瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 菜鸟求助:smss.exe文件染Trojan.PSW.LMir.jkv 病毒怎么也清楚不掉

12   2  /  2  页   跳转

菜鸟求助:smss.exe文件染Trojan.PSW.LMir.jkv 病毒怎么也清楚不掉

收藏
flow7788
头像
初生襁褓狮
  • 帖子:15
  • 注册: 2006-05-03
  • 来自:
发表于: 2006-05-03 22:11 | 只看楼主 短消息 资料
字号: 11楼

C:\WINDOWS\SYSTEM32\WBEM\IRJIT.DLL
C:\Program Files\Common Files\CMEII
explorer.exe 1(搜索一下)
这2个文件搜不到
C:\WINDOWS\smss.exe不让删
gototop
 
flow7788
头像
初生襁褓狮
  • 帖子:15
  • 注册: 2006-05-03
  • 来自:
发表于: 2006-05-03 22:27 | 只看楼主 短消息 资料
字号: 12楼

引用:
【我无邪的贴子】运行System Repair Engineer,使用“系统修复,文件关联,勾选“全选”点“修复”使所有扩展名都恢复正常
运行System Repair Engineer,点“启动项目,服务,勾选“隐藏微软服务”选中QoS Service,选择“删除所选服务”“否”最后重启。
运行System Repair Engineer,使用“启动项目,注册表”来删除以下选项。
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<TProgram><C:\WINDOWS\smss.exe>
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
<shell><explorer.exe 1>
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
<CMESys><; "C:\Program Files\Common Files\CMEII\CMESys.exe">

双击我的电脑--工具---文件夹选项--查看选项卡--单击选取"显示隐藏文件或文件夹"--清除"隐藏受保护的操作系统文件(推荐)"复选框。在提示您确定更改时,单击“是”
然后找到如下文件并删除C:\WINDOWS\SYSTEM32\WBEM\IRJIT.DLL
C:\Program Files\Common Files\CMEII
explorer.exe 1(搜索一下)
C:\WINDOWS\smss.exe
...........................


运行System Repair Engineer,使用“启动项目,注册表”
有提示“警告!注册表“SHELL”被改成非正常值”

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
<shell><explorer.exe 1>
删除不掉说是对系统非常重要,不让删

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<TProgram><C:\WINDOWS\smss.exe>
这条可以删除,但没过多久,刷新下又有了
gototop
 
flow7788
头像
初生襁褓狮
  • 帖子:15
  • 注册: 2006-05-03
  • 来自:
发表于: 2006-05-03 22:30 | 只看楼主 短消息 资料
字号: 13楼

无邪!快来看看哈!郁闷死了!
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-05-03 22:32 | 短消息 资料
字号: 14楼

引用:
【flow7788的贴子】

运行System Repair Engineer,使用“启动项目,注册表”
有提示“警告!注册表“SHELL”被改成非正常值”

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
<shell><explorer.exe 1>
删除不掉说是对系统非常重要,不让删

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<TProgram><C:\WINDOWS\smss.exe>
这条可以删除,但没过多久,刷新下又有了




...........................

这就是那个“传奇龙”木马。手工查杀时要讲究操作顺序,一不小心,就会前功尽弃!
参考一下下面这个帖子吧(他那个主体文件名是winlogon.exe,你这个主体文件是smss.exe。就这么点儿区别):
http://forum.ikaka.com/topic.asp?board=28&artid=7495863
gototop
 
flow7788
头像
初生襁褓狮
  • 帖子:15
  • 注册: 2006-05-03
  • 来自:
发表于: 2006-05-03 22:33 | 只看楼主 短消息 资料
字号: 15楼

【回复“baohe”的帖子】

谢谢我试下看
gototop
 
轩辕小聪
头像
卡卡技术团队
  • 帖子:8368
  • 注册: 2006-01-09
  • 来自:
卡卡名人堂论坛9周年纪念
发表于: 2006-05-03 22:34 | 短消息 资料
字号: 16楼

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
<shell><explorer.exe 1>
这项不能删,只能改,把键值改为><explorer.exe>

而且,如果问题真的那么简单的话,那就不是龙字传奇木马了。

楼主可以参考以下三个帖子:
http://forum.ikaka.com/topic.asp?board=28&artid=7495863
http://forum.ikaka.com/topic.asp?board=28&artid=7678628
http://forum.ikaka.com/topic.asp?board=28&artid=7828861
楼主所中的木马与这三个帖子中所讲的木马类似。

请严格按照帖子中的步骤来进行。老实说,要删的文件不少,改的注册表更多,一不留神就会前功尽弃。对于中了这样恶意的木马的会员,我们都会照例同情一下的,方法是给你了,至于能不能搞定就靠楼主自己了。
gototop
 
轩辕小聪
头像
卡卡技术团队
  • 帖子:8368
  • 注册: 2006-01-09
  • 来自:
卡卡名人堂论坛9周年纪念
发表于: 2006-05-03 22:36 | 短消息 资料
字号: 17楼

【回复“baohe”的帖子】
不知道是不是我的心理作用,近期中这个的明显比以前多不少啊。
gototop
 
flow7788
头像
初生襁褓狮
  • 帖子:15
  • 注册: 2006-05-03
  • 来自:
发表于: 2006-05-04 00:21 | 只看楼主 短消息 资料
字号: 18楼

关键是我现在病毒进程结束不了,想用ICESWORD一运行就重起机器
gototop
 
我无邪
头像
高贵耄耋狮
  • 帖子:20720
  • 注册: 2004-06-10
  • 来自:广西玉林
发表于: 2006-05-04 13:00 | 短消息 资料
字号: 19楼

IceSword早期的版本是有这种情况,建议下个比较新的版本试试。
www.27814939.ys168.com
提示是重要的,不能删除,就用“编辑”去掉那个1确定就可以了。
gototop
 
<<上一主题|下一主题>>
12   2  /  2  页   跳转
页面顶部
Powered by Discuz!NT