在论坛上找到的,还有一个浏览器劫持,就是乱弹广告,影响不大
引用"建能"
先进入安全模式~
1. 结束病毒的进程%\Windows\smss.exe(隐藏文件,把那个隐藏受保护的操作系统文件的勾点掉就能看到)
2. 删除相关文件:
C:\MSCONFIG.SYS
windows\1.com
windows\ExERoute.exe
windows\explorer.com
windows\finder.com
windows\smss.exe
windows\Debug\DebugProgram.exe
windows\command.pif
windows\dxdiag.com
system32\finder.com
system32\MSCONFIG.COM
system32\regedit.com
system32\rundll32.com
ProgramFiles\Internet Explorer\iexplore.com
ProgramFiles\Common Files\iexplore.pif
其中可能有几个找不到,没关系,找相同时间的文件出来删之(比如一木马的时间是2006-2-26 23:37(我中的木马修改时间。。。55~~,你就搜索所有2-26创建的文件,当然,时间也要一致,可别删错了)如果没找到,那最好了,说明他已经不存在了。
3. 恢复EXE文件关联
方法一:复制WINDOWS目录下的regedit.exe到桌面并改名为regedit.com,然后打开注册表,找到下列分支:HKEY_CLASSES_ROOT\exefile\shell\open\command,双击右侧窗口中的 (默认) 值,设置为 "%1" %* [包含引号]
再找到:
HKEY_CLASSES_ROOT\.exe
双击右侧窗口中的 (默认) 值,设置为 exefile
然后退出注册表编辑器,重启电脑
方法二:复制WINDOWS\system32目录下的cmd.exe到桌面并改名为cmd.com
命令行中,依次执行以下命令:
ftype exefile="%1" %* [包含引号](回车)
assoc .exe=exefile
重启电脑。
4. 删除病毒启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Torjan Program"="%Windows%\smss.exe"
修改[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]下
"shell"="Explorer.exe 1"
为
"shell"="Explorer.exe"
5. 恢复病毒修改的注册表信息:
(1)分别查找“command.pif”、“finder.com”、“rundll32.com”的信息,将“command.pif”、“finder.com”、“rundll32.com”修改为“rundll32.exe”
(2)查找“explorer.com”的信息,将“explorer.com”修改为“explorer.exe”
(3)查找“iexplore.com”的信息,将“iexplore.com”修改为“iexplore.exe”
(4)查找“iexplore.pif”的信息,将找到的“%ProgramFiles%\Common Files\iexplore.pif”修改为“%ProgramFiles%\Internet Explorer\iexplore.exe”(找不到应该也安全了吧)
查一下所有和smss.exe文件同时生成的文件,总共估计有30个(也有可能少的,那是因为这是它的变种)
其中有一两个大小不符的,其他都是39K
system32下还有个a.exe也要删除!
防范措施:在WINDOWS目录下建立一个SMSS.EXE文件并设置为”只读“这样就不会在感染木马了
