瑞星卡卡安全论坛

用瑞星检查出来的`名为SMSS.EXE  Trojan.PSW.Agent.qc 的文件每次重启都会再出现`清楚不了`请高手帮忙啊```
不知道有没专杀什么的```还有`瑞星的安全监控中心不知道是不是给病毒破坏了`开不了`用修复也不行``请问还有什么办法吗？？

【回复“tom1980”的帖子】
SMSS.EXE?
路径呢？

c:\windows\smss.exe

【回复“tom1980”的帖子】
用的是什么系统？

XP的SP1

【回复“tom1980”的帖子】
建议参考：
结束c:\windows\smss.exe进程

进入注册表
搜索smss.exe
找到后删除
注意：c:\windows\smss.exe是木马程序
c:\windows\system32\smss.exe才是正常的系统进程
请不要误删
楼主是否明白？
再提示一下吧
在注册表中
路径凡是c:\windows\的smss.exe键值全部是木马项
应该全部删除
路径凡是c:\windows\system32\smss.exe键值都是正常项
不可删除
这下子总该明白了吧

删除
c:\windows\smss.exe
 

明白`刚刚看了其他有关文章`可是依然没用``哎````

照做了``还是不行`每次开机又会有``哎``

引用:

【tom1980的贴子】照做了``还是不行`每次开机又会有``哎`` ...........................

同时按下ALT＋CTRL＋DEL组合键
调出任务管理器
点击“应用程序”
是否有“龙字”图标程序？

没有`现在更甚``刚刚删完再搜索又有```进程结束了一会又有`文件删了再搜索又有`注册表的建值也是``

【回复“tom1980”的帖子】
http://forum.ikaka.com/topic.asp?board=28&artid=6979213
下载System Repair Engineer 2.0.12.350
导出全部日志

http://forum.ikaka.com/topic.asp?board=67&artid=7938688
反浏览器劫持论坛刚刚有人发的一新帖，倒是出了一个怪招，只是不知道灵不灵，刚好有提到c:\windows\smss.exe

System Repair Engineer 2.0.12.350 (2.0 RC 1)
Windows XP Professional  - 管理权限用户 - 完整功能
以下内容被选中：
    所有的启动项目（包括注册表、启动文件夹、服务等）
    正在运行的进程（包括进程模块信息）
    文件关联
启动项目
注册表
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
  <ctfmon.exe><C:\WINDOWS\System32\ctfmon.exe>
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
  <load><>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
  <迅雷4><d:\Program Files\Thunder Network\Thunder\MediaIssue\TDUpdate.exe>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
  <TProgram><C:\WINDOWS\smss.exe>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
  <shell><explorer.exe 1>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
  <Userinit><userinit.exe>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
  <AppInit_DLLs><>

==================================
启动文件夹
服务
[Ati HotKey Poller / Ati HotKey Poller]
  <C:\WINDOWS\System32\Ati2evxx.exe><ATI Technologies Inc.>
[ATI Smart / ATI Smart]
  <C:\WINDOWS\system32\ati2sgag.exe><>
[IMAPI CD-Burning COM Service / ImapiService]
  <C:\WINDOWS\System32\imapi.exe><Microsoft Corporation>
[Rising Process Communication Center / RsCCenter]
  <C:\PROGRAM FILES\RISING\RAV\CCENTER.EXE><N/A>
[TuneUp WinStyler Theme Service / TUWinStylerThemeSvc]
  <D:\Program Files\TuneUp Utilities 2004\WinStylerThemeSvc.exe><TuneUp Software GmbH>

