Explorer\\iexplore.exe\" %1"
展开HKEY_CLASSES_ROOT\htmlfile\shell\open\command
将@="\"C:\\Program Files\\Internet Explorer\\iexplore.com\" -nohome"改为@="\"C:\\Program Files\\Internet Explorer\\iexplore.exe\" -nohome"
展开HKEY_CLASSES_ROOT\htmlfile\shell\opennew\command
将@="\"C:\\Program Files\\common~1\\iexplore.pif\" %1"改为@="\"C:\\Program Files\\common~1\\iexplore.exe\" %1"
展开HKEY_CLASSES_ROOT\htmlfile\shell\print\command
将@="rundll32.com %SystemRoot%\\system32\\mshtml.dll,PrintHTML \"%1\""中的rundll32.com删除
展开HKEY_CLASSES_ROOT\InternetShortcut\shell\open\command
将@="finder.com shdocvw.dll,OpenURL %l"中的finder.com删除
展开HKEY_CLASSES_ROOT\scrfile\shell\install\command
将@="finder.com desk.cpl,InstallScreenSaver %l"中的finder.com删除
展开HKEY_CLASSES_ROOT\scriptletfile\Shell\Generate Typelib\command
将@="\"C:\\WINDOWS\\system32\\finder.com\" C:\\WINDOWS\\system32\\scrobj.dll,GenerateTypeLib \"%1\""中的\"C:\\WINDOWS\\system32\\finder.com\"删除
展开HKEY_CLASSES_ROOT\telnet\shell\open\command
将@="finder.com url.dll,TelnetProtocolHandler %l"中的finder.com删除
展开HKEY_CLASSES_ROOT\Unknown\shell\openas\command
将@="%SystemRoot%\\system32\\finder.com %SystemRoot%\\system32\\shell32.dll,OpenAs_RunDLL %1"中的%SystemRoot%\\system32\\finder.com 删除
展开HKEY_CLASSES_ROOT\winfiles\Shell\Open\Command
删除@="C:\\windows\\ExERoute.exe \"%1\" %*"
展开HKEY_CURRENT_USER\Software\VB and VBA Program Settings\Microsoft Soft Debuger\Settings
删除"GUID"="{C08L95-CW547B-IC74A8-57KU9O-J7M617}"
展开HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除Tprogram
展开HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
删除Tprogram
展开HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
将"Shell"="Explorer.exe 1"中的1删除
