【求助】今天不小心，貌似中毒了，虽然处理过了，但总感觉还有问题……求高手指导

aaron_zhao

smss.exe 不是系统进程吗？

gujiutian

发下那样本包吧

aaron_zhao

SMSS病毒 　　
Q尾巴，Trojan/PSW.MiFeng蜜蜂大盗等木马病毒： 　
进程文件: smss.exe 　　
进程名称: PWSteal.Wowcraft.b木马病毒 　　英文描述: N/A 　　
进程分析: QQ尾巴，Trojan/PSW.MiFeng蜜蜂大盗等木马病毒。主要通过浏览恶意网页传播。该病毒修改注册表创建Run/Tok-Cirrhatus项实现自启动。新变种也通过修改注册表Winlogon项下的Userinit实现自启动，并将病毒模块regsvr.dll，cn_spi.dll注入进程运行。 　　
安全等级 (0-5): 0 (N/A无危险 5最危险) 　　间谍软件: 是 　　广告软件: 是 　　病毒: 是 木马: 是 　　系统进程: 否 　　应用程序: 否 　　后台程序: 是 　　使用访问: 是 　　访问互联网: 否

aaron_zhao

SMSS病毒 　　
Q尾巴，Trojan/PSW.MiFeng蜜蜂大盗等木马病毒： 　
进程文件: smss.exe 　　
进程名称: P ...
aaron_zhao 发表于 2010-6-2 18:27

清除方法：

　　1. 运行Procexp.exe和SREng.exe

　　2. 用ProceXP结束%Windows%\SMSS.EXE进程，注意路径和图标

　　3. 用SREng恢复EXE文件关联（1,2,3步要注意顺序，不要颠倒。）

　　4. 可以删除文件和启动项了……

　　①结束病毒的进程%Windows%\smss.exe（用进程管理软件可以结束，如：Process viewer）

　　② 删除相关文件：

　　C:\MSCONFIG.SYS

　　%Windows%\1.com

　　%Windows%\ExERoute.exe

　　%Windows%\explorer.com

　　%Windows%\finder.com

　　%Windows%\smss.exe

　　%Windows%\Debug\DebugProgram.exe

　　%System%\command.pif

　　%System%\dxdiag.com

　　%System%\finder.com

　　%System%\MSCONFIG.COM

　　%System%\regedit.com

　　%System%\rundll32.com

　　%ProgramFiles%\Internet Explorer\iexplore.com

　　%ProgramFiles%\Common Files\iexplore.pif

　　③ 恢复EXE文件关联

　　删除[HKEY_CLASSES_ROOT\winfiles]项

　　④ 删除病毒启动项：

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

　　“Torjan Program”=“%Windows%\smss.exe”

　　修改[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]下

　　“shell”=“Explorer.exe 1”

　　为

　　“shell”=“Explorer.exe”

　　⑤ 恢复病毒修改的注册表信息：

　　（1）分别查找“command.pif”、“finder.com”、“rundll32.com”的信息，将“command.pif”、“finder.com”、“rundll32.com”修改为“rundll32.exe”

　　（2）查找“explorer.com”的信息，将“explorer.com”修改为“explorer.exe”

　　（3）查找“iexplore.com”的信息，将“iexplore.com”修改为“iexplore.exe”

　　（4）查找“iexplore.pif”的信息，将找到的“%ProgramFiles%\Common Files\iexplore.pif”修改为“%ProgramFiles%\Internet Explorer\iexplore.exe”

　　⑥ 在command模式下写入assoc .exe=exefile

　　修复exe关联，这样exe文件才可以打的开

　　删除的启动项：

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

　　“TProgram”=“%Windows%\SMSS.EXE”

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices]

　　“TProgram”=“%Windows%\SMSS.EXE”

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

　　“Shell”=“Explorer.exe 1”

　　修改为：

　　“Shell”=“Explorer.exe”

　　删除的文件就是一开始说的那些，别删错就行

　　5. 最后打开注册表编辑器，恢复被修改的信息：

　　查找“explorer.com”，把找到的“explorer.com”修改为“explorer.exe”；

　　查找“finder.com”、“command.pif”、“rundll32.com”，把找到的“finder.com”、“command.pif”、“rundll32.com”修改为“rundll32.exe”；

　　查找“iexplore.com”，把找到的“iexplore.com”修改为“iexplore.exe”；

　　查找“iexplore.pif”，把找到的“iexplore.pif”，连同路径一起修改为正常的IE路径和文件名，比如“C:\Program Files\Internet Explorer\iexplore.exe”。

参考信息：百度百科，http://baike.baidu.com/view/9378.htm#2

lampwich

ls的解决方法让我想到了重装......

尔等如此无情丶

我也求样本，楼主秘密PM我

aaron_zhao

ls的解决方法让我想到了重装......
lampwich 发表于 2010-6-2 18:36

我刚看到的时候也是觉得眼前一乱。。。没点专业知识不好搞啊。

scv1979

回复 34# aaron_zhao 的帖子


    太专业了，太复杂了。

lampwich

回复 37# aaron_zhao 的帖子
的确难搞啊....

   

坏猫子

清除方法：

　　1. 运行Procexp.exe和SREng.exe

　　2. 用ProceXP结束%Windows%\SMSS.EXE进程，注意 ...
aaron_zhao 发表于 2010-6-2 18:30

太复杂了……我直接重装系统了