==================================
浏览器加载项
正在运行的进程
[PID: 448][\SystemRoot\System32\smss.exe]  <Microsoft Corporation><5.1.2600.0 (xpclient.010817-1148)>
[PID: 512][\??\C:\WINDOWS\system32\csrss.exe]  <Microsoft Corporation><5.1.2600.0 (xpclient.010817-1148)>
[PID: 540][\??\C:\WINDOWS\system32\winlogon.exe]  <Microsoft Corporation><5.1.2600.0 (xpclient.010817-1148)>
[PID: 584][C:\WINDOWS\system32\services.exe]  <Microsoft Corporation><5.1.2600.0 (xpclient.010817-1148)>
[PID: 596][C:\WINDOWS\system32\lsass.exe]  <Microsoft Corporation><5.1.2600.0 (xpclient.010817-1148)>
[PID: 736][C:\WINDOWS\System32\Ati2evxx.exe]  <ATI Technologies Inc.><6.14.10.4118>
    [C:\WINDOWS\System32\Ati2edxx.dll]  <ATI Technologies, Inc.><6, 14, 10, 2497>
[PID: 768][C:\WINDOWS\system32\svchost.exe]  <Microsoft Corporation><5.1.2600.0 (xpclient.010817-1148)>
[PID: 796][C:\WINDOWS\System32\svchost.exe]  <Microsoft Corporation><5.1.2600.0 (xpclient.010817-1148)>
[PID: 876][C:\WINDOWS\System32\svchost.exe]  <Microsoft Corporation><5.1.2600.0 (xpclient.010817-1148)>
[PID: 888][C:\WINDOWS\System32\svchost.exe]  <Microsoft Corporation><5.1.2600.0 (xpclient.010817-1148)>
[PID: 1116][C:\WINDOWS\system32\spoolsv.exe]  <Microsoft Corporation><5.1.2600.0 (XPClient.010817-1148)>
    [C:\WINDOWS\System32\spool\PRTPROCS\W32X86\vprproc.dll]  <Windows (R) 2000 DDK provider><5.00.2195.1620>
[PID: 1232][C:\WINDOWS\explorer.exe]  <Microsoft Corporation><6.00.2600.0000 (xpclient.010817-1148)>
    [C:\WINDOWS\System32\xunleibho_v5.dll]  <><4, 3, 3, 30>
    [D:\PROGRA~1\KuGoo2\KUGOO3~1.OCX]  <N/A><N/A>
    [D:\Program Files\Tencent\QQ\qdshm.dll]  <><1, 0, 1, 2>
    [d:\Program Files\WinRAR\rarext.dll]  <N/A><N/A>
    [D:\Program Files\TuneUp Utilities 2004\sdshelex.dll]  <TuneUp Software GmbH><1.0.0.145>
    [D:\Program Files\TuneUp Utilities 2004\rtl60.bpl]  <Borland Software Corporation><6.0.6.241>
    [D:\Program Files\TuneUp Utilities 2004\vcl60.bpl]  <Borland Software Corporation><6.0.6.240>
[PID: 1492][C:\WINDOWS\System32\wdfmgr.exe]  <Microsoft Corporation><5.2.3790.1230 built by: dnsrv(bld4act)>
[PID: 1724][C:\WINDOWS\System32\ctfmon.exe]  <Microsoft Corporation><5.1.2600.0 (xpclient.010817-1148)>
[PID: 2016][D:\Program Files\TuneUp Utilities 2004\Integrator.exe]  <TuneUp Software GmbH><2.0.0.186>
    [D:\Program Files\TuneUp Utilities 2004\rtl60.bpl]  <Borland Software Corporation><6.0.6.241>
    [D:\Program Files\TuneUp Utilities 2004\vcl60.bpl]  <Borland Software Corporation><6.0.6.240>
    [D:\Program Files\TuneUp Utilities 2004\MainControls.bpl]  <TuneUp Software GmbH><1.0.0.315>
    [D:\Program Files\TuneUp Utilities 2004\GR32_D6.bpl]  <><1.0.0.67>
    [D:\Program Files\TuneUp Utilities 2004\DEC.bpl]  <><1.0.0.178>
    [D:\Program Files\TuneUp Utilities 2004\vcljpg60.bpl]  <Borland Software Corporation><6.0.6.163>
    [D:\Program Files\TuneUp Utilities 2004\Html.bpl]  <><1.0.0.266>
    [D:\Program Files\TuneUp Utilities 2004\AppInitialization.bpl]  <TuneUp Software GmbH><4.0.0.92>
    [D:\Program Files\TuneUp Utilities 2004\VisControls.bpl]  <TuneUp Software GmbH><1.0.0.290>
    [D:\Program Files\TuneUp Utilities 2004\ThemeManager.bpl]  <><1.0.0.198>
    [D:\Program Files\TuneUp Utilities 2004\ehs_d6.bpl]  <><1.0.0.185>
    [D:\Program Files\TuneUp Utilities 2004\CommonForms.bpl]  <><1.0.0.511>
    [D:\Program Files\TuneUp Utilities 2004\SysControls.bpl]  <TuneUp Software GmbH><1.0.0.204>
[PID: 232][C:\WINDOWS\smss.exe]  <Commercial><0.00.0052>
