2008年10月10日

http://www.hopefly.com/it/regfix/

http://www.hdol.cn/iexiufu/

 

2006年10月08日

C:\Program Files\Internet Explorer
有iedw.exe和iexplore.exe

删除以后,不到1秒又自动出现。前一阶段中过winlogon.exe病毒。现在只要打开IE,就会生成以当前用户身份运行的winlogon.exe进程,我用傲游,不会生成此进程。其它一切正常。

====================以下为转载==============================
smss.exe,winlogon.exe"落雪木马专杀工具及手动清除过程
附上找到的此病毒的专杀工具。

相关介绍:
http://www.pcfix.com.cn/Article_Print.asp?ArticleID=980

直接下载此工具:
http://www.jiangmin.com/download/TrojanKiller.exe

注:手动清除时,务必把病毒生成的所有文删掉,由于具体环境的差别,病毒生成的文件可能会略有差异。比如我机子上就没有下面说的3721木马。

如何清除smss.exe病毒手动清除方法介绍(winlogon.exe清除过程类似,只是在把相关对smss.exe的操作换为对winlogon.exe的),
smss.exe病毒手动清除

SMSS病毒介绍:这是一种Windows下的PE病毒,它采用VB6编写 ,

是一个自动访问某站点(3721)的木马病毒。

该病毒会在注册表中多处添加自己的启动项,还会修改系统文件WIN.INI

,并在[WINDOWS]项中加入"RUN" = "%WINDIR%\SMSS.EXE"。

症状:确定自己中招没就看看吧!如果系统进程中出现了2个smss.exe进程,

而且其中的smss.exe路径是"WINDOWS\SMSS.EXE",那就是中了

TrojanClicker.Nogard.a病毒。 清除过程:和ROSE ADOBER这2个小垃圾不一样,

纯粹的清除其相关病毒文件,修改注册表,更改启动项是没用的,

那时在浪费时间。所以说这个木马病毒比较高级,挺麻烦。

    步骤:手动杀毒的时候先把文件夹选项搞好了再进行清除*作,

养成个好习惯。显示隐藏文件,把那个隐藏受保护的*作系统文件的勾点掉。

1.运行gpedit.msc打开组策略-计算机配置-Windows设置-安全设置-软件限制策略-

其它规则,在右边窗口空白处右键选择"新散列规则"。

这样smss.exe就不会再运行了。

2.运行Procexp.exe(没得话可以去下个,这个东东很叼,很好用),

然后结束%Windows%\SMSS.EXE进程,注意路径。

要是结束SYSTEM的SMSS会重启的,

当然也可以用ntsd命令关掉任务管理器中的smss.exe进程。

结束并防止其再次启动是SMSS.EXE病毒手动清除的关键,

ROSE等直接可以结束其进程然后删文件改注册表就行了。

如果不进行第一和第二步骤是不能清楚SMSS病毒的。

3.接下来删除下面这些文件:

C:\MSCONFIG.SYS 下面的文件名在注册表中也会出现,

忘记是哪几个了,搜索下要么修改要么删除,

呵呵,对了还有个WOW你在注册表中搜艘看是不是有好几个?

%Windows%\1.com(是不是在你注册表中发现WWW.3721.COM

哈哈知道怎么中的了吧)

%Windows%\ExERoute.exe %Windows%\explorer.com %Windows%\finder.com %

Windows%\smss.exe %Windows%\Debug\DebugProgram.exe %System%\command.pif

%System%\dxdiag.com %System%\finder.com %System%\MSCONFIG.COM %

System%\regedit.com %System%\rundll32.com %ProgramFiles%\Internet

Explorer\iexplore.com %ProgramFiles%\Common Files\iexplore.pif %Program

Files%\sfx software\svchost.exe 其它关联木马》

木马路径:C:\WINDOWS\system32\cns.exe

木马路径:C:\WINDOWS\system32\cns.dll

木马路径:C:\WINDOWS\system32\command.pif

木马路径:C:\WINDOWS\system32\MSCONFIG.COM

木马路径:C:\WINDOWS\system32\dxdiag.com

木马路径:C:\WINDOWS\system32\regedit.com

木马路径:C:\WINDOWS\system32\drivers\CnsMinKP.sys

然后到注册表中将下面的键值删除:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Torjan Program"="%Windows%\smss.exe"

(也可以直接搜索注册表的这样比较稳妥和全面一点)并修改

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon]

下 "shell"="Explorer.exe 1" 为 "shell"="Explorer.exe"

以下步骤可以不进行*作的,不过最好还是扫下吧:

分别查找“command.pif”、“finder.com”、“rundll32.com”的信息,

将“command.pif”、“finder.com”、“rundll32.com”修改为“rundll32.exe”

查找“explorer.com”的信息,将“explorer.com”修改为“explorer.exe”

查找“iexplore.com”的信息,将“iexplore.com”修改为“iexplore.exe”

查找“iexplore.pif”的信息,将找到的“%ProgramFiles%\Common

Files\iexplore.pif”修改为“%ProgramFiles%\Internet Explorer\iexplore.exe”

其中可能有几个找不到,没关系,找相同时间的文件出来删之

(比如这一木马创立的时间是2006-6-18 15:51你就搜索所有6-18创建的文件,

当然,时间也要一致,可别删错了)如果没找到,那最好了,

说明他已经不存在了。SMSS.EXE病毒相关文件大小全部一样为112K,

反正我这里是这么大小,看网上其他人和我写的不一样。

搞到这里你可以用些修复软件对系统进行下恢复,当然也可以不修复的。

等等,接下来你不能运行EXE文件,你开个视频都要你打开方式的,

好下面我们修改下注册表:不要在运行中输入东西打不开的。

方法一:复制WINDOWS目录下的regedit.exe到桌面并改名为regedit.com,

然后打开regedit.com,找到下列分支:

HKEY_CLASSES_ROOT\exefile\shell\open\command,

双击右侧窗口中的 (默认) 值,设置为 "%1" %* [包含引号] 再找到:

HKEY_CLASSES_ROOT\.exe 双击右侧窗口中的 (默认) 值,

设置为 exefile 然后退出注册表编辑器,重启电脑 方

法二:复制WINDOWS\system32目录下的cmd.exe到桌面并改名为cmd.com

命令行中,依次执行以下命令: ftype exefile="%1" %* [包含引号](回车)

assoc .exe=exefile 重启电脑。 至此SMSS.EXE病毒清除成功。

SMSS病毒是利用IE漏洞传播,可能你随便开个网页都有可能中毒,防止这个病毒最好是下个补丁。