[PID: 288][D:\Program Files\TuneUp Utilities 2004\RegistryEditor.exe]  <TuneUp Software GmbH><1.0.0.267>
    [D:\Program Files\TuneUp Utilities 2004\rtl60.bpl]  <Borland Software Corporation><6.0.6.241>
    [D:\Program Files\TuneUp Utilities 2004\vcl60.bpl]  <Borland Software Corporation><6.0.6.240>
    [D:\Program Files\TuneUp Utilities 2004\AppInitialization.bpl]  <TuneUp Software GmbH><4.0.0.92>
    [D:\Program Files\TuneUp Utilities 2004\MainControls.bpl]  <TuneUp Software GmbH><1.0.0.315>
    [D:\Program Files\TuneUp Utilities 2004\GR32_D6.bpl]  <><1.0.0.67>
    [D:\Program Files\TuneUp Utilities 2004\DEC.bpl]  <><1.0.0.178>
    [D:\Program Files\TuneUp Utilities 2004\vcljpg60.bpl]  <Borland Software Corporation><6.0.6.163>
    [D:\Program Files\TuneUp Utilities 2004\Html.bpl]  <><1.0.0.266>
    [D:\Program Files\TuneUp Utilities 2004\VisControls.bpl]  <TuneUp Software GmbH><1.0.0.290>
    [D:\Program Files\TuneUp Utilities 2004\aprdlgs60.bpl]  <ComponentAge.com><1.4.6.22>
    [D:\Program Files\TuneUp Utilities 2004\CommonForms.bpl]  <><1.0.0.511>
    [D:\Program Files\TuneUp Utilities 2004\SysControls.bpl]  <TuneUp Software GmbH><1.0.0.204>
    [D:\Program Files\TuneUp Utilities 2004\ThemeManager.bpl]  <><1.0.0.198>
    [D:\Program Files\TuneUp Utilities 2004\ehs_d6.bpl]  <><1.0.0.185>
    [D:\Program Files\TuneUp Utilities 2004\HexEdit.bpl]  <TuneUp Software GmbH><1.0.0.193>
    [D:\Program Files\TuneUp Utilities 2004\AclUiHlp.dll]  <TuneUp Software GmbH><1.0.0.1>
[PID: 476][D:\Program Files\TuneUp Utilities 2004\StartUpManager.exe]  <TuneUp Software GmbH><1.0.0.259>
    [D:\Program Files\TuneUp Utilities 2004\rtl60.bpl]  <Borland Software Corporation><6.0.6.241>
    [D:\Program Files\TuneUp Utilities 2004\vcl60.bpl]  <Borland Software Corporation><6.0.6.240>
    [D:\Program Files\TuneUp Utilities 2004\AppInitialization.bpl]  <TuneUp Software GmbH><4.0.0.92>
    [D:\Program Files\TuneUp Utilities 2004\MainControls.bpl]  <TuneUp Software GmbH><1.0.0.315>
    [D:\Program Files\TuneUp Utilities 2004\GR32_D6.bpl]  <><1.0.0.67>
    [D:\Program Files\TuneUp Utilities 2004\DEC.bpl]  <><1.0.0.178>
    [D:\Program Files\TuneUp Utilities 2004\vcljpg60.bpl]  <Borland Software Corporation><6.0.6.163>
    [D:\Program Files\TuneUp Utilities 2004\Html.bpl]  <><1.0.0.266>
    [D:\Program Files\TuneUp Utilities 2004\VisControls.bpl]  <TuneUp Software GmbH><1.0.0.290>
    [D:\Program Files\TuneUp Utilities 2004\SysControls.bpl]  <TuneUp Software GmbH><1.0.0.204>
    [D:\Program Files\TuneUp Utilities 2004\CommonForms.bpl]  <><1.0.0.511>
    [D:\Program Files\TuneUp Utilities 2004\ThemeManager.bpl]  <><1.0.0.198>
    [D:\Program Files\TuneUp Utilities 2004\ehs_d6.bpl]  <><1.0.0.185>
[PID: 1052][C:\Program Files\Internet Explorer\iexplore.exe]  <Microsoft Corporation><6.00.2600.0000 (xpclient.010817-1148)>
    [C:\WINDOWS\System32\xunleibho_v5.dll]  <><4, 3, 3, 30>
    [D:\Program Files\Tencent\QQ\QQIEHelper.dll]  <深圳市腾讯计算机系统有限公司><1, 1, 0, 5>
    [D:\PROGRA~1\KuGoo2\KUGOO3~1.OCX]  <N/A><N/A>
    [C:\WINDOWS\System32\macromed\flash\Flash.ocx]  <Macromedia, Inc.><7,0,19,0>
[PID: 696][C:\Program Files\Internet Explorer\IEXPLORE.EXE]  <Microsoft Corporation><6.00.2600.0000 (xpclient.010817-1148)>
    [C:\WINDOWS\System32\xunleibho_v5.dll]  <><4, 3, 3, 30>
    [D:\Program Files\Tencent\QQ\QQIEHelper.dll]  <深圳市腾讯计算机系统有限公司><1, 1, 0, 5>
    [D:\PROGRA~1\KuGoo2\KUGOO3~1.OCX]  <N/A><N/A>
    [C:\WINDOWS\System32\macromed\flash\Flash.ocx]  <Macromedia, Inc.><7,0,19,0>
[PID: 784][F:\下载\SREng.exe]  <Smallfrogs Studio><2.0.12.350>

==================================
文件关联
.TXT  Error. [NOTEPAD.EXE %1]
.EXE  Error. [WindowFiles]
.COM  OK. ["%1" %*]
.PIF  OK. ["%1" %*]
.REG  OK. [regedit.exe "%1"]
.BAT  OK. ["%1" %*]
.SCR  OK. ["%1" /S]
.CHM  Error. ["hh.exe" %1]
.HLP  Error. [C:\WINDOWS\System32\winhlp32.exe %1]
.INI  OK. [%SystemRoot%\System32\NOTEPAD.EXE %1]
.INF  OK. [%SystemRoot%\System32\NOTEPAD.EXE %1]
.VBS  OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
.JS  OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
.LNK  OK. [{00021401-0000-0000-C000-000000000046}]

【回复“tom1980”的帖子】

结束C:\WINDOWS\smss.exe进程

＝＝＝＝＝＝＝＝＝＝＝

进入注册表
删除
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<TProgram><C:\WINDOWS\smss.exe>

修改
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
<shell><explorer.exe 1>为
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
<shell><explorer.exe>

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

删除
C:\WINDOWS\smss.exe

＝＝＝＝＝＝＝＝＝＝＝＝＝＝

http://forum.ikaka.com/topic.asp?board=28&artid=6979213
下载regfix
修复文件关连　

非常感谢楼上的帮忙`终于把这病毒搞掉了`万分感谢````55555555555555

对了`顺便问下`有没有能预防再次中这个病毒？上次就是不知道怎么会中的`我一直开着瑞星的实时监控的``都没提示有病毒`只是在空闲时候杀毒检测出来的```再次感谢不言放弃大哥的帮助````

【回复“tom1980”的帖子】
及时升级专业杀软与防火墙
及时系统更新
打开杀软与防火墙的实时监控
最重要的是要养成良好的上网习惯

另外还有一点要提醒楼主
不要过于依赖杀软
杀软不是万能的
并不能保证能够杀掉所有病毒木马

体验MM做爱.5000部成年人电影可在线观看喜欢就点.喜欢的朋友请直接复制以下网站:http://ap5k.xinwen365.net/
体验MM做爱.5000部成年人电影可在线观看喜欢就点.喜欢的朋友请直接复制以下网站:http://ap5k.xinwen365.net/
体验MM做爱.5000部成年人电影可在线观看喜欢就点.喜欢的朋友请直接复制以下网站:http://ap5k.xinwen365.net/
体验MM做爱.5000部成年人电影可在线观看喜欢就点.喜欢的朋友请直接复制以下网站:http://ap5k.xinwen365.net/
体验MM做爱.5000部成年人电影可在线观看喜欢就点.喜欢的朋友请直接复制以下网站:http://ap5k.xinwen365.net/
体验MM做爱.5000部成年人电影可在线观看喜欢就点.喜欢的朋友请直接复制以下网站:http://ap5k.xinwen365.net/
体验MM做爱.5000部成年人电影可在线观看喜欢就点.喜欢的朋友请直接复制以下网站:http://ap5k.xinwen365.net/
体验MM做爱.5000部成年人电影可在线观看喜欢就点.喜欢的朋友请直接复制以下网站:http://ap5k.xinwen365.net/
体验MM做爱.5000部成年人电影可在线观看喜欢就点.喜欢的朋友请直接复制以下网站:http://ap5k.xinwen365.net/
体验MM做爱.5000部成年人电影可在线观看喜欢就点.喜欢的朋友请直接复制以下网站:http://ap5k.xinwen365.net/
体验MM做爱.5000部成年人电影可在线观看喜欢就点.喜欢的朋友请直接复制以下网站:http://ap5k.xinwen365.net/
体验MM做爱.5000部成年人电影可在线观看喜欢就点.喜欢的朋友请直接复制以下网站:http://ap5k.xinwen365.net/
体验MM做爱.5000部成年人电影可在线观看喜欢就点.喜欢的朋友请直接复制以下网站:http://ap5k.xinwen365.net/
体验MM做爱.5000部成年人电影可在线观看喜欢就点.喜欢的朋友请直接复制以下网站:http://ap5k.xinwen365.net/
体验MM做爱.5000部成年人电影可在线观看喜欢就点.喜欢的朋友请直接复制以下网站:http://ap5k.xinwen365.net/
体验MM做爱.5000部成年人电影可在线观看喜欢就点.喜欢的朋友请直接复制以下网站:http://ap5k.xinwen365.net/
体验MM做爱.5000部成年人电影可在线观看喜欢就点.喜欢的朋友请直接复制以下网站:http://ap5k.xinwen365.net/
体验MM做爱.5000部成年人电影可在线观看喜欢就点.喜欢的朋友请直接复制以下网站:http://ap5k.xinwen365.net/
体验MM做爱.5000部成年人电影可在线观看喜欢就点.喜欢的朋友请直接复制以下网站:http://ap5k.xinwen365.net/
体验MM做爱.5000部成年人电影可在线观看喜欢就点.喜欢的朋友请直接复制以下网站:http://ap5k.xinwen365.net/
体验MM做爱.5000部成年人电影可在线观看喜欢就点.喜欢的朋友请直接复制以下网站:http://ap5k.xinwen365.net/
体验MM做爱.5000部成年人电影可在线观看喜欢就点.喜欢的朋友请直接复制以下网站:http://ap5k.xinwen365.net/
体验MM做爱.5000部成年人电影可在线观看喜欢就点.喜欢的朋友请直接复制以下网站:http://ap5k.xinwen365.net/
体验MM做爱.5000部成年人电影可在线观看喜欢就点.喜欢的朋友请直接复制以下网站:http://ap5k.xinwen365.net/
体验MM做爱.5000部成年人电影可在线观看喜欢就点.喜欢的朋友请直接复制以下网站:http://ap5k.xinwen365.net/
体验MM做爱.5000部成年人电影可在线观看喜欢就点.喜欢的朋友请直接复制以下网站:http://ap5k.xinwen365.net/
体验MM做爱.5000部成年人电影可在线观看喜欢就点.喜欢的朋友请直接复制以下网站:http://ap5k.xinwen365.net/
体验MM做爱.5000部成年人电影可在线观看喜欢就点.喜欢的朋友请直接复制以下网站:http://ap5k.xinwen365.net/
体验MM做爱.5000部成年人电影可在线观看喜欢就点.喜欢的朋友请直接复制以下网站:http://ap5k.xinwen365.net/
体验MM做爱.5000部成年人电影可在线观看喜欢就点.喜欢的朋友请直接复制以下网站:http://ap5k.xinwen365.net/

大哥,你怎么杀掉的啊,我的进程关不了啊,用瑞星杀了,就没有了
但瑞星,关了就又出现